La importancia de la educación en ciberseguridad en niños y adolescentes

Año tras año, la tecnología está cada vez más presente en la vida cotidiana de las personas, incluyendo niños y adolescentes. El creciente uso de dispositivos electrónicos, acceso a internet y redes sociales supone una disrupción con respecto a anteriores métodos de aprendizaje y entretenimiento. A pesar de que estas tecnologías brindan un mundo nuevo de oportunidades, tanto a los más jóvenes como a los que no, también los expone a grandes riesgos. 

En la era digital en la que vivimos, es imprescindible tomar conciencia de la importancia que tiene la ciberseguridad para garantizar la privacidad y el bienestar de todos los usuarios que hacen uso de las tecnologías, aprendiendo a usarlas de forma ética y responsable.

En este artículo hablaremos sobre los riesgos más significativos a los que se exponen niños y adolescentes cuando hacen uso de las nuevas tecnologías, así como las buenas prácticas para evitar estos riesgos.

Riesgos más significativos

Las nuevas tecnologías, y en particular, las redes sociales, suponen un gran atractivo para los jóvenes por la capacidad de autoexpresión, conexión social y el gran acceso a información que ofrecen aplicaciones como Instagram, TikTok o Twitter. Si bien estas aplicaciones nacen con fines positivos, el uso que cada usuario da a las redes sociales deriva en la existencia de multitud de riesgos, especialmente para los jóvenes. Entre los riesgos más conocidos, nos encontramos:

• Ciberbullying: Es una forma de acoso psicológico producida en línea, utilizando medios digitales como redes sociales, mensajes de texto, correos electrónicos. etc. El ciberbullying puede manifestarse en multitud de formas, como insultos o humillaciones, amenazas, suplantaciones de identidad o la difusión de rumores o información o contenido privado.

• Grooming: Se entiende por este término a la acción por parte de un adulto de establecer contacto con un menor a través de internet, generalmente con la intención de llegar a la actividad sexual. A menudo, estos usuarios ocultan su verdadera identidad o edad, llegando a adoptar los patrones de actuación de un usuario con la edad de la víctima.

• Sexting: Esta práctica, mayormente realizada entre jóvenes, hace referencia al envío de contenido sexual o erótico a través de plataformas tecnológicas. El riesgo de esta práctica reside en la pérdida total del control sobre el contenido que se comparte, exponiéndose los usuarios a que dicho contenido acabe en lugares indeseados, ya sea por difusión no consentida, pérdida/robo de los dispositivos 

• Adicción: A menudo, crecer inmersos en los dispositivos digitales puede derivar en el uso desmesurado de los mismos y en el desarrollo de una adicción a las tecnologías. Bajo estas circunstancias, los adolescentes van poco a poco perdiendo la capacidad de gestionar su tiempo con los dispositivos tecnológicos, llegando a producirles malestar cuando no pueden hacer uso de los mismos. El desarrollo de los niños y adolescentes bajo el uso excesivo de dispositivos puede provocar aislamiento social o dificultades para establecer relaciones sociales, retrasos en el aprendizaje, problemas en el desarrollo de la conducta, etc.

• Contenido inadecuado: El contenido al que los adolescentes y niños pueden llegar a acceder cuando no se establece un control adecuado pueden influir gravemente en su desarrollo. Los menores no tienen la capacidad de interpretar adecuadamente la información expuesta en internet, por lo que pueden asumir (erróneamente) que ciertos contenidos son positivos y desarrollar actitudes o conductas en base a lo observado. 

Actuaciones para fomentar la seguridad y responsabilidad en línea

La mayoría de las medidas que se pueden aplicar para que la interacción de los niños y adolescentes con las nuevas tecnologías e internet se realice de forma segura y responsable tienen que ver con la forma en la que sus responsables comuniquen y eduquen a los menores, no tanto en conocimientos informáticos.

Comunicación y educación.

• Resulta necesario fomentar un ambiente familiar en el que poder expresar de manera abierta los riesgos a los que un usuario se expone en Internet y las redes sociales, así como de la importancia de la privacidad en línea, como identificar y evitar estafas y cómo comportarse en redes sociales. 

• Reforzar la empatía y el respeto, ayudándoles a comprender el impacto de las palabras en línea y de la repercusión que pueden tener sus acciones en la vida de otras personas, es un reto que requiere una combinación de paciencia, enseñanza constante y modelado de comportamiento. Educar sobre la empatía digital implica mostrarles cómo las interacciones en línea afectan los sentimientos, la autoestima y la percepción de otros. Además, implica destacar que cada palabra escrita tiene un poder real, pudiendo generar alegría, tristeza, confianza o dolor en quienes las reciben.

• Al igual que los niños y adolescentes imitan comportamientos que observan en redes sociales, también llegan a imitar el comportamiento de los adultos que los rodean. Por ello, se recomienda siempre que los padres/cuidadores del menor muestren comportamientos responsables en línea. Además, durante las etapas iniciales, es recomendable que los niños hagan uso de los dispositivos bajo la supervisión de un adulto, para asegurarse de que entienden cómo navegar de forma segura.

