Hola a todos!
Compartimos una publicación de Microsoft Security Blog del día 10 de agosto.
La comunidad de seguridad cambia, crece y aprende continuamente unos de otros para posicionar mejor al mundo contra las ciberamenazas. En la última publicación de la serie de blog Voice of the Community, la gerente de marketing de productos de Microsoft, Natalia Godyla, habla con Runa Sandvik, experta en seguridad periodística y ex directora sénior de seguridad de la información en The New York Times. En este blog, Runa presenta los desafíos únicos y los fundamentos de la seguridad periodística.
Natalia: ¿Qué es la seguridad periodística?
Runa: Ser reportero no es un trabajo de 9 a 5. No eres solo un reportero cuando cruzas las puertas de The Washington Post o The Wall Street Journal o CNN. Se convierte en algo que haces antes del trabajo, en la oficina, en casa o después del trabajo en el bar. De alguna manera, siempre estás en el trabajo, por lo que proteger a un periodista se trata de proteger su vida e identidad. No solo está asegurando las cuentas y los sistemas que están usando en el trabajo, lo que caería dentro de la empresa; está asegurando las cuentas y los sistemas que utilizan de forma personal.
Además, los reporteros viajan. Cubren protestas y zonas de guerra. Tendrás que dar cuenta de su seguridad física y emocional. Para mí, la seguridad periodística es efectivamente el término general para la seguridad digital, la seguridad física y la seguridad emocional.
Natalia: ¿Qué tiene de especial asegurar una organización de medios?
Runa: Una organización de medios, ya sea una sala de redacción sin fines de lucro más pequeña o una empresa más grande, necesita el mismo tipo de herramientas y procesos de seguridad que cualquier otra organización. Sin embargo, con una organización de medios, debe considerar el impacto. No solo estamos hablando de datos que pertenecen a la empresa que se cifran o roban y se descargan en línea; también estamos hablando de datos de suscriptores, lectores y fuentes. Como resultado, las ramificaciones potenciales de un ataque contra una organización de medios, ya sea un ataque dirigido, como un actor de un estado-nación que busca las fuentes de una historia, o un ransomware oportunista, pueden ser mayores e involucrar a muchas más personas en un contexto más amplio. contexto sensible. El monitoreo de preservación de la privacidad también es importante para las salas de redacción. Creo en ayudar al periodista a comprender lo que sucede en sus dispositivos. Si no les estamos enseñando a modelar amenazas y pensar en los riesgos de seguridad digital de sus historias y comunicaciones con las fuentes, tendremos una brecha.
La otra gran diferencia es el ritmo. Las salas de redacción se basan increíblemente en los plazos, y el trabajo de seguridad es permitir que los periodistas hagan su trabajo de manera segura, no bloquear su trabajo. Si un periodista le dice a su equipo de seguridad que va a ir a Corea del Norte y necesita una configuración segura, el equipo debe cambiar su lista de tareas para acomodar eso, ya sea que signifique proporcionar capacitación o hardware nuevo.
Natalia: ¿Cuál es el mayor desafío para asegurar una organización de medios?
Runa: Lo único que sigue siendo un desafío para las organizaciones de medios es la falta de confianza y colaboración entre los equipos internos de TI y seguridad y la sala de redacción. La sala de redacción no confía necesariamente en esos departamentos ni recurre a ellos en busca de ayuda o herramientas para proteger a los reporteros, su material y su trabajo. Si estás construyendo una postura defensiva, no puedes asegurar lo que no entiendes. Si no tienes una buena relación con la sala de redacción o no sabes qué tipo de trabajo hacen, vas a tener lagunas. Me ha resultado útil involucrar a la sala de redacción al tomar decisiones sobre herramientas y procesos que afectan su trabajo. Involucrar a la sala de redacción en las discusiones que la afectan, incluso si son técnicas, contribuirá mucho a construir una relación de confianza.
Natalia: ¿Cómo construyes un proceso para evaluar y mitigar el riesgo?
Runa: Si estás escribiendo sobre las mejores galletas con chispas de chocolate, probablemente estés bien. Probablemente no tendrá ningún problema con las fuentes o el acoso. Sin embargo, si decide informar sobre política, es probable que se enfrente al riesgo de amenazas y acoso en línea que podrían convertirse en amenazas y acoso físicos. El contexto de un proyecto e historia específicos se convierte en un conjunto de riesgos que deben tenerse en cuenta.
