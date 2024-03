Mientras en el Congreso todavía se discuten dos propuestas para la creación de una agencia nacional de seguridad digital, Karisma -donde sigo trabajando- publicó unos informes sobre el tema. Les hablaré de dos en concreto, uno con recomendaciones para los planes de respuesta a incidentes y el otro que muestra el impacto diferencial que tuvo sobre mujeres cuidadoras el ataque que vivió Keralty en 2022.

Son once consideraciones para el diseño de un plan de respuesta a incidentes de ciberseguridad, se trata de una serie de consejos -elaborados a partir de entrevistas con funcionarios, derechos de petición y bibliografía especializada- para que cualquier entidad (grande o pequeña, pública o privada) reflexione sobre cómo prepararse para un posible incidente y desde allí acceder a otros recursos para continuar.

No voy a listar los once consejos pero me parece importante indicar que es algo que debe pensarse desde la planeación de las entidades, pues requiere de presupuesto, y que deben adelantar auditorías para entender sus riesgos y prioridades. Pero quizá de todas las consideraciones me interesa resaltar la número ocho “Recuperación” pues es la que conecta con el otro informe dando una perspectiva de género a la respuesta al incidente.

Efectivamente, enfrentados a un incidente de ciberseguridad después de entenderlo, investigarlo -si se recupera el sistema sin entender lo sucedido es factible que la situación se repita- y mitigar sus efectos, se pasa a la recuperación del sistema para volver a ofrecer los servicios y la infraestructura. Karisma indica que en ese punto las entidades se concentran en recuperar los servicios e infraestructura para volver a la acción y para evitar otro ataque. Sin embargo, la novedad que se propone incorporar a la respuesta al incidente es resaltar que para que efectivamente las personas estén en el centro de la política, paralelamente se debe trabajar y pensar en la respuesta a la población afectada -a la más afectada-, pues no puede ser solo sobre la tecnología.

En el plan de respuesta pueden identificar los grupos de población más vulnerables que atienden y anticipar medidas para facilitar el proceso de recuperación. Se trata de incorporar en forma consciente e intencional una perspectiva interseccional para atender mejor a las poblaciones más vulnerables a las que sirven.

Es en este punto que me interesa articular ese informe con el segundo que ejemplifica el tema con perspectiva de género. En este analizan un caso sobre las afectaciones que tuvieron las mujeres cuidadoras por el ciberataque a Sanitas -debido a un ransomware que afectó a la empresa matriz Keralty en 2022-. En el informe se lee que “las buenas prácticas de ciberseguridad proponen planes, estrategias y estudios que tienen como objetivo prevenir y gestionar los riesgos a los que se ven sometidos los sistemas tecnológicos y las infraestructuras críticas. No obstante, observa con insuficiencia a las personas en quienes las consecuencias de los daños en los sistemas recaen”.

El informe explica que fue el Conpes de 2020 (3995) el primer documento de política pública que se acercó a incorporar una perspectiva de género. Sin embargo, el documento quedó corto porque no se anima a explorar las relaciones del “género desde el poder o las necesidades o intereses de mujeres o personas con identidad y género diversos… simplemente se limita al fortalecimiento ciudadano de sus capacidades en seguridad digital.”

Está ya estudiado y se conoce la sobrecarga que manejan las mujeres cuidadoras (tanto no remuneradas -quienes hacen labores de cuidado sin recibir pago a cambio, como quien se hace cargo de su familiares enfermos o con discapacidad, o las remuneradas, quienes hacen esa labor y son remuneradas por hacerlo, como las enfermeras). Es una población vulnerable que tiene estrechos vínculos con el sector salud, por tanto se podía anticipar que la afectación que sufrió la EPS Sanitas las impactaría más. El informe explica la forma como ellas vivieron esta época y muestra especialmente las implicaciones que el uso del tiempo tiene en esta población que sufre de lo que se conoce como “pobreza de tiempo”, es decir, falta de tiempo para mantener el bienestar físico y mental de una persona, que termina haciéndolas gastar más dinero y les genera mucho estrés, incluso es la causa de que no puedan acceder a educación o empleo.

Aunque las labores de cuidado son determinantes en todos los aspectos de la vida, tienen especial conexión con sectores como la salud y por eso las políticas del sector y de sus operadores deben considerarlas en forma especial. La tecnología ha facilitado la vida de las cuidadoras, a unas les ha permitido aliviar su pobreza de tiempo facilitando trámites de citas y medicamentos para sus familiares en forma remota. A las otras, les permite llevar y acceder a la historia clínica de sus pacientes en forma más ágil y efectiva. Sin embargo, los fallos derivados del incidente de ciberseguridad las impactan de forma más directa.

El informe propone que el Estado, que sigue sin implementar una perspectiva de género amplia en sus políticas, tome algunas medidas: que incluya acciones concretas que deben actualizarse periódicamente; que elabore hojas de ruta para la respuesta a incidentes que tengan una aproximación diferencial según el sector e incluyan acciones para evitar la interrupción del acceso a derechos y a servicios de interés público para la población; y, que en el caso concreto de las labores de cuidado, tenga mecanismos para redistribuir y reducir las labores de cuidado según el contexto tecnológico a mitigar, evitando aumentar el impacto de la pobreza de tiempo que ya sufren quienes se dedican a estas labores.

En relación con las EPS, como Sanitas, Karisma recomienda tener un enfoque preventivo, que supere el reactivo actual, que incorpore un enfoque diferencial tanto para quienes trabajan allí como para quienes usan sus servicios. Pueden empezar con su plan de respuesta a incidentes que ya expliqué, dónde reconocen que las labores de cuidado están fuertemente vinculadas a su sector y por tanto pueden tomar algunas medidas concretas para incorporar en el plan acciones positivas que redistribuyen y evitan que aumente la carga de cuidado sobre las cuidadoras y para admitir que como la carga de la recuperación del sistema recae en las personas trabajadoras de primera línea -como las enfermeras que en su mayoría son mujeres-, esa sobrecarga como mínimo deberá ser atendida con apoyo psicosocial durante el proceso. Adicionalmente, como no se puede afectar el ejercicio de derechos, ni la prestación del servicio, deben trabajar en alternativas de medios analógicos adecuados para suplir la ausencia de tecnología que conlleva un ciberataque.

El gobierno trabaja en las metodologías para inventariar la infraestructura crítica que debe incluir el sector salud. Esta es una gran oportunidad para introducir al menos la perspectiva de género, ideal una mirada interseccional, a través del análisis de riesgo. Este permitirá diseñar después los planes de respuesta a incidentes y la fase de recuperación. Esto podría ser retomado por quienes están involucrados en la construcción de la agencia nacional de seguridad digital.

Nota. Sabiendo que es un tema sensible y complicado de comunicar, Karisma también publicó otro informe con recomendaciones para comunicar incidentes. ¡Conózcanlo!