La ciberseguridad no es únicamente una cuestión técnica. Más bien todo lo contrario, el factor humano es siempre una de las claves para conseguir seguridad en cualquier ámbito. Todos los miembros de una organización, comenzado por la dirección al más alto nivel, deben implicarse para que se pueda lograr un buen nivel de ciberseguridad. Y, si hablamos de regular el comportamiento de las personas, hablamos de norma jurídicas, por lo que los expertos en ciberseguridad deben tener conocimientos sobre la normativa y la gestión en esta materia.

Dado que el universo virtual es donde las personas realizamos una parte cada vez mayor de nuestras actividades, nuestros derechos fundamentales dependen cada vez en mayor medida de la ciberseguridad. Y, además, estos derechos muchas veces actúan en sentidos opuestos, como ocurre, por ejemplo, con el derecho a la privacidad y el de libre acceso a la información.

Conviene, por tanto, hacer una reflexión sobre los requisitos que la ciberseguridad deberá cumplir para ser respetuosa con los derechos de las personas. Y, dentro de esta parte, dedicar una atención muy especial a la normativa sobre protección de datos de carácter personal. Otra parte de la asignatura trata de la gestión de la ciberseguridad dentro de las organizaciones. Y esta gestión empieza por el cumplimiento de las leyes y, especialmente, de las penales. Para garantizarlo, se ha desarrollado en los últimos años una metodología especifica que es el compliance, al que se asocian sistemas de gestión que permiten la vigilancia allí donde hay riesgos de que alguien incumpla las leyes, implicando con ello a toda la organización. Luego hay otras metodologías y estándares dedicados específicamente a la gestión de la seguridad, algunos de ámbito general e internacionales, como las normas ISO 27000, y otros más específicos, como el Esquema Nacional de Seguridad, cuyo ámbito de aplicación son las administraciones públicas españolas. El conocimiento de todos estos mecanismos es imprescindible para que el experto en ciberseguridad aborde las tareas relativas a los aspectos organizacionales que son el cimiento sobre el que deben fundarse los demás niveles de la ciberseguridad.