Por su parte la privacidad de la información es el derecho (legal y moral) a controlar qué informa- ción se puede liberar sobre una entidad/persona (identidad de ella y de las entidades con las que se comunica e interacciona, los contenidos de los mensajes intercambiados, sus geolocalizaciones outdoor/indoor (GPS-Glonass/iBeacon-Buetooth), los instantes de tiempo en que se realizan las acciones, sus perfiles de actuación por vigilancia, etc.). En ciertos entornos, la privacidad puede verse como una característica negociada socialmente, o como una mercancía por la que pagas y comercias, así mismo se puede ver como un privilegio. Pueden identificarse dos aspectos en la privacidad en relación a la direccionalidad del flujo de información: (i) Datos salientes: seguimiento, traza- bilidad, geolocalización, registro, logging, vigilancia, etc. (ii) Datos entrantes: comunicación no solicitada, comunicación no deseada, intrusión, etc. Una posible herramienta-ins- trumento para evaluar la privacidad de una organización es PDT (Privacy Diagnostic Tool), ver URL http://www.ipc. on.ca. La protección que aporta la ciberseguridad es contra las amenazas (cualquier circunstancia o evento que puede potencialmente dañar un sistema de información destru- yéndolo, revelando información almacenada, modificando datos, haciendo al sistema no disponible total o parcialmente, etc.) y contra las vulnerabilidades (debilidades, deficiencias, bugs, flaws en un sistema de información IT/OT o sus com- ponentes (hardware, firmware, software, administración, personas, políticas, diseño-configuración-implementación software, etc.) que puede ser explotado por una amenaza, ciberatacante o exploit. Para corregir vulnerabilidades que pueden estar identificadas utilizando el identificador CVE (https://www.cvedetails.com/vulnerability-list/year-2019/) se emiten fix en forma de parches y actualizaciones). Los agentes de amenazas pueden provenir de muy diversas fuentes: espías industriales, spammers, gobiernos hostiles, empleados disgustados de dentro de una empresa, phishers, spammers, servicios de inteligencia extranjeros, grupos criminales, creadores maliciosos de spyware/malware, ope- radores de botnets (utilizando tecnología C&C), personal malicioso de dentro de una organización, grupos terroristas, desastres naturales fortuitos y provocados (terremotos, incendios, inundaciones, maremotos, etc.), errores-acciden- tes humanos, fallos de equipos, obsolescencia programada, uso de troyanos hardware y software, etc. El gobernar, ges- tionar y mantener la ciberseguridad es una tarea compleja, para los gestores de negocio, para los gestores de cibersegu- CIBERSEGURIDAD 50 Se conjugan diversos elementos, componentes y factores como la gestión de accesos e identidades o la gestión de incidentes de ciberseguridad Confluencias entre elementos, componentes y factores en la gobernanza de la ciberseguridad El objetivo de la ciberseguridad es proteger la información, los sistemas de información IT/OT y los posibles activos o recursos OT e IT. La ciberseguridad realiza la protección de los sistemas de información contra accesos no autorizados para capturar clandestinamente y/o modificar la información (datos, metadatos, códigos, etc.), si está almacenada, procesándose o en tránsito, contra cambios en el hardware como cámaras de videovigilancia (posible contramedida tecnología PUF), contra la denegación de servicios a los usuarios autorizados incluyendo las medidas necesarias para detectar, documentar y contrarrestar dichas amenazas y para asegurar que ninguna entidad pueda negar una acción realizada (trazabilidad de acciones y no repudio). Prof. Dr. Javier Areitio Bertolín – E.Mail: jareitio@deusto.es. Catedrático de la Facultad de Ingeniería. Universidad de Deusto. Director del Grupo de Investigación Redes y Sistemas