Por: Brooke Lynn Weenig, gerente senior de mercadotecnia de producto, y Runa Sandvik, fundadora de Granitt.
De manera continua, la comunidad de seguridad cambia, crece y aprende unos de otros para posicionar mejor al mundo contra las ciber amenazas. En la última publicación de nuestra serie de blogs Community Voices, Brooke Lynn Weenig, gerente sénior de marketing de productos de seguridad de Microsoft, habla con Runa Sandvik, exdirectora sénior de seguridad de la información en The New York Times y miembro del consejo asesor técnico de CISA. De manera reciente, fue entrevistada sobre su nueva empresa emergente, Granitt, en TechCrunch.1 Las reflexiones a continuación reflejan las opiniones de Runa, no las opiniones de Microsoft, y no se deben considerar como consejo legal. En esta publicación de blog, Runa habla sobre la seguridad para periodistas y organizaciones de medios.
Brooke: ¿Cómo llegaste a la ciberseguridad?
Runa: Obtuve mi primera computadora cuando tenía 15 años. Estudié una licenciatura en informática en una universidad de Noruega, de donde soy. Una cosa que en verdad disfruto de esta industria es que, dentro de la informática y la ciberseguridad, hay tantos desafíos diferentes que enfrentar. Hay tantos problemas en los que puedes trabajar y tantas cosas por las que sentir curiosidad y eso siempre me ha encantado.
Durante el verano de 2009, antes del último año de mi licenciatura, trabajé para Tor Project como parte del Google Summer of Code. Una vez que terminó la pasantía, me quedé con el proyecto Tor y me ofrecí como voluntaria para seguir con mi proyecto. Con el tiempo, Tor me ofreció un contrato a tiempo parcial y más tarde, un contrato a tiempo completo.
Gran parte del trabajo que hago hoy ha sido moldeado por los cuatro años que pasé con el proyecto Tor. Cuando escuché por primera vez sobre Tor, pensé que era genial que pudieras ser anónimo en línea a través de usar una pieza de tecnología. No consideré quién lo usaba o por qué razón. Pero durante los cuatro años con Tor, pude conocer no solo a otras personas que trabajan en el mismo espacio, sino también a personas de todo el mundo que me contaron sus experiencias con la herramienta y lo que les permitió hacer, lo cual fue una experiencia muy positiva para mí.
Brooke: ¿Qué es lo que más te entusiasma de proteger a los periodistas?
Runa: Alrededor de 2011, cuatro proyectos obtuvieron fondos para capacitar a los reporteros sobre cómo usar el navegador Tor y terminé como líder de ese proyecto. Desarrollábamos un plan de estudios y pronto sentimos que no era muy útil enseñar a alguien cómo usar un navegador Tor para estar seguro en línea si no está familiarizado con las mejores prácticas generales de seguridad, como contraseñas y autenticación de dos factores y la importancia de las actualizaciones de software. Entonces, construimos un plan de estudios en torno a eso. Más tarde llevé esa experiencia conmigo a la Freedom of the Press Foundation y a The New York Times.
El trabajo que he hecho con periodistas fue algo con lo que me topé, pero viéndolo ahora, creo que el periodismo de investigación tiene muchos de los mismos temas que la investigación de seguridad. Tiene los mismos acertijos, los mismos desafíos y la misma excavación que me despierta la curiosidad y el interés. También tiene esta misión de enorme importancia detrás de él.
Brooke: ¿Qué haces para proteger a los periodistas y los grupos u organizaciones en riesgo?
Runa: Para que una persona trabaje segura o protegida, considero la seguridad digital, la seguridad física, la seguridad emocional y las cuestiones legales. La seguridad del periodismo en realidad necesita abarcar los cuatro segmentos, por lo que parte del trabajo que hago ha sido conversaciones individuales con reporteros que desean orientación sobre seguridad todos los días, y los ayudo a descubrir qué pueden hacer para mejorar. Por lo general, están en proceso de preparación para un proyecto de investigación específico o para un viaje a un área de riesgo.
He trabajado de cerca con grupos de personas en organizaciones de medios que son una combinación de reporteros, TI, seguridad y legales para producir un plan de seguridad basado en los desafíos que enfrentan y el tipo de apoyo que necesita la sala de redacción. Hace años, si era una gran empresa como The New York Times, Washington Post, Microsoft o Google, había muchos marcos de ciberseguridad grandes y complejos para ayudarte a obtener una línea de base y los pasos a seguir para mejorar en el futuro.
