:format(jpeg)/www.elespectador.com/resizer/sWEkzQfM0Eyak2UifCLSDMZaUyU=/arc-anglerfish-arc2-prod-elespectador/public/NTB5M65BZ5B55N3LXAWICFZ6YA.jpg)
La Organización para la Cooperación y el Desarrollo Económico (OCDE) reconoció la labor de la fundación Karisma por la construcción de una ruta para la divulgación de vulnerabilidades de seguridad digital en Colombia.
Desde 2016 el laboratorio de seguridad y privacidad digital de la Fundación Karisma (K+LAB) ha contribuido con los análisis no intrusivos a plataformas y aplicaciones del interés público. Investigación que ha servido para encontrar y reportar vulnerabilidades, incidentes de seguridad y fugas de datos a diferentes entidades del Estado.
Además, en 2019 la fundación fue más allá de estos reportes y estudió la necesidad de crear un modelo de divulgación responsable de vulnerabilidades de seguridad digital que facilitara una respuesta coordinada y rápida.
El alcance de este trabajo fue reconocido en el informe de la OCDE “Encouraging Vulnerability Treatment: How policy makers can help address digital security vulnerabilities”, en el en el apartado sobre divulgación coordinada.
De hecho, durante varios meses de 2020, Carolina Botero, directora de la Fundación Karisma, en calidad de participante del Comité Directivo de la Civil Society Information Society Advisory (CSISAC), colaboró activamente para la construcción del reporte de la OCDE.
La contribución se refleja en la actual Política de Confianza y Seguridad digital (CONPES 3995 de 2020), pues acoge una serie de acciones recomendadas por Karisma para crear un modelo nacional de “divulgación periódica de vulnerabilidades”.
Sin embargo, la fundación indica que “los desafíos económicos y sociales algunas veces impiden que las partes interesadas adopten buenas prácticas, incluida la falta de conciencia y cooperación, incentivos de mercado limitados, barreras legales, confianza limitada en el gobierno y falta de recursos y habilidades”.
Además, alerta que “permanece aún pendiente el establecimiento de puertos seguros que faciliten a la comunidad técnica el reporte de vulnerabilidades sin que se generen presiones con amenazas de procedimientos legales cuando sus acciones están encaminadas al reporte y el fortalecimiento de la seguridad digital de sistemas y plataformas del Estado”.