Una introducción a los problemas de seguridad

Una introducción a los problemas de seguridad

La Sociedad Ruckus

La Sociedad Ruckus www.ruckus.org ha estado trabajando con un equipo de expertos en seguridad de nuestra red para evaluar y desarrollar protocolos de seguridad más sólidos en 2008. Megan Swoboda, directora general de Ruckus, se sentó con dos de sus miembros del equipo de seguridad, Allen Gunn de Aspiration www.aspirationtech.org (quien también es miembro de la Junta de Ruckus), y Dan Spalding de Midnight Special Law Collective www.midnightspecial.net, para analizar por qué todos deberíamos tomar medidas para mejorar nuestra seguridad, y no solo por nuestro propio bien, sino también por el de los demás.

¿Por qué las personas deberían preocuparse por la seguridad?

A medida que la información se convierte en una parte más crítica del trabajo que hacemos y del poder que construimos, debemos ser conscientes de la vulnerabilidad de la información que creamos. Cuando las personas hablan de seguridad, en realidad se trata de su expectativa de privacidad y poder comunicarse a través de Internet, una infraestructura que se monitorea ampliamente y es muy insegura. La seguridad es una parte fundamental de hacer un trabajo efectivo para cualquier grupo que use computadoras o internet.

En un mundo digital, ¿qué tenemos que tener en cuenta cuando se comunica electrónicamente?

En primer lugar, si envía información por correo electrónico, asegúrese de hacerlo de una forma que sea difícil para las personas. El correo electrónico habitual viaja en "texto sin formato", lo que significa que se transmite a través de la red en un formato que puede leer cualquiera que esté mirando el cable. Por lo tanto, si desea seguridad cuando envía esos correos electrónicos, debe encriptarlos, de modo que se codifiquen en la transmisión y solo se decodifiquen cuando los reciba el destinatario (previsto).

¿Y las computadoras físicas?

Como mínimo, cualquier computadora con cualquier tipo de información sensible o importante debe tener contraseñas en todos los niveles: debe solicitar una contraseña cuando la enciende, cuando se despierta y cuando se interrumpe el protector de pantalla. Estas medidas no lo harán a prueba de balas, pero ayudan a afirmar una expectativa de privacidad. Está dejando en claro que no quiere que nadie mire sus datos. Las leyes están estructuradas en torno a esta expectativa. Hasta cierto punto, cuanto más demuestras que tienes una expectativa de privacidad, más privacidad obtienes.

Dicho esto, obviamente es posible que un adversario hábil robe su computadora y obtenga acceso a sus datos sin importar sus contraseñas. Es por eso que es importante encriptar su disco duro, para que alguien con acceso físico a su disco no pueda descifrar la información en él. Del mismo modo, deberá encriptar sus copias de seguridad y almacenarlas fuera del sitio. También necesita políticas para tarjetas de memoria.

¿Puedes hablar más sobre este tema de 'expectativa de privacidad'?

Con el 4th Enmienda: nuestra protección contra registros e incautaciones irrazonables: muchas de nuestras protecciones se basan en si teníamos una "expectativa razonable de privacidad". Esto incluye cosas tales como mantener esa información en una habitación cerrada, detrás de una o más contraseñas, o cifrar eso.

La gente a menudo renuncia a su expectativa de privacidad sin siquiera saberlo. Un ejemplo es Gmail. Parte de los términos de uso de Gmail le permite a Google rastrear su correo electrónico para colocar anuncios dirigidos específicamente a usted; el hecho de que permita que Google tenga acceso a esta opción potencialmente le quita la expectativa de privacidad. (La mayoría de los otros principales proveedores de correo electrónico tienen políticas similares). Por lo tanto, es muy importante que, a medida que almacene información y use tecnología, afirme su expectativa de privacidad. De esta forma, tiene una defensa legal contra una orden judicial para producir información (como una citación).

¿Es justo decir que no proteger con contraseña su computadora, o usar Gmail, es como dejar la puerta de entrada desbloqueada e invitar al FBI, en lugar de ejercer su derecho a no abrir la puerta?

Sí, esa es una manera perfecta de explicarlo.

¿Qué tipo de vulnerabilidades tenemos al almacenar nuestros datos y cómo determinamos qué no se debe almacenar en absoluto?

Las políticas de retención de datos son complejas porque siempre se basan en las necesidades de su organización. Debe pensar en la información que realmente necesita conservar y de qué puede prescindir. Cualquier información que almacene podría usarse en su contra en el futuro, o en formas que no pretendía.

Un ejemplo de lo que casi nunca se debe almacenar es información detallada sobre quién visita su sitio web. Es importante configurar su servidor web para que, con el tiempo, no almacene datos de identificación únicos sobre los visitantes individuales de su sitio, lo que protege la privacidad de sus constituyentes.

Otro lugar donde hay tensión en torno a la retención de datos se refiere a los datos de donación. Los recaudadores de fondos desean retener la mayor cantidad de información posible sobre los partidarios para hacer su trabajo de manera más efectiva. Sin embargo, esa información es potencialmente reveladora sobre sus donantes, y es posible que desee proteger su privacidad. No existe una única respuesta correcta, pero es importante que las organizaciones encuentren la forma de lograr un equilibrio entre conservar los datos que necesitan y, al mismo tiempo, proteger la privacidad de las personas que los respaldan.

