Blog

La ciudadanía también necesita gestionar riesgos de seguridad

El pasado 30 de noviembre de 2017, en Fundación Karisma recibimos un correo de parte de MinTIC alertándonos sobre la existencia de guías de orientación para la gestión de riesgos de seguridad digital e invitándonos a participar con comentarios.

La invitación del Ministerio TIC no debe ser común. Usualmente tan solo publican y nos dan unos pocos días para comentar sus propuestas, esta vez agradecemos que nos reconocieron como parte interesada en el proceso regulatorio –después de que estamos haciendo seguimiento al Conpes de Ciberseguridad/Seguridad Digital desde 2014– y decidieron notificarnos del proceso de comentarios públicos. Con esta invitación nos dispusimos a revisar, analizar y comentar 5 documentos –el más pequeño de los cuales tenía 40 páginas y buena parte de estos documentos contaba además con contenido altamente técnicos– en un plazo de una semana. Para completar este cronograma fallido para la participación, las mesas de trabajo se hicieron en la semana antes de navidad, cuando la convocatoria es compleja.

En consecuencia Karisma considera que el gobierno todavía no consigue convocar procesos de participación ciudadana en la construcción de políticas públicas respetuosos y verdaderamente constructivos. Por eso, dado el plazo irrisorio de participación y el número de documentos a comentar, no es ninguna sorpresa que no hubiéramos podido hacerlo a profundidad. Sobre todo, fue imposible abordar las partes más técnicas de los documentos que usualmente requieren del apoyo de terceros que nos dan una mano en este proceso.

Ahora bien, nuestros comentarios de fondo fueron muy generales. Se refieren en primer lugar a la forma como se propone la nota de derecho de autor, hicimos algunos comentarios sobre el modelo nacional de gestión de riesgo –respecto del cual nos preocupa en particular la insuficiencia del modelo en lo relacionado con el sistema de reporte, evaluación y reacción a vulnerabilidades e incidentes (que además no están separados)– y nos concentramos más en la forma como clasifican y actúan frente a la audiencia que identifican.

Llama la atención que el gobierno decide ejecutar la obligación del Conpes de “gestión de riesgos de seguridad” en una forma altamente técnica para los diferentes sectores excepto para la ciudadanía en general –de la que hablaremos más adelante– y que, aunque los menciona, no aborde las particularidades de sectores gubernamentales sin asociación corporativa. Adicionalmente, no hay ninguna mención a organizaciones de la sociedad civil. Es decir, desarrollar el Conpes de Seguridad Digital de 2016 sigue siendo una prioridad esencialmente para los sospechosos de siempre: entidades públicas, organizaciones privadas y mixtas y la fuerza pública. Sin un análisis a profundidad, desde Karisma reconocemos que los documentos son interesantes y que pueden ser muy útiles para estas organizaciones.

Además de los silencios referidos respecto de organizaciones gubernamentales sin asociación corporativa y las organizaciones de la sociedad civil, es importante resaltar que la forma como se aborda este tema para la ciudadanía no es en la forma de una guía de gestión de riesgo, es un documento que ofrece una guía de buenas prácticas o comportamientos seguros limitados a escenarios muy concretos. El documento no intenta tener un lenguaje inclusivo lo que además dice mucho sobre su perspectiva de diversidad que no es evidente. Por tanto, la implementación del Conpes de Seguridad Digital deja vacíos importantes para poblaciones vulnerables y por tanto, es una deuda pendiente.

Si bien nuestros comentarios son superficiales e insuficientes los presentamos en el plazo indicado y los dejamos para su conocimiento.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.