Descripción
La ciberseguridad es una disciplina cuyas implicaciones deben ser interpretadas teniendo en cuenta los tres pilares que la soportan:
- Las personas: este pilar es el que identifica a los diferentes agentes o actores de la ciberseguridad, que intervienen tanto en su aplicación como en su vulneración, tanto desde el interior de las organizaciones como desde el exterior.
- Los procesos: este pilar es el que identifica los aspectos dinámicos de la ciberseguridad, refleja su naturaleza cambiante y requiere que sea gestionada de manera dinámica, adaptándose a dichos cambios.
- La tecnología: este pilar es el que identifica el objeto de la ciberseguridad, los elementos en los que debe ser aplicada la ciberseguridad, pero también los principales mecanismos para llevar a cabo dicha aplicación.
Estos tres pilares están íntimamente relacionados entre sí, y no pueden ser abordados de forma independiente. Sin embargo, cada uno de ellos tiene sus propias características, y por lo tanto deben ser abordados atendiendo a su idiosincrasia, ya que el papel que juegan como parte de la ciberseguridad va a requerir una aproximación diferenciada.
Las personas 
Las personas son los actores de la ciberseguridad, los elementos activos que intervienen y provocan su dinamismo.
Desde el interior de las organizaciones, las personas son las principales responsables de aplicar las medidas de ciberseguridad previstas. Son ellas las que tienen que cumplir con las normas de ciberseguridad establecidas, seguir los procedimientos fijados para llevar a cabo una actuación cibersegura y utilizar las tecnologías de ciberseguridad desplegadas. Tanto en el papel de usuario final como en el papel de administrador de la ciberseguridad, su principal misión desde el punto de vista de la ciberseguridad es llevar a cabo su actividad mientras preservan, y en la medida de lo posible mejoran, los niveles de ciberseguridad establecidos.
Sin embargo, dicha actividad de las personas desde el interior de las organizaciones puede provocar vulneraciones de la ciberseguridad, tanto fortuitas como incluso intencionadas, aunque en muchas ocasiones dicha intención pueda deberse más a intereses asociados a la propia actividad a desarrollar, que la ciberseguridad dificulta, que a la intención manifiesta de quebrantar la ciberseguridad establecida.
Por este motivo, los mecanismos para hacer frente a dichas vulneraciones de la ciberseguridad deberán ir encaminados a reducir la capacidad de actuación inapropiada de las personas, mediante el establecimiento de tecnología y procedimientos apropiados, así como a la capacitación y concienciación de las mismas, con el fin de que sean conscientes de la importancia de la ciberseguridad como mecanismo de protección de dicha actividad.
Los procesos 
Los procesos representan la naturaleza dinámica de la ciberseguridad, permitiendo a las organizaciones adaptarse de manera continua a sus cambios.
Como acabamos de ver, las personas, como actores de la ciberseguridad, provocan cambios. Existe una amenaza constante de vulneración de la ciberseguridad de las organizaciones. Se trata de una amenaza cambiante, por lo que es necesario un proceso continuo de análisis y adaptación de las medidas de seguridad.
Pero los cambios no sólo provienen del exterior. La actividad continua de las personas en el interior de las organizaciones provoca cambios frecuentes, y la continua aparición de situaciones en los que la ciberseguridad debe ser adaptada para lograr un adecuado equilibrio entre los niveles de protección ofrecidos y el grado de interferencia que provoca su aplicación en la actividad de las personas. Por tanto, también a nivel interno es necesario llevar a cabo un proceso continuo de análisis y adaptación de las medidas de ciberseguridad a dichas situaciones.
Estos procesos de análisis y adaptación de las medidas de ciberseguridad a las necesidades de protección de la organización se conocen como análisis de riesgos, y es el principal mecanismo por el que la ciberseguridad es gestionada de manera continua. Se nutre de los intereses y necesidades cambiantes de la organización tanto de cara al exterior como a nivel interno, y su resultado plantea la adaptación de las medidas de ciberseguridad a dichos cambios, logrando el equilibrio deseado a nivel de ciberseguridad. De este modo, la interrelación con los otros dos pilares se cierra una vez que los procesos plantean modificar las medidas de seguridad encaminadas tanto a las personas como a la tecnología.
La tecnología 
La tecnología representa tanto a los elementos sobre los que se aplica la ciberseguridad, los sistemas de información o de operación, como a los elementos mediante los cuales se aplica dicha ciberseguridad, las soluciones de ciberseguridad.
El proceso de gestión de riesgos va a determinar las medidas de seguridad necesarias para proteger los sistemas IT y OT, y es sobre estos sistemas sobre los que deberemos implementar dichas medidas. En algunos casos dichas medidas de seguridad requerirán ajustar o hacer uso de diferentes funcionalidades propias de los sistemas, en otros será necesario desarrollar medidas complementarias de carácter operativo que las personas deberán aplicar consecuentemente, y en muchos casos será necesario desplegar medidas tecnológicas adicionales que permitan complementar las capacidades de ciberseguridad propias de los sistemas.
En este último caso, existe una multitud de soluciones de ciberseguridad que, de diferentes formas, van a permitir a cualquier organización desarrollar medidas de seguridad específicas en diferentes ámbitos tecnológicos, de manera que su aplicación pueda ajustarse de manera óptima a las necesidades concretas de ciberseguridad identificadas. No obstante, dicho despliegue deberá ser llevado a cabo por las personas, en su papel de administradores de la ciberseguridad, cerrando de nuevo el ciclo de interacción con el resto de los pilares.
Objetivo
La interpretación de la ciberseguridad en forma de tres pilares (personas, procesos y tecnología) interrelacionados permite una visión global de la misma, a la vez que ofrece un criterio para analizarla de manera diferenciada, pero sin perder de vista dicha visión integral. Por lo tanto, constituye uno de los principales modelos de referencia para lograr una visión completa y estructurada de una disciplina de gran importancia para las organizaciones, pero a la que en muchas ocasiones no son capaces de responder adecuadamente por una insuficiente comprensión de su complejidad, y que modelos de referencia como el presente pueden ayudar a superar.
Buenas prácticas
- Las personas deben de ser formadas y concienciadas sobre la importancia de la ciberseguridad y su papel en su protección, así como en la gestión de los riesgos a los que está sometida.
- Los procesos, así como planes de prevención, de monitorización, control, etc. deben diseñarse y ejecutarse teniendo siempre presente la ciberseguridad.
- La tecnología debe proteger la información, las aplicaciones corporativas, los dispositivos, las conexiones, etc.
En definitiva, estos 3 pilares pretenden garantizar la confidencialidad (garantiza que la información es accesible solo por personas autorizadas), integridad (salvaguarda de la exactitud de la información) y disponibilidad (garantiza tener la información disponible siempre que se necesite) de los datos.
Referencias
Entrevista: https://www.il3.ub.edu/blog/ciberseguridad-estrategia-empresa
