Gestion de riesgos en la Web Participativa (2008)

Gestión de riesgosen la

Web Participativa

Políticas de Uso de Servicios de Participación Ciudadanaen el contexto de las Administraciones Públicas

Miriam Ruiz - Fundación [email protected]

Índice

Introducción y Visión Global

Ejemplos

Servicios

Metodología

Peligros

Control del Riesgo

Introducción

El Futuro de la Web

● Web 1.0: Personas conectándose a la web para recibir información: Unidireccionalmente desde quien edita hacia quien lee.

● Web 2.0: Personas conectándose a personas: redes sociales, wikis, colaboración, posibilidad de compartir.

● Web 3.0: Aplicaciones web conectándose a otras aplicaciones web para enriquecer la experiencia de las personas.

Ventajas de la Web 2.0

● Proporciona un punto de encuentro para todos los agentes que intervienen en el funcionamiendo de la sociedad

● Compartición de la información: conocimientos, experiencias, sugerencias o quejas

● Colaboración activa y mayor protagonismo e implicación de la ciudadanía

● Vehículo para la aportación de ideas a la gestión pública● Generación y recopilación colectiva del conocimiento● Mayor transparencia en la gestión pública● Mejoras contínuas en los servicios públicos

Visión Global

Objetivos

● Desarrollar una metodología que permita extraer las mayores ventajas posibles del paradigma web 2.0, minimizando los riesgos

● Tener un conocimiento lo más preciso posible del fenómeno web 2.0 y sus consecuencias

● Conseguir obtener la mayor relación señal/ruido posible de la información generada de forma descentralizada

● Sistematizar el diseño de los nuevos servicios web 2.0

Participantes

● Personal interno: Relación contractual. Permanencia indefinida

● Personal contratado: Relación contractual, permanencia temporal

● Personas externas: No hay relación contractual, uso de los servicios que se ofrecen

● Personas ajenas: No existe ningún tipo de relación

● Personas anónimas: Sin identificar

Nivel de Identificación

● Identificación total por métodos directos: DNI, Pasaporte o similar.

● Identificación total por métodos indirectos: Nº de teléfono o similar.

● Identificación débil (pseudónimo): Alias, correo electrónico, OpenID o similar.

● Participación anónima: No hay nada que identifique a la persona

Nivel de Autenticación

● Mecanismos biométricos: Datos biológicos● Red segura: Conexión desde una red controlada

(Intranet)● Autenticación fuerte: DNIe, firma digital, etc.● Autenticación intermedia: Datos de carácter

privado● Autenticación débil: Mediante contraseña● Sin autentificar: Ningún tipo de autentificación

Servicios

Servicios

● Generación colectiva de Información:− Blogs o bitácoras

Otras opciones: Microblogs o nanoblogs, fotoblogs, videoblogs o vblogs

− Foros− Listas de correo− Wikis− Encuestas− Comentarios− Concursos

Servicios

● Contenido Multimedia (fotos, audio, video, flash, etc.):− Album fotográfico o gallery− Podcast− Video Podcast, Vidcast o Vodcast

● Clasificación colectiva de Contenidos:− Valoraciones− Etiquetas o tags, folcsonomías y nubes de

tags− Sistemas de clasificación según la

reputación

Servicios

● Exportación de Información:− Sindicación de contenidos (RSS, Atom)− Publicación de información en forma

semántica (RDF, RDFa)− APIs abiertos

● Integración de Contenidos:− Agregadores de blogs, planetas o metablogs− Mashups o aplicaciones web híbridas

Servicios

● Relaciones entre personas:− Chat o cibercharla

Mensajería instantánea Conferencias web Audio conferencias y video conferencias Mundos Virtuales

− Redes sociales● Intercambios comerciales o económicos

Metodología

Proceso de Gestión de Riesgos

● Definición de la estrategia global● Identificación de los riesgos● Evaluación inicial de los riesgos● Planificación de las medidas a tomar para

reducir los riesgos● Nueva evaluación de los riesgos● Control de los riesgos (aplicación de las

medidas planificadas)