Control parental y herramientas de seguridad. 

La comunicación y la educación de los menores puede verse acompañada de medidas para supervisar y regular del uso de los dispositivos, para evitar riesgos como la adicción y el acceso a contenido inadecuado. 

En función de la edad del menor y del contenido nocivo al que pueda estar expuesto, es recomendable restringir el acceso a los sitios web o contenido inapropiado que se considere. Esta serie de restricciones deben de ir acompañadas de una explicación del “por qué” para que comprendan cual es el riesgo asociado.

El establecimiento de horarios y límites de uso consensuados con el menor permite reforzar la confianza con los mismos así como promover el equilibrio entre la vida con dispositivos electrónicos y las actividades diarias necesarias como el tiempo de descanso, la actividad física o la comunicación offline con otras personas.

En resumen, la convergencia de la educación, la comunicación abierta, la supervisión y el uso de herramientas de control parental se convierte en el enfoque integral para fomentar la seguridad y la responsabilidad en línea de los jóvenes. La colaboración entre padres, educadores y la sociedad en general es clave para garantizar un entorno en línea que sea seguro y beneficioso para el desarrollo de los niños y adolescentes en la era digital.

Alba Vara, Analista de Ciberseguridad en Zerolynx.

Gestión de la Ciberseguridad vs Ciberseguridad Gestionada

Dos términos o conceptos que, aparentemente parecen ser y significar lo mismo, pero que cuentan con matizaciones que albergan sus sutiles diferencias, dependiendo del punto de vista y del modelo de gestión por la empresa haya apostado.

La gestión de la ciberseguridad consiste en un modelo de protección determinado por la estrategia integral de una organización, con el fin de proteger todos sus sistemas, infraestructura, datos y activos de información contra riesgos y amenazas (contra ciberriesgos y ciberamenazas).

Esto implica un proceso completo y reiterativo de revisión, recogida de necesidades, determinación de alcance, definición, planificación, implementación, test, supervisión y mejora continua de políticas, procedimientos, herramientas, servicios, soluciones y tecnologías de ciberseguridad.

La seguridad gestionada, efectivamente, parece ser lo mismo, entendida como un modelo de manejo de la ciberseguridad, centrado en ofrecer también protección integral a los sistemas y datos de la organización.

Entonces, ¿son lo mismo, o solo lo parece? A priori, sí, son lo mismo, en cuanto a que comparten los mismos objetivos. Sin embargo, cuando hablamos de “seguridad gestionada” como tal, entendemos algo más que no forma parte de la gestión de la seguridad: la subcontratación de algunas, o todas, las tareas de ciberseguridad, a proveedores externos expertos (en general en ciberseguridad y/o en particular especializados en determinados aspectos de ella).

Es decir, el matiz diferencial radica en que cuando hablamos de ciberseguridad gestionada hablamos de que la organización no se encarga de su propia ciberseguridad, sino que lo hace un tercero, mientras que, cuando hablamos de la gestión de la ciberseguridad, en la inmensa mayoría de los casos, la organización es la que se encarga de su propia ciberseguridad, parcialmente o en su totalidad y con apoyo parcial, o no, de terceros.

Quizá esto se pueda entender mejor poniéndonos en la situación en la que preguntamos a una empresa cosas como: “Y, vosotros, ¿Qué modelo de gestión de la ciberseguridad seguís?”, o “¿Quién se encarga de la gestión de vuestra ciberseguridad?”. Quizá esa sea la clave diferencial, el Modelo de Gestión de la Ciberseguridad que se lleva a cabo, interno (Departamento de IT y especialistas en la materia que son plantilla de la empresa), o externo (contratación de colaboradores, subcontratación, outsourcing).

La gestión de la ciberseguridad por parte de la organización pone en sus manos el control directo sobre las políticas y procesos de ciberseguridad, adaptándolos a sus necesidades específicas, aunque suponga un mayor esfuerzo y coste en términos de recursos internos especializados y formación continua.

La ciberseguridad gestionada delega esa responsabilidad y control en la experiencia especializada de proveedores externos, reduciendo la carga de trabajo del equipo interno y siendo más rentable, aunque genere dependencia y limite la capacidad de personalización. Los proveedores de servicios de ciberseguridad gestionada ofrecen además monitorización en tiempo real, detección de amenazas, respuesta a incidentes y asesoramiento experto, entre otros "pluses” adicionales.

Por su puesto es perfectamente viable (e incluso apropiado y sano en muchas ocasiones si es viable) la convivencia de ambos modelos en un Modelo Mixto o Modelo Híbrido, donde la organización decide vincular determinados aspectos de su ciberseguridad a un tercero (o varios), mientras otros se tratan internamente por las razones que sea.