Si eres una persona que busca mejorar su seguridad, hay guías de Electronic Frontier Foundation y Freedom of the Press Foundation que te brindan información como «así es como debes usar un administrador de contraseñas» y «así es como se configura la autenticación de dos factores», pero el miembro de la Fundación Ford, Matt Mitchell, descubrió que, si eres una organización pequeña o un equipo pequeño, no hay una buena opción disponible. Él formó un comité para desarrollar la herramienta de evaluación de ciberseguridad de la Fundación Ford, que está diseñada para organizaciones más pequeñas. Es una forma en verdad efectiva de averiguar dónde estoy hoy y dónde debería estar el enfoque en el próximo año o dos.
Brooke: ¿Cuáles son las mayores amenazas que has visto en tu línea de trabajo?
Runa: Si hablamos de los problemas de seguridad que un periodista como individuo podría enfrentar, podríamos hablar sobre la apropiación de cuentas en línea y las estafas de phishing. Hace poco di una charla en Paranoia en Oslo sobre cómo los medios son hackeados y la causa principal detrás de todos estos problemas. Si hablamos de la organización para la que trabaja el periodista, se trata de la falta de relleno de credenciales de autenticación de dos factores, contraseñas deficientes, phishing y sistemas obsoletos.
A lo largo de los años, mi trabajo se ha centrado en el individuo, pero hace 10 años, Tor era torpe y complejo. Teníamos VPN. Teníamos herramientas para cifrar por completo el disco en tu computadora portátil, pero eran difíciles de usar. Había un texto largo de pasos para ponerlo todo en marcha. La gente necesitaba mucha ayuda para usarlo. En estos días, tenemos todas las herramientas y son gratuitas o no muy caras. Lo que falta ahora es la aceptación del liderazgo para crear los procesos y los flujos de trabajo para garantizar que las salas de redacción cuenten con todas estas herramientas. En la actualidad, es más un tipo de desafío de construcción de puentes. No creo que nos falte ninguna herramienta. Solo tenemos que averiguar cómo armarlo.
Brooke: ¿Cuáles son los mayores desafíos de seguridad para los periodistas?
Runa: Un periodista es periodista todo el día, todos los días. Eso no es solo un trabajo, es una identidad. Son periodistas, ya sea que estén en una sala de cine con un teléfono personal o en el trabajo con la computadora portátil de su empresa. Sin importar el dispositivo que utilicen, la hora del día y la ubicación en el mundo, no dejan de ser periodistas y van a informar si hay algo sobre lo que informar. A nivel histórico, en un contexto corporativo, nos hemos centrado en proteger las cuentas corporativas, los sistemas corporativos y los dispositivos corporativos, pero para roles como el periodismo y otros grupos activistas, comienza a fallar un poco. Creo que debe haber una conversación más amplia sobre cómo aseguramos las identidades a diferencia de solo las cosas corporativas de 9 a 5.
Otro gran desafío es generar suficiente apoyo en el lado comercial de la empresa para poder brindar el soporte adecuado a la sala de redacción. Los reporteros con los que he hablado no cuestionan que necesitan ser más seguros y que necesitan procesos o herramientas. Una vez que se proporciona, están muy dispuestos a probar cosas. Solo necesitas construir ese puente y ayudar al lado comercial a comprender los desafíos en la sala de redacción y los desafíos potenciales que presenta para el negocio, ya sea desde un punto de vista físico, digital o legal, y luego producir formas de abordar eso.
Apoyar el trabajo que hace la sala de redacción significa desarrollar productos, desarrollar el sistema de administración de contenido (CMS, por sus siglas en inglés), publicar historias, producir nuevas formas de informar, retener suscriptores y financiar a los reporteros que salen en viajes de investigación. Todas estas cosas son muy importantes y, a veces, más importantes que la seguridad. El desafío es ¿dónde gasto mis recursos si sé que todo está tan atado?
Hay muchas maneras diversas en las que podrían mejorar la seguridad en su organización e incluso si en la actualidad no tienen los recursos para el mejor y más grande producto, todavía hay pequeñas cosas que se pueden hacer. Se trata de descubrir cómo enfocarse en esta única cosa en la que deben concentrarse, incluso si se trata de una sola persona, dos personas o un equipo pequeño. A estas alturas, no centrarse en la ciberseguridad no es una opción.
Conocer más
Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1La nueva startup de Runa Sandvik, Granitt, protege a las personas en riesgo de los piratas informáticos y los estados nación, Zack Whittaker. 15 de julio de 2022.