Como muestran los ejemplos anteriores sobre los visitantes y donantes de su sitio web, los datos que almacena no son solo sobre usted. Si te apuntan en el futuro, esos terceros en los que tienes datos también pueden ser atacados, solo por estar asociados contigo.

Lo importante es asegurarse de que su organización reflexione sobre la retención de datos e implemente una política de retención de datos que no solo siga las mejores prácticas de privacidad y seguridad, sino que también respete la privacidad de las personas cuyos datos almacena.

Una gran cantidad de "seguridad" que hacen las organizaciones consiste en hacer algunos cambios aleatorios en la forma en que operan, como comprar una trituradora y cambiar sus contraseñas antiguas. ¿Cómo podemos abordar de manera significativa la seguridad digital?

Puede pensar en la conciencia de seguridad de la misma manera que pensaría en hacer que su casa sea segura: cerrar sus puertas, ventanas, posiblemente incluso instalando barras en sus ventanas o un segundo candado en su puerta. Con Internet y las computadoras, hay una gran cantidad de ojos virtuales que miran lo que haces de forma remota, y a veces en tu computadora en sí misma.
ugh virus y spyware. De la misma manera que cerraría su casa para asegurar sus pertenencias, debería pensar en la seguridad de manera integral cuando administre información y use tecnología. De esta forma, no solo estarás protegiendo a ti mismo, sino también a los datos de tus aliados y colegas que estás almacenando.

Puede ser abrumador mirar una lista gigante de prácticas aleatorias de "seguridad". Es más efectivo pensar en las necesidades y los adversarios de su organización, descubrir sus principales vulnerabilidades y comenzar por abordarlas. Habiendo dicho eso, encriptar datos y pensar sobre comunicación en línea va a ser relevante para casi todos los grupos que se organizan para la justicia social.

¿Cómo respondes a las personas que dicen que no tienen nada que esconder y te preocupa que al ocultar datos de manera activa implican que están haciendo algo mal?

No creo que el acto de encriptar implique nada más que afirmar su expectativa de privacidad. Es como enviar una carta por correo en un sobre sellado en lugar de escribirlo en el reverso de una postal. Si obtiene una orden legal para entregar información encriptada, puede elegir descifrarla, lo cual es mejor que el gobierno o las corporaciones que lean sus mensajes cuando lo deseen.

También hay una noción de solidaridad aquí. Parte de por qué todo el mundo debe encriptar es para que los mensajes encriptados por razones "importantes" se mezclen con las comunicaciones diarias que también están encriptadas. En este momento, las personas que miran los cables pueden ver qué correos electrónicos están cifrados, suponen de manera segura que esas comunicaciones son "importantes" y luego se dirigen a las personas que las envían y las reciben. Cuanto más todos usemos encriptación, más fuertes seremos como comunidad, incluso cuando el gobierno y las corporaciones que controlan la infraestructura de Internet miren nuestra actividad en línea.

Las personas que dicen que no tienen nada que ocultar deben considerar la posibilidad de que en algún momento en el futuro quieran privacidad, por lo que deberían comenzar a afirmar su expectativa de privacidad ahora. Mientras que algunas personas dicen: "No tengo nada que ocultar", no creo que nadie diría que no tienen nada que deseen mantener en privado.

¿Cuáles son los tres pasos principales que recomendaría para mejorar la seguridad de los datos?

1. Edúcate a ti mismo. Descubra qué significan estos conceptos de seguridad, porque realmente no puede hacer nada efectivo hasta que se dé cuenta de ellos.

2. Asegure su computadora y su copia de seguridad. Coloque contraseñas en su computadora en todas las puertas de enlace para que cualquier persona que ingrese a su computadora necesite autenticarse antes de obtener acceso a ella. Y, si es posible, encripte sus datos para estar seguro de que incluso si alguien roba su computadora (o si no obtiene acceso físico a ella), es difícil o imposible que vean los datos almacenados en ella. (Cifre sus copias de seguridad también).

3. Piense en la comunicación por Internet. Sea proactivo sobre el uso del cifrado y reconsidere los servicios en línea (como la programación de Google y la escritura colaborativa) que utiliza.

¿Algo más?

Cualquiera que no piense que nosotros como movimientos por la justicia social no están siendo vigilados deberíamos mirar históricamente a los programas del FBI como COINTELPRO. Los gobiernos han espiado a sus ciudadanos durante décadas, en algunos casos, siglos. Nuestros adversarios, las corporaciones, el gobierno de EE. UU. Y otros gobiernos internacionales, persiguen agresivamente los datos a través de Internet y mediante el acceso físico a las computadoras.

En la medida en que estemos tratando de construir poder y ser efectivos como movimientos, necesitamos estar informados sobre cuán vulnerables somos y tomar medidas para hacernos a nosotros mismos y a los demás más seguros. ¿No es eso de lo que se trata la solidaridad?

Para obtener más información sobre la mejora de la seguridad de sus datos o para solicitar información sobre entrenamientos o materiales de seguridad, comuníquese con The Ruckus Society a tech@ruckus.org.

ES
EN ES