Las Tecnologías de la Información y las Comunicaciones (TIC) han cambiando el modo en el que interactuamos con otras personas y con el entorno dando lugar al denominado ciberespacio o conjunto de medios y procedimientos basados en las TIC, configurados para la prestación de servicios.
En el ciberespacio podemos encontrar componentes diversos como los geográficos (localización física de elementos), las redes físicas (hardware e infraestructura física), las redes o conexiones lógicas junto a los dispositivos conectados, las personas o individuos que interactúan con el ciberespacio y la identidad digital (cuentas de correo electrónico, perfiles en redes sociales, etc.) Factores como la falta de fronteras, de legislación, las distancias, la velocidad y la ubicuidad unidas al mayor grado de dependencia de nuestra sociedad al ciberespacio, hacen necesarios nuevos modelos de seguridad, proactivos, que cuenten con un profundo conocimiento de las amenazas y con procesos continuos de análisis y gestión de riesgos.
Al igual que la dependencia y el uso del ciberespacio aumenta y evoluciona con las TIC, también lo hacen las amenazas siendo cada vez más numerosas y complejas. Las amenazas más destacables en el ciberespacio son las que atacan a la información y a las infraestructuras TIC:
• En relación con la información destacan el robo de información sensible, robo de datos personales o de la identidad digital para usos fraudulentos, etc Usando para ello generalmente el engaño o la ingeniería social.
• Entre las amenazas contra la infraestructura TIC destacan los ataques contra las redes, servicios, sistemas e infraestructuras críticas o sectores estratégicos (sector sanitario, sector energético, sector financiero, sector de transportes, etc.) pudiendo provocar la indisponibilidad de los servicios críticos que soportan y producir grandes impactos.
La gestión de los riesgos en el ciberespacio consiste en aplicar de forma proactiva, un proceso de mejora continua de análisis y gestión de los riesgos relacionados con el uso, procesamiento, almacenamiento y transmisión de información o datos y los sistemas y procesos usados, basándose en los estándares internacionalmente aceptados, de tal forma que se consiga un estado de riesgo conocido y controlado.
Uno de los puntos estratégico de la gestión de los riesgos, es la concienciación de las personas en materia de seguridad creando una cultura de seguridad; La sociedad debe conocer los riesgos tanto individuales (privacidad e intimidad) como colectivos (económicos, sociales, culturales) a los que se expone si hace un uso irresponsable del ciberespacio.
El Instituto Español de Ciberseguridad (SCSI) y la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum) cuentan con un análisis detallado sobre el tema. La ISO / IEC 27032:2012, Tecnologías de la información – Técnicas de seguridad – Directrices para la ciberseguridad proporciona un marco global de colaboración de múltiples partes interesadas para reducir los riesgos del ciberespacio.
Fotografía de FrankGuido |Flickr