gestion de riesgos en la web participativa (2008)
TRANSCRIPT
Gestión de riesgosen la
Web Participativa
Políticas de Uso de Servicios de Participación Ciudadanaen el contexto de las Administraciones Públicas
Miriam Ruiz - Fundación [email protected]
Índice
Introducción y Visión Global
Ejemplos
Servicios
Metodología
Peligros
Control del Riesgo
Introducción
El Futuro de la Web
● Web 1.0: Personas conectándose a la web para recibir información: Unidireccionalmente desde quien edita hacia quien lee.
● Web 2.0: Personas conectándose a personas: redes sociales, wikis, colaboración, posibilidad de compartir.
● Web 3.0: Aplicaciones web conectándose a otras aplicaciones web para enriquecer la experiencia de las personas.
Ventajas de la Web 2.0
● Proporciona un punto de encuentro para todos los agentes que intervienen en el funcionamiendo de la sociedad
● Compartición de la información: conocimientos, experiencias, sugerencias o quejas
● Colaboración activa y mayor protagonismo e implicación de la ciudadanía
● Vehículo para la aportación de ideas a la gestión pública● Generación y recopilación colectiva del conocimiento● Mayor transparencia en la gestión pública● Mejoras contínuas en los servicios públicos
Visión Global
Objetivos
● Desarrollar una metodología que permita extraer las mayores ventajas posibles del paradigma web 2.0, minimizando los riesgos
● Tener un conocimiento lo más preciso posible del fenómeno web 2.0 y sus consecuencias
● Conseguir obtener la mayor relación señal/ruido posible de la información generada de forma descentralizada
● Sistematizar el diseño de los nuevos servicios web 2.0
Participantes
● Personal interno: Relación contractual. Permanencia indefinida
● Personal contratado: Relación contractual, permanencia temporal
● Personas externas: No hay relación contractual, uso de los servicios que se ofrecen
● Personas ajenas: No existe ningún tipo de relación
● Personas anónimas: Sin identificar
Nivel de Identificación
● Identificación total por métodos directos: DNI, Pasaporte o similar.
● Identificación total por métodos indirectos: Nº de teléfono o similar.
● Identificación débil (pseudónimo): Alias, correo electrónico, OpenID o similar.
● Participación anónima: No hay nada que identifique a la persona
Nivel de Autenticación
● Mecanismos biométricos: Datos biológicos● Red segura: Conexión desde una red controlada
(Intranet)● Autenticación fuerte: DNIe, firma digital, etc.● Autenticación intermedia: Datos de carácter
privado● Autenticación débil: Mediante contraseña● Sin autentificar: Ningún tipo de autentificación
Servicios
Servicios
● Generación colectiva de Información:− Blogs o bitácoras
Otras opciones: Microblogs o nanoblogs, fotoblogs, videoblogs o vblogs
− Foros− Listas de correo− Wikis− Encuestas− Comentarios− Concursos
Servicios
● Contenido Multimedia (fotos, audio, video, flash, etc.):− Album fotográfico o gallery− Podcast− Video Podcast, Vidcast o Vodcast
● Clasificación colectiva de Contenidos:− Valoraciones− Etiquetas o tags, folcsonomías y nubes de
tags− Sistemas de clasificación según la
reputación
Servicios
● Exportación de Información:− Sindicación de contenidos (RSS, Atom)− Publicación de información en forma
semántica (RDF, RDFa)− APIs abiertos
● Integración de Contenidos:− Agregadores de blogs, planetas o metablogs− Mashups o aplicaciones web híbridas
Servicios
● Relaciones entre personas:− Chat o cibercharla
Mensajería instantánea Conferencias web Audio conferencias y video conferencias Mundos Virtuales
− Redes sociales● Intercambios comerciales o económicos
Metodología
Proceso de Gestión de Riesgos
● Definición de la estrategia global● Identificación de los riesgos● Evaluación inicial de los riesgos● Planificación de las medidas a tomar para
reducir los riesgos● Nueva evaluación de los riesgos● Control de los riesgos (aplicación de las
medidas planificadas)
�
● Recopilación de datos● Revisión periódica
Proceso de Gestión de Riesgos
Estrategiaglobal
Identificación de los riesgos
Evaluacióninicial
Evaluaciónfinal
Recolecciónde datos
Definición delas medidasde control