�

● Recopilación de datos● Revisión periódica

Proceso de Gestión de Riesgos

Estrategiaglobal

Identificación de los riesgos

Evaluacióninicial

Evaluaciónfinal

Recolecciónde datos

Definición delas medidasde control

Control delos riesgos

Cálculo del Riesgo

Riesgo = Probabilidad x Daño

Cuantificación de la Probabilidad

● Alta: El suceso peligroso se va a producir habitualmente

● Media: El suceso peligroso se va a producir de vez en cuando

● Baja: El suceso peligroso se producirá pocas veces

● Nula: Es extremadamente improbable que se produzca el suceso peligroso

Cuantificación del Daño

● Grave o suceso extremadamente dañino: Si se produce el suceso, el daño ocasionado sería realmente muy importante

● Serio o suceso dañino: El daño ocasionado sería considerable

● Leve o suceso ligeramente dañino: El daño ocasionado no sería demasiado importante

● Sin daño: No se produce ningún daño

Cuantificación del Riesgo

Co nsecuencias (daño )

Probabilidad(peligro)

Leve Serio Grave

Baja Trivial Tolerable Moderado

M edia Tolerable Moderado Importante

Alta Moderado Importante Intolerable

Evaluación del Riesgo

● T: Trivial (No se requiere acción específica)

�

● TO: Tolerable (Mejoras que no supongan gran coste. Comprobaciones periódicas)

�

● MO: Moderado (Esfuerzos para reducir el riesgo)

�

● I: Importante (No se debe poner un servicio nuevo en funcionamiento. Priorizar la resolución del problema en un servicio ya en funcionamiento)

�

● IN: Intolerable (Parar el servicio inmediatamente)

�

Riesgo = Probabilidad x Daño

Peligros

Peligros

● R01: Atentados contra la intimidad personal, el honor o la propia imagen de las personas

● R02: Revelación y divulgación de secretos o datos confidenciales● R03: Contenidos ilegales o apología ilegal de delitos● R04: Contenidos no deseados o apología de actividades no

deseadas● R05: Cruces de ataques o insultos● R06: Amenazas● R07: Acoso psicológico continuado● R08: Acoso sexual● R11: Uso de la plataforma para la promoción empresarial o personal● R12: Publicidad negativa o participaciones destructivas o negativas● R13: Asuntos irrelevantes o ajenos a la temática tratada (off-topic)

Peligros

● R14: Baja calidad de las aportaciones● R15: Propagación de rumores e información falsa● R16: Pérdida de confianza en el servicio● R17: Pérdida de credibilidad de la institución● R18: Participación forzada de terceras personas● R21: Vulneración del derecho a la protección de datos de carácter

personal● R22: Vulneración de derechos de propiedad intelectual de terceros● R23: Suplantación de la personalidad● R24: Vulneración del derecho de protección de los y las menores● R25: Estafa● R26: Engaño o phishing

Peligros

● R31: SPAM o mensajes masivos no solicitados● R32: Sabotaje: malware, virus, troyanos, spyware,...● R33: Suscripción masiva● R34: Robo masivo de datos personales● R35: Problemas de accesibilidad● R41: Baja participación● R42: Uso masivo del servicio (“morir de éxito”)● R43: Participación sesgada o restringida a un sector de la población● R44: Aparición de grupos de poder● R51: Uso inapropiado de la información en servicios ajenos

Consecuencias

● Legales: Acciones legales que se podrían tomar contra la organización por los contenidos publicados por terceros

● Mediáticas o de imagen: Impacto que puede tener en los medios de comunicación lo que se publique en los servicios colaborativos

● Económicas: Que puedan afectar económicamente a la organización

● Técnicas: Posibles problemas de carácter técnico que, involuntariamente o de forma premeditada, pueden causar terceras personas con su participación

● Sociales: Relativas a la calidad del propio servicio para las personas usuarias

Control del Riesgo

Medidas proactivas o preventivas

● Definición e información de las condiciones de uso de los servicios● Información y gestión adecuada de los datos personales● Condiciones de licenciamiento de la información y los contenidos● Información adecuada a las personas que usen los servicios● Formación al personal de la organización● Colaboración con entidades de gestión de derechos de autoría● Limitación de la participación de menores● Moderación previa antes de la publicación de contenidos de terceros● Filtrado automático por formato o por contenido● Uso de captchas (semánticos o accesibles)● Identificación y autenticación previa de participantes● Restricciones en el acceso a los contenidos o a la participación● Dinamización y motivación desde dentro de la propia comunidad● Planificación adecuada de la puesta en marcha de los servicios

