Para hablar de protección adecuada de los menores en la red, debemos en primera instancia definir un modelo de seguridad que represente todo aquello en lo que vamos a trabajar, desde el qué queremos proteger hasta el cómo hacerlo; algo similar a un análisis de riesgos particularizado para el caso que nos ocupa, y como siempre, en todo modelo de seguridad, lo primero que debemos plantearnos para diseñarlo es la identificación del objetivo de protección, lo que llamamos TOP (Target of protection). Una vez dispongamos de un TOP claramente identificado necesitamos poner en negro sobre blanco las amenazas a las que está expuesto, es decir, necesitamos identificar la taxonomía de amenazas, entendida como la lista de situaciones que pueden poner en peligro a nuestro objetivo de protección.
Identificada en primera instancia la taxonomía de amenazas -sin duda se podrá modificar con el tiempo-, necesitaremos evaluar el riesgo asociado a cada posible incidente o cada escenario de siniestro, preguntándonos cuál es la probabilidad de que este incidente ocurra y, en el caso de ocurrir, cuáles serían sus consecuencias, su impacto. A partir del análisis de riesgos que identifica el riesgo intrínseco de nuestro objetivo de protección, deberemos evaluar los controles o salvaguardas que queremos establecer en caso de que el riesgo intrínseco identificado resulte inadmisible para nosotros; como siempre, mediante la aplicación de controles convertiremos el riesgo intrínseco existente en un riesgo residual aceptable.
En términos generales, podemos considerar que existen tres grandes familias de controles o salvaguardas: mecanismos de protección, que intentan evitar la materialización de incidentes de seguridad, mecanismos de detección, cuya función es detectar incidentes cuando las medidas de protección no han funcionado y mecanismos de respuesta, para la intervención en caso de detección de un incidente de seguridad. Personalmente, me gusta desdoblar los mecanismos de protección en disuasión y prevención y los mecanismos de respuesta en respuesta y recuperación, por lo que en general suelo hablar de cinco grandes grupos de controles o salvaguardas.
En los tiempos que corren es evidente que uno de los objetivos de protección de gobiernos y de la sociedad en general son los menores en el uso de las nuevas tecnologías. Como no puede ser de otra forma, los menores, como objetivo de protección, necesitan el diseño de un modelo de seguridad acorde a su realidad y por tanto, una vez identificado el TOP -que en este caso que es el menor, con diferente realidad en función de la edad- es necesario definir el resto de componentes del modelo de seguridad. Una de las cuestiones más importantes a la hora de definir este modelo de seguridad para menores es la identificación de la taxonomía de amenazas que afectan al menor en el uso de las tecnologías de la información y las comunicaciones. Dentro de esta taxonomía de amenazas tendremos que incluir sin duda situaciones como acceso a contenidos inapropiados, ciberbullying, grooming, sexting, robos de identidad, etc., y sobre todo deberemos tener en cuenta que la taxonomía de amenazas que afecta a los menores está cambiando de forma constante.
En función de la taxonomía de amenazas identificada en un momento determinado haremos una evaluación del riesgo intrínseco, el que tiene nuestro TOP por el hecho de ser un menor y hacer uso de las TIC. Es en este momento en el que estaremos ya preparados para empezar a implantar medidas de control -salvaguardas- para mitigar el riesgo al que está expuesto nuestro objetivo de protección. Tal y como hemos visto, las salvaguardas serán de cinco tipos: disuasión, prevención, detección, respuesta y recuperación.
En el caso que nos ocupa, el de los menores y el uso que estos hacen de las nuevas tecnologías, las últimas reformas del código penal son, por sí mismas, medidas de disuasión que esperemos sean eficaces. Además de este tipo de medidas disuasorias se pueden aplicar otras, como la puesta en marcha de iniciativas globales por parte de los gobiernos con el objeto de proteger este segmento de población tan frágil.
Las medidas de prevención son importantísimas, ya que de entrada son capaces de limitar el riesgo en un gran número de casos. Sistemas de control parental, antivirus actualizados, herramientas antimalware, sistemas de protección de la red del hogar basados en cortafuegos o en sistemas de detección de intrusos específicamente diseñados para redes domésticas, etc. Desgraciadamente, no es suficiente con las medidas de protección, y no sólo porque estas funcionen mejor o peor, sino porque tenemos que contar siempre con el factor humano, en este caso el de los menores, que suele ser uno de los puntos débiles de todo modelo de seguridad. Necesitaremos por tanto mecanismos de detección que nos ayuden, como madres, padres o tutores, a identificar posibles situaciones de riesgo y que nos permitan actuar en consecuencia. Deben ser en este caso mecanismos, algunos de ellos, diseñados específicamente para este modelo de seguridad.
Cuando los mecanismos de detección, ya sean automáticos o manuales, actúan necesitamos definir una vía de respuesta. En este caso trabajamos ya con un posible incidente declarado y es imperativo el proveer a la víctima del posible incidente de una vía de soporte o ayuda especializada y de confianza. Es decir, ante un posible problema es necesario que el menor tenga un mecanismo de comunicación seguro con un equipo de personas capaces de prestarle la ayuda que necesita. Finalmente, una vez se ha respondido al incidente de forma adecuada, debemos centrarnos en la recuperación, ya sea ésta técnológica, psicológica o de cualquier otro tipo.
En definitiva, un modelo de seguridad debe contemplar todas y cada una de las piezas con el fin de ser lo más eficaz posible en primera instancia y lo más eficiente posible en segunda. En este post hemos hablado de un modelo orientado a la protección de menores en la red, pero seguiremos hablando de los modelos de seguridad.
[…] This post was mentioned on Twitter by Security Art Work, hackplayers. hackplayers said: Seguridad de los menores en la red (II): Modelo de seguridad: Para hablar de protección adecuada de los menores … http://bit.ly/fWMuOH […]