Control delos riesgos
Cálculo del Riesgo
Riesgo = Probabilidad x Daño
Cuantificación de la Probabilidad
● Alta: El suceso peligroso se va a producir habitualmente
● Media: El suceso peligroso se va a producir de vez en cuando
● Baja: El suceso peligroso se producirá pocas veces
● Nula: Es extremadamente improbable que se produzca el suceso peligroso
Cuantificación del Daño
● Grave o suceso extremadamente dañino: Si se produce el suceso, el daño ocasionado sería realmente muy importante
● Serio o suceso dañino: El daño ocasionado sería considerable
● Leve o suceso ligeramente dañino: El daño ocasionado no sería demasiado importante
● Sin daño: No se produce ningún daño
Cuantificación del Riesgo
Co nsecuencias (daño )
Probabilidad(peligro)
Leve Serio Grave
Baja Trivial Tolerable Moderado
M edia Tolerable Moderado Importante
Alta Moderado Importante Intolerable
Evaluación del Riesgo
● T: Trivial (No se requiere acción específica)
�
● TO: Tolerable (Mejoras que no supongan gran coste. Comprobaciones periódicas)
�
● MO: Moderado (Esfuerzos para reducir el riesgo)
�
● I: Importante (No se debe poner un servicio nuevo en funcionamiento. Priorizar la resolución del problema en un servicio ya en funcionamiento)
�
● IN: Intolerable (Parar el servicio inmediatamente)
�
Riesgo = Probabilidad x Daño
Peligros
Peligros
● R01: Atentados contra la intimidad personal, el honor o la propia imagen de las personas
● R02: Revelación y divulgación de secretos o datos confidenciales● R03: Contenidos ilegales o apología ilegal de delitos● R04: Contenidos no deseados o apología de actividades no
deseadas● R05: Cruces de ataques o insultos● R06: Amenazas● R07: Acoso psicológico continuado● R08: Acoso sexual● R11: Uso de la plataforma para la promoción empresarial o personal● R12: Publicidad negativa o participaciones destructivas o negativas● R13: Asuntos irrelevantes o ajenos a la temática tratada (off-topic)
Peligros
● R14: Baja calidad de las aportaciones● R15: Propagación de rumores e información falsa● R16: Pérdida de confianza en el servicio● R17: Pérdida de credibilidad de la institución● R18: Participación forzada de terceras personas● R21: Vulneración del derecho a la protección de datos de carácter
personal● R22: Vulneración de derechos de propiedad intelectual de terceros● R23: Suplantación de la personalidad● R24: Vulneración del derecho de protección de los y las menores● R25: Estafa● R26: Engaño o phishing
Peligros
● R31: SPAM o mensajes masivos no solicitados● R32: Sabotaje: malware, virus, troyanos, spyware,...● R33: Suscripción masiva● R34: Robo masivo de datos personales● R35: Problemas de accesibilidad● R41: Baja participación● R42: Uso masivo del servicio (“morir de éxito”)● R43: Participación sesgada o restringida a un sector de la población● R44: Aparición de grupos de poder● R51: Uso inapropiado de la información en servicios ajenos
Consecuencias
● Legales: Acciones legales que se podrían tomar contra la organización por los contenidos publicados por terceros
● Mediáticas o de imagen: Impacto que puede tener en los medios de comunicación lo que se publique en los servicios colaborativos
● Económicas: Que puedan afectar económicamente a la organización
● Técnicas: Posibles problemas de carácter técnico que, involuntariamente o de forma premeditada, pueden causar terceras personas con su participación
● Sociales: Relativas a la calidad del propio servicio para las personas usuarias
Control del Riesgo
Medidas proactivas o preventivas
● Definición e información de las condiciones de uso de los servicios● Información y gestión adecuada de los datos personales● Condiciones de licenciamiento de la información y los contenidos● Información adecuada a las personas que usen los servicios● Formación al personal de la organización● Colaboración con entidades de gestión de derechos de autoría● Limitación de la participación de menores● Moderación previa antes de la publicación de contenidos de terceros● Filtrado automático por formato o por contenido● Uso de captchas (semánticos o accesibles)● Identificación y autenticación previa de participantes● Restricciones en el acceso a los contenidos o a la participación● Dinamización y motivación desde dentro de la propia comunidad● Planificación adecuada de la puesta en marcha de los servicios
