Internet no fue creado para ser intrínsecamente seguro. De hecho, el protocolo IP identifica un dispositivo en Internet, no a una persona, y de ahí que la mayoría de las actividades realizadas por los sujetos en el ciberespacio sean potencialmente anónimas, generando todo un espacio de inseguridad jurídica.
Desde tiempos inmemoriales, el ser humano anhela la seguridad; ese área de confort es un sentimiento muy necesario para la convivencia pacífica en comunidad. Ahora bien, la seguridad no es un estado estático, sino un proceso en continuo movimiento.
El Ciberespacio constituye actualmente un nuevo escenario en el que gobiernos, entidades del sector privado y los propios ciudadanos libran auténticas batallas, en las que se disputa el equilibrio y sostenibilidad de un entorno abierto, carente de regulación e inseguro. El ciberespacio, lejos de ser un entorno neutral, se ha convertido en un instrumento de poder en manos de aquellos agentes que sepan utilizarlo en beneficio de sus intereses.
Así, para diagnosticar la situación actual es indispensable identificar: (i) las ciberamenazas a las que estamos expuestos; y (ii) las principales estrategias de seguridad que se pueden acometer a fin de contrarrestar tales amenazas, y/o, en su caso, mitigar los riesgos que pudieran derivarse de las mismas.
Conociendo el campo de batalla
En primer lugar, debemos tener en consideración los diversos fenómenos sociales, políticos y tecnológicos que han venido a redimensionar las estructuras del marco regulatorio del ciberespacio a nivel local, europeo y global.
A modo de ejemplo, la dependencia y accesibilidad al ciberespacio hacen que cada vez sean más comunes y preocupantes las intromisiones en este ámbito. El ciberespacio permite, en buena medida, la materialización de nuevos riesgos y amenazas. Los ciberataques, presentados en forma de ciberterrorismo, ciberdelincuencia, espionaje o hacktivismo, suponen un importante instrumento de agresión contra particulares e instituciones.
Asimismo, las ciberamenazas son cada vez más sofisticadas y representan peligros de primer orden que atentan contra la seguridad y estabilidad de los gobiernos y/o entidades del sector privado.
Conociendo al enemigo
En medio del escenario descrito, tal y como diría el estratega militar Sun Tzu en el siglo IV A.C, "No se puede combatir lo que nos es desconocido". Por lo tanto, es preciso ser conscientes que la Ciberseguridad es una guerra que se disputa en un escenario cambiante y que las amenazas existentes podrían tener efectos mucho más complejos y perjudiciales que los derivados de las amenazas tradicionales.
A mayor abundamiento, la ejecución de ciberataques, el robo de información, el ciberespionaje industrial, los ciberdelitos patrimoniales, la propagación de códigos maliciosos y la captación indebida de datos de carácter personal se erigen como "enemigos" constantes en este "campo de batalla" llamado Ciberespacio. Dichas ciberamenazas, a pesar de perpetrarse con cierta regularidad, en ocasiones ni siquiera son advertidas, ni tampoco son gestionadas de manera adecuada.
La falta de identificación y gestión de tales ciberamenazas parece estar intrínsecamente relacionada con: (i) la falta de concienciación sobre los riesgos de seguridad asociados a la apertura e interconexión entre el Ciberespacio y los entornos tradicionales; y (ii) la inadecuada valoración de la ciberamenaza, que suele percibirse como incierta o improbable.
Estrategia de Ciberseguridad
Para poder hacer frente a nuestro enemigo, en la arena del Ciberespacio, es preciso medir y gestionar los riesgos detectados de manera objetiva y repetible. A tal efecto, es fundamental disponer de una estrategia de Ciberseguridad apoyada en herramientas y metodologías que permitan realizar un análisis pormenorizado de cada uno de los riesgos. En este sentido, es recomendable contar con catálogos de activos, amenazas y vulnerabilidades, capaces de adaptar las metodologías a las particularidades del Ciberespacio.
Asimismo, la estrategia de Ciberseguridad debe responder a un proceso de mejora continua, a cuyo efecto conviene implementar: (i) herramientas de monitorización que permitan medir la seguridad a través de indicadores alineados con los objetivos de la organización; (ii) sistemas adecuados para detectar y gestionar los incidentes, que permitan examinar tanto las vulnerabilidades expuestas, como el procedimiento para manejar su respuesta.
Cybercompliance
Tal y como se ha indicado, en el campo de batalla del Ciberespacio es indispensable "conocerse a sí mismo". Esto conlleva: (i) identificar cada una de las circunstancias (normativas económicas, sociales, tecnológicas etc.) que afectan el desempeño de nuestra actividad en el Ciberespacio; (ii) analizar y gestionar los riesgos en el Ciberespacio para poder anticipar los potenciales impactos.
Riesgo = Impacto x Probabilidad
En este sentido, los servicios de cybercompliance representan un aliado que colabora, eficazmente, en la identificación, bajo criterios objetivos, de las probabilidades de que un riesgo que pueda afectar nuestro entorno se convierta en un impacto.
Dicho objetivo se consigue a partir de la evaluación de las ciberamenazas, el mapeo de los elementos en riesgo, la valoración de la vulnerabilidad y la estimación de costes y/o beneficios que podrían desprenderse de la implantación de una estrategia de Ciberseguridad integral.
De esta manera, los sujetos afectados en el entorno del Ciberespacio podrán librar las batallas contra los enemigos de la Ciberseguridad mediante un modelo de gestión que permita avanzar de la simple prevención, a la detección y respuesta planificada de las posibles ciberamenazas, en un contexto que permita (i) la ciberresiliencia; (ii) la reducción de las ciberamenazas; (iii) el desarrollo de una política de ciberdefensa, y (iv) el establecimiento de una estrategia integral y coherente en materia de Ciberseguridad.
La divergencia o ausencia de una tipificación formal a nivel internacional de los actos considerados como delictivos en el Ciberespacio, la falta de armonización y estandarización procesal de las pruebas electrónicas y la alta fragmentación entre los actores estatales con competencias en la lucha contra el cibercrimen, suponen un auténtico riesgo en el Ciberespacio para empresas, ciudadanos y gobiernos.
Lo anteriormente expuesto denota la clara vulnerabilidad sistémica de un nuevo entorno en el que el crecimiento, ubicuidad y nivel de penetración de las nuevas tecnologías supera con creces la velocidad de los procesos legislativos existentes.
Ante este escenario, es necesario plantearse si las empresas privadas están preparadas para afrontar su andadura en el ciberespacio con todas las garantías, especialmente en un mercado tan competitivo como el actual.
Si quieres disponer de toda la información y la opinión jurídica para estar al día, suscríbete a
Actualidad Jurídica Aranzadi 