Medidas reactivas o correctivas

● Retirada o modificación de contenidos ya publicados● Participación directa en el servicio por parte de la organización● Moderación colectiva por parte de la comunidad● Cancelación de cuentas de usuario o usuaria● Eliminación de la posibilidad de acceder a un servicio● Definición de planes de contingencia● Notificación o denuncias ante las autoridades competentes

Medidas de supervisión o vigilancia

● Vigilancia activa de lo publicado por parte de la organización● Sistemas de aviso de problemas por parte de la comunidad● Disponibilidad de una cuenta de correo para avisos personalizados● Vigilancia activa del impacto y reutilización en servicios externos● Mecanismos automatizados de revisión de lo publicado

Ejemplos (listas de correo)

Ejemplo: Contenidos Ilegales

Probabilidad Inicial (peligro) Consecuencias Iniciales (daño) Riesgo Inicial

Alta Dañino Importante

ActuaciónProba-bilidad

Conse-cuencias

Moderación basada en listas de clasificación de usuarios/as ↓ =

Identificación previa de los y las participantes ↓ =

Flitrado automático de contenidos ↓ =

Eliminación del mensaje = ↓

Avisos del resto de usuarios/as = ↓

Probabilidad Final (peligro) Consecuencias Finales (daño) Riesgo Final

Media Leve Moderado

Ejemplo: SPAM


Alta Leve Moderado

ActuaciónProba-bilidad

Conse-cuencias

Moderación basada en listas de clasificación de usuarios/as ↓ =

Identificación previa de los y las participantes ↓ =

Flitrado anti-SPAM automatizado ↓↓ =

Eliminación del mensaje = ↓

Avisos del resto de usuarios/as = ↓


Baja Leve Trivial

Ejemplo: Baja Participación


Alta Leve Moderado

Actuación Proba-bilidad

Conse-cuencias

Identificación previa de los y las participantes ↑ =

Moderación basada en listas de clasificación de usuarios/as ↑ =

Motivar a usuarios y usuarias a que participen ↓ =

Aportar contenidos interesantes desde la organización ↓ =

Publicitar la lista ↓ =


Media Leve Tolerable

Gestión de riesgosen la

Web Participativa

Políticas de Uso de Servicios de Participación Ciudadanaen el contexto de las Administraciones Públicas

Miriam Ruiz - Fundación [email protected]

Autoría

Promovido y desarrollado por:− Gobierno del Principado de Asturias - http://www.asturias.es− CTIC Centro Tecnológico - http://www.fundacionctic.org

Grupo de trabajo, en orden alfabético:− Eloy Braña Gundin (Principado de Asturias)− Chus García (Fundación CTIC)− Marc Garriga (Ayuntamiento de Barcelona)− Raquel Gisbert (Ayuntamiento de Barcelona)− Mª Carmen Herrera (Principado de Asturias)− Dolors Pou (Xperience Consulting)− Andrés Ramos Gil de la Haza (Bardají & Honrado Abogados)− José Luis Rodríguez (Principado de Asturias)− Miriam Ruiz González (Fundación CTIC)

Licencia

Todos los contenidos de esta obra pertenecen a la Fundación CTIC y están protegidos por los derechos de propiedad intelectual e industrial que otorga la legislación vigente. Su uso, reproducción, distribución,

comunicación pública, puesta a disposición, transformación o cualquier otra actividad similar o análoga está totalmente prohibida, salvo en los casos que están explícitamente permitidos por la licencia bajo la que está publicada. Fundación CTIC se reserva el derecho a ejercer las acciones judiciales que correspondan contra los quienes violen o

infrinjan sus derechos de propiedad intelectual y/o industrial.

Esta obra está publicada bajo una licencia Creative CommonsReconocimiento-CompartirIgual 3.0

(CC-by-sa 3.0).

Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by-sa/3.0/

Gestion de riesgos en la Web Participativa (2008)

Business

Transcript of Gestion de riesgos en la Web Participativa (2008)