Cuando hablamos sobre concienciación, o concienciación en seguridad, normalmente queremos decir que la concienciación en general es asunto de la seguridad de la información. Por lo tanto, la concienciación no sólo es sobre criptografía, por ejempo, el cifrado de datos confidenciales, sino también sobre otros muchos temas. La siguiente figura quiere ilustrar este hecho:

La seguridad en las tecnologías de la información (TI) describe actividades detalladas que soportan las operaciones de los sistemas de TI con medidas de seguridad, para proporcionar una garantía para los datos electrónicos de las compañías, así como de sus clientes y vendedores. El objetivo es proteger la información y los procesos así como descartar las consecuencias desfavorables de las actividades empresariales relativas a las TI.

Las medidas de seguridad en TI incluyen (además de los métodos criptográficos) por ejemplo, organización de la seguridad, aspectos legales, monitorización de la seguridad, medidas anti-virus, gestión de refuerzos, recuperación de un desastre, continuidad empresarial, arquitecturas de seguridad y conciencia para la seguridad en TI. Se puede encontrar una buena visión general de estas medidas en el NIST o en la agencia de seguridad de la información alemana (BSI).

La gestión de riesgos extiende el alcance de la seguridad de las TI y también cubre la deseada protección social de infraestructuras  críticas.

La gestión de riesgos puede definirse como una gestión consciente de los riesgos. Esta puede incluir riesgos operativos generales  o riesgos financieros específicos. Las compañías, organizaciones  y usuarios individuales deben  ocuparse de todos los tipos  de riesgos  que conozcan. El origen de una gestión sistemática de riesgos se basa en la industria financiera. A día de hoy, varias leyes conlaboran con el propósito  de proporcionar control y transparencia financiera para las empresas (por ejemplo, Sarbanes-Oxley Act, o Basel II).

El riesgo total de una compañía puede dividirse en riesgos operativos (por ejemplo, averías o limitaciones de los sitemas de TI) o en todos los tipos de riesgos financieros (riesgos de crédito, riesgos de liquidez, riesgos de mercado, riesgos de responsabilidad, etc.).

Existen varias propuestas para identificar, medir, monitorizar y controlar riesgos.  

La gestión de riesgos no se centra necesariamente en una completa prevención de riesgos. En lugar de eso intenta identificar las acciones apropiadas bajo un criterio de coste y beneficio (las medidas apropiadas pueden incluir también el seguro de ciertos riesgos). 

Se necesita una comprensión básica de la criptografía para tomar medidas y controles apropiados para conseguir los objetivos de la seguridad en TI (autenticación, confidencialidad, integridad, no-repudio) con un valor de coste óptimo. La siguiente figura muestra cómo puede ayudar CrypTool a la comprensión de la concienciación en seguridad en este contexto: 

Estandarización y Visibilidad de Gestión de la Criptología

Además de las clasificaciones anteriores originadas por perspectivas técnicas o de gestión de riesgos, las áreas clave de la criptología se pueden estructurar en 5 componentes: algoritmos, protocolos, gestión de claves, mejores prácticas organizativas y requisitos normativos. Éstos componentes principales se caracterizan por posiciones muy diferents en términos del grado de estandarización, visibilidad en la gestión de empresas y  enfoque científico. 

Algoritmos

Los algoritmos y las funciones matemáticas relacionadas son las bases de la criptología. Algoritmos como  AES, 3DES o RSA están altamente estandarizados y están sujetos a la criptología y a la investigación matemática realcionada.

Protocolos

Los protocolos utilizan los algoritmos. Se utilizan para proteger el tráfico de datos entre los participantes de la comunicación y además son los responsables de hacer posible el uso comercial de la comunicación electrónica. Entre los protocolos de seguridad típicos se encuentran TLS, SSL o IPsec. Estos protocolos también están altamente estandarizados y son bien conocidos por muchos usuarios a causa de su implementación altamente generalizada en intranets y en comunicaciones por Internet.

Gestión de Claves

Una parte importante de la criptología es la gestión del cifrado y descifrado de claves, también llamado gestión de claves. Ya que la mayoría de los algoritmos y protocolos se basan en claves, la gestión y almacenamiento de claves es esencial. Existe un número de estándars en el área de gestión de claves como ISO, PKIX o XKMS.

Implementación de Mejores Prácticas

Un aspecto fundamental, especialmente desde una perspectiva empresarial, es la implementación de la criptología, tanto institucional como técnicamente. Se han implementado mecanismos apropiados para la seguridad de la TI derivados de la gestión de riesgos, los cuales afectan a menudo en la implementación de métodos criptológicos. En este contexto criptológico se tiene que implementar a menudo pensando en horizontes heterogéneos en TI y para proteger información procesada con tecnologías que cambian con frecuencia.

 

Requisitos Normativos

Los requisitos normativos se determinan por los legisladores y las empresas tienen que conocer estos requisitos tal y como exige la ley.  En cuanto al área de la criptología, es importante establecer estándares comunes para proteger el intercambio electrónico de datos. La certeza legal adicional, significanco la predicibilidad de las decisiones legales, se necesita para proteger legalmente la comunicación electrónica segura por medio de la criptología (p.ej. firmas digitales).