¿Cuál de ellas es mejor? ¿Cuál de los tres modelos de gestión es el más apropiado, eficiente y rentable? Dependerá de cada caso, de cada empresa, de sus necesidades, de su sensibilidad hacia la delegación, de su core business, de su sector, de su dimensión, de sus recursos, de sus objetivos, de sus clientes o tipos de clientes, de si se trata de una empresa con productos, servicios o actividades críticas o no, de sus finanzas, de sus inversores, del consejo.

Internalizar brinda mayor control y adaptabilidad, pero puede ser costoso y requerir una inversión significativa en talento especializado.

Externalizar puede ser más rápido, eficiente y rentable y proporcionar acceso a conocimientos especializados, pero implica una dependencia externa y una posible falta de adaptabilidad.

Por ese motivo, en la mayoría de las ocasiones, la mejor opción generalmente es un enfoque mixto que mantenga la gestión de ciberseguridad internamente, contando al mismo tiempo con servicios gestionados de ciberseguridad externos.

La gestión interna de la ciberseguridad (internalizar), tiene sus ventajas:

• Control interno donde la empresa tiene lleva directamente las riendas de las estrategias y medidas de ciberseguridad implementadas.

• Adaptabilidad, ya que permite una mayor flexibilidad y personalización a las necesidades y características especiales de la empresa debido al know-how o conocimiento interno de la organización.

• Know-how o conocimiento interno, que permite desarrollar conocimientos especializados (knowledge) dentro de la organización.

Pero, la gestión interna de la ciberseguridad (internalizar), también tiene sus desventajas:

• Mayor esfuerzo para la empresa, en términos de organización, capacidad, procesos, tiempos y recursos (con su dimensionamiento, gestión y formación).

• Coste e inversión elevada en comparación con el modelo alternativo, ya que requiere de la búsqueda contratación de talento especializado, la incentivación que evite fuga de talento, las tecnologías y soluciones adoptadas y el reciclaje, capacitación o formación continua especializada de dicho personal.

• Limitaciones en el acceso a recursos especializados que pueden interferir en la captación de expertos y especialistas por parte de empresas recursos medianas, pequeñas, o con escaso presupuesto.

• Complejidad para mantenerse al día como para ser capaces de proteger eficientemente debido al abrumador volumen diario de nuevas amenazas emergentes, nuevas técnicas, la infinidad de vectores de ataque, tendencias, nuevas vulnerabilidades, parches y actualizaciones de seguridad que aplicar, etc.

Por su parte, la ciberseguridad gestionada, cuenta con las siguientes ventajas:

• Puede llegar a ser más rápido, eficiente y rentable.

• Capacidad de delegación de actividad y responsabilidad que reduce la carga de trabajo del equipo interno de IT, o lo libera de tareas, permitiéndoles focalizarse en las que sí deben atender.

• Reducción de costes en comparación con el mantenimiento de un equipo interno de expertos y especialistas o la asunción de parte de estas tareas por el equipo IT sin capacidad ni conocimientos específicos.

• Acceso a expertos y especialistas que no siempre se puede llegar a lograr con la gestión interna.

• Acceso a conocimientos especializados que provienen del acompañamiento, servicio y soporte de verdaderos expertos.

• Proactividad que viene de la mano del conocimiento experto y de consistir en un servicio monitorizado, casi siempre en 24x7.

Aunque, la ciberseguridad gestionada, también tiene sus desventajas:

• Dependencia externa, debida al grado de delegación y confianza en un tercero para su ciberseguridad.

• Pérdida de control por parte de la empresa al dejar todo, o parte, en manos de un tercero.

• Posible peligro, afecciones o ataques focalizados en la cadena de suministro (terceras partes) que pueden llegar a suponer y derivar en problemas de ciberseguridad, privacidad y confidencialidad a la organización.

• Incumplimiento normativo o legal que afecte a la organización y se traduzca en problemas de reputación, sanciones, o multas, cuando su proveedor no cuenta con una determinada certificación, o incluso cuando cuenta con ella peor se produce algún incumplimiento puntual.

• Posible falta de flexibilidad, adaptabilidad y limitación en las personalizaciones al tratarse de personal externo quien gestiona, sin el 100% del conocimiento de la organización, accesos, permisos y aspectos inherentes a servicios gestionados concretos de terceros, sus características y las herramientas que éstos empleen.

• Posible falta de coordinación y alineación, al no conocer o comprender perfectamente el proveedor los procesos u operaciones internas.

En resumen, la gestión de la ciberseguridad ofrece control interno y adaptabilidad, pero a menudo con mayores costos y desafíos en cuanto a recursos, mientras que la ciberseguridad gestionada ofrece acceso a expertos y enfoque proactivo, pero podría implicar dependencia externa y limitaciones de personalización.

La elección entre ambos modelos dependerá de las necesidades, recursos y tolerancia al riesgo de cada empresa.

Y, tú, ¿por cuál de ellas te decantas para tu empresa?

Quizá necesitéis la ayuda de servicios profesionales de ciberseguridad como los que ofrecemos en Zerolynx: Servicios de Ciberseguridad.

Si lo prefieres, contáctanos y hablamos.

Íñigo Ladrón Morales, Redactor de contenidos para Zerolynx.