Por lo general, el proceso de evaluación del riesgo físico ya se ha establecido. Las salas de redacción han estado enviando reporteros a misiones riesgosas, como zonas de guerra, durante mucho tiempo. En la mayoría de las salas de redacción, un reportero hablará con el editor y evaluará el riesgo de cualquier viaje relacionado con el trabajo. Reciben información de su asesor de seguridad física, legal y de recursos humanos.
Construir un proceso similar para el espacio digital se convierte en un desafío de educación y sensibilización. En algunos casos, las salas de redacción han establecido y documentado procesos que funcionan bien, y los equipos de seguridad pueden convertirse en parte de ese árbol de decisiones. En otros casos, debe comenzar presentándose en la sala de redacción y asegurándose de que la gente sepa que está allí para ayudar. He hablado con organizaciones de noticias en los Estados Unidos, el Reino Unido y Noruega que tienen equipos multifuncionales con representantes de la sala de redacción, TI, seguridad, recursos humanos, comunicaciones y legal para garantizar que ninguna historia se pierda.
Natalia: ¿Qué procesos, protocolos o tecnologías utiliza para proteger a los periodistas y sus investigaciones?
Runa: En una sala de redacción, normalmente tienes «escritorios». Tienes la mesa de investigaciones. Tienes estilo. Tienes deportes. Diferentes escritorios tendrán diferentes necesidades desde una perspectiva tecnológica y educativa. Cada vez que hablo con una sala de redacción, primero trato de cubrir los conceptos básicos de seguridad. Estamos hablando de contraseñas, actualizaciones de autenticación multifactor y phishing. Cubro la línea de base; luego mire el tipo de trabajo que está haciendo cada escritorio para profundizar más. Para las investigaciones, esto podría implicar la configuración de una herramienta para recibir consejos del público, o máquinas aisladas (fuera de línea) para revisar la información de forma segura.
Para viajes internacionales, podría implicar establecer un proceso interno con el equipo de TI para que el periodista pueda solicitar rápidamente una nueva computadora portátil o un nuevo teléfono. En muchos casos, las herramientas que acaban utilizándose son populares y conocidas. El periodista por lo general debe utilizar las mismas herramientas que la fuente.
Poner el equipo de seguridad a disposición de la sala de redacción también es muy útil. Los reporteros saben cómo hacer preguntas, ya sea que estén haciendo una entrevista o tratando de entender cómo funciona un administrador de contraseñas o cómo usar una YubiKey. Deles la oportunidad de hacer preguntas a través de un canal de chat interno o reuniones semanales. Todo se remonta a la construcción de relaciones y la conciencia.
Natalia: ¿Cómo ha moldeado tu perspectiva sobre la seguridad trabajar en seguridad periodística?
Runa: Cuando comencé a trabajar para The Tor Project, que desarrolla software gratuito y de código abierto para el anonimato en línea, tenía curiosidad acerca de cómo es posible usar líneas de código para lograrlo. No pensé mucho en las personas que lo usan o para qué lo usan. Pero a través de ese trabajo, aprendí mucho sobre el impacto global que tiene The Tor Project: desde activistas y periodistas hasta investigadores de seguridad y fuerzas del orden. Al interactuar con los reporteros, tuve que aceptar que existe una diferencia entre la configuración ideal desde el punto de vista de la seguridad y lo que va a hacer el trabajo. Sería genial darles a todos una computadora portátil con Tails o Qubes OS configurado, pero ¿podrán usarlo para su trabajo? ¿En qué momento decimos que hemos encontrado un término medio feliz entre asegurar los datos o sistemas, habilitar al reportero y aceptar el riesgo?
Natalia: ¿Cómo podemos seguir mejorando la seguridad en la sala de redacción?
Runa: Necesitamos un mayor enfoque en los ataques de seguridad que tienen como objetivo y afectan a las organizaciones de medios y reporteros. Por lo general, cuando lee información sobre ataques a la seguridad, suele resaltar las industrias afectadas. Verá referencias al gobierno, la educación y la atención médica, pero ¿qué pasa con los medios?
Si trabaja en una organización de medios tratando de comprender a qué tipo de amenazas digitales se enfrenta, ¿dónde busca información? Me encantaría ver a una organización o individuo crear un recurso con una cronología del tipo de ataques digitales que hemos visto contra organizaciones de medios en los Estados Unidos desde 2015 hasta 2021. Esta sería una forma de obtener un pulso sobre lo que está sucediendo con educar a los periodistas sobre los riesgos, identificar el impacto y el riesgo de las operaciones e informar al liderazgo.
Seguiremos revisando las publicaciones de este blog para estar al tanto de lo que se cuece.
Un saludo