Medidas reactivas o correctivas
● Retirada o modificación de contenidos ya publicados● Participación directa en el servicio por parte de la organización● Moderación colectiva por parte de la comunidad● Cancelación de cuentas de usuario o usuaria● Eliminación de la posibilidad de acceder a un servicio● Definición de planes de contingencia● Notificación o denuncias ante las autoridades competentes
Medidas de supervisión o vigilancia
● Vigilancia activa de lo publicado por parte de la organización● Sistemas de aviso de problemas por parte de la comunidad● Disponibilidad de una cuenta de correo para avisos personalizados● Vigilancia activa del impacto y reutilización en servicios externos● Mecanismos automatizados de revisión de lo publicado
Ejemplos (listas de correo)
Ejemplo: Contenidos Ilegales
Probabilidad Inicial (peligro) Consecuencias Iniciales (daño) Riesgo Inicial
Alta Dañino Importante
ActuaciónProba-bilidad
Conse-cuencias
Moderación basada en listas de clasificación de usuarios/as ↓ =
Identificación previa de los y las participantes ↓ =
Flitrado automático de contenidos ↓ =
Eliminación del mensaje = ↓
Avisos del resto de usuarios/as = ↓
Probabilidad Final (peligro) Consecuencias Finales (daño) Riesgo Final
Media Leve Moderado
Ejemplo: SPAM
Probabilidad Inicial (peligro) Consecuencias Iniciales (daño) Riesgo Inicial
Alta Leve Moderado
ActuaciónProba-bilidad
Conse-cuencias
Moderación basada en listas de clasificación de usuarios/as ↓ =
Identificación previa de los y las participantes ↓ =
Flitrado anti-SPAM automatizado ↓↓ =
Eliminación del mensaje = ↓
Avisos del resto de usuarios/as = ↓
Probabilidad Final (peligro) Consecuencias Finales (daño) Riesgo Final
Baja Leve Trivial
Ejemplo: Baja Participación
Probabilidad Inicial (peligro) Consecuencias Iniciales (daño) Riesgo Inicial
Alta Leve Moderado
Actuación Proba-bilidad
Conse-cuencias
Identificación previa de los y las participantes ↑ =
Moderación basada en listas de clasificación de usuarios/as ↑ =
Motivar a usuarios y usuarias a que participen ↓ =
Aportar contenidos interesantes desde la organización ↓ =
Publicitar la lista ↓ =
Probabilidad Final (peligro) Consecuencias Finales (daño) Riesgo Final
Media Leve Tolerable
Gestión de riesgosen la
Web Participativa
Políticas de Uso de Servicios de Participación Ciudadanaen el contexto de las Administraciones Públicas
Miriam Ruiz - Fundación [email protected]
Autoría
Promovido y desarrollado por:− Gobierno del Principado de Asturias - http://www.asturias.es− CTIC Centro Tecnológico - http://www.fundacionctic.org
Grupo de trabajo, en orden alfabético:− Eloy Braña Gundin (Principado de Asturias)− Chus García (Fundación CTIC)− Marc Garriga (Ayuntamiento de Barcelona)− Raquel Gisbert (Ayuntamiento de Barcelona)− Mª Carmen Herrera (Principado de Asturias)− Dolors Pou (Xperience Consulting)− Andrés Ramos Gil de la Haza (Bardají & Honrado Abogados)− José Luis Rodríguez (Principado de Asturias)− Miriam Ruiz González (Fundación CTIC)
Licencia
Todos los contenidos de esta obra pertenecen a la Fundación CTIC y están protegidos por los derechos de propiedad intelectual e industrial que otorga la legislación vigente. Su uso, reproducción, distribución,
comunicación pública, puesta a disposición, transformación o cualquier otra actividad similar o análoga está totalmente prohibida, salvo en los casos que están explícitamente permitidos por la licencia bajo la que está publicada. Fundación CTIC se reserva el derecho a ejercer las acciones judiciales que correspondan contra los quienes violen o
infrinjan sus derechos de propiedad intelectual y/o industrial.
Esta obra está publicada bajo una licencia Creative CommonsReconocimiento-CompartirIgual 3.0
(CC-by-sa 3.0).
Para ver una copia de esta licencia, visite http://creativecommons.org/licenses/by-sa/3.0/