DESARROLLO DE LA SEGURIDAD INFORMÁTICA EN ESPAÑA, SU INCIDENCIA EN LA ENSEÑANZA UNIVERSITARIA Y CRIPTORED
Marzo
2003
Nuestro habitual colaborador D. Jorge Ramió Aguirre,
Profesor de Seguridad Informática en la Universidad Politécnica de
Madrid (España) y fundador de la Red Temática Iberoamericana de
Criptografía y Seguridad de la Información - CriptoRed -, llevaba a cabo
a finales del 2002 por distintas instituciones de Argentina, Chile y
Uruguay una Conferencia sobre el Desarrollo de la Seguridad Informática
en España y su Incidencia en la Enseñanza Universitaria y CriptoRed en
la que el autor hace un un repaso a los temas más destacables de esta
materia entre los años 1992-2002 en España, el papel que juega o debería
jugar la universidad ante este reto tecnológico y la presentación
resumida de CriptoRed como un elemento aglutinador de la información que
se genera en los países de Iberoamérica.
Tras la lectura de la presentación (que puede
descargarse desde la página http://www.criptored.upm.es/guiateoria/gt_m001e.htm), VIRUSPROT.COM también ha querido dar a conocer este trabajo
al público español a través de las propias palabras de su autor.
De
la Conferencia se desprende que la situación actual de la enseñanza de
la Seguridad Informática en las universidades españolas no es nada
satisfactoria, ¿cuál es la realidad?
Lo
que se pretende indicar en ese documento es que, si bien la enseñanza de
la seguridad informática y la criptografía en las universidades
españolas es un hecho masivo tal y como lo demostró el estudio realizado
conjuntamente con la Dra. Pino Caballero de la Universidad de la Laguna en
el año 1999, cuyo resultado fue que la totalidad de las universidades en
España estaban ya impartiendo estas enseñanzas en un número muy cercano
a 40 y que hoy supera, la seguridad informática en estos últimos años
ha experimentado un fuerte desarrollo en diferentes frentes (políticas y
planes de seguridad, auditoría, forensia, configuración de redes
seguras, administración de redes, nuevos algoritmos, protocolos y
entornos seguros, sistemas operativos y lenguajes seguros, temas
relacionados con firma y certificados digitales, autoridades de
certificación, por nombrar algunos) que la Universidad no ha sido capaz
de ofrecer como formación para los futuros ingenieros.
Creo que la realidad en España en cuanto a la enseñanza de estas
materias es muy buena, vamos por buen camino, hay universidades con un
importante desarrollo y nuevas ofertas incluso de posgrado. Es bueno
recordar que como indica el informe del estudio antes comentado, entre
1995 y 1998, tan sólo en tres años, la oferta de nuevas asignaturas de
seguridad informática pasa de una decena a casi una treintena.
Tal vez si hay que hacer una autocrítica, creo que existen muchas
asignaturas relacionadas con el tema de la criptografía y la seguridad y
protección en redes, en desmedro de otros temas que sólo son tratados en
pocos centros como por ejemplo auditoría, forensia informática,
seguridad física, análisis de riesgos, planes de contingencia, seguridad
en sistemas operativos y lenguajes.
Nuestra
impresión es que a este problema contribuye enormemente la falta de
conciencia del director de las empresas y organizaciones que no son
conscientes de los peligros informáticos y de las necesidades.
Los directores de empresas sí conocen en parte los
alcances que puede tener una mala política de seguridad; ejemplos hay
muchos, salvo que todavía hay quien piensa para qué invertir si a mí no
me va a afectar. Es más, deberían estar y creo que sí lo están,
preocupados por cumplir con la Ley Orgánica de Protección de Datos que
ya está vigente y de alguna manera intentar converger con normativas
europeas ya refrendadas por nuestro país como la conocida por su número
17799. Qué duda cabe que ingenieros con una buena y completa formación en
temas de seguridad son un baluarte para una empresa, sea ésta grande,
mediana o pequeña. El mayor patrimonio de una empresa, industria u
organismo hoy en día es su información y ésta debe ser de calidad en
cuanto a los conceptos básicos de seguridad que se repiten de forma
incesante: confidencialidad, integridad y disponibilidad.
Debemos tener presente que la seguridad además de costar dinero,
normalmente afectará el rendimiento del sistema, pero por otra parte, es
un costo inevitable y más aún hay un conjunto de leyes que nos exigen un
cumplimiento en esa línea. En otras palabras, hay que realizar un
adecuado análisis de riesgo, proteger el sistema, posibilitar la formación,
reciclar profesionales, en fin invertir recursos en una cantidad muy
superior a lo que estábamos acostumbrados, de una forma realista y seria,
sin caer evidentemente en una paranoia tan común en estos tiempos.
¿No
cree que a la par habría que incluir una asignatura de Seguridad de los
Sistemas Informáticos en todas las carreras empresariales, no sólo las
relativas a la informática, para que los futuros ejecutivos conocieran mínimamente
la problemática?
Quienes
toman las decisiones importantes en las empresas son sus directivos y
normalmente su formación profesional está relacionada con carreras
empresariales, de marketing, MBA, etc. Por lo tanto, sería muy
conveniente que tuvieran unos conocimientos genéricos de toda la
complejidad asociada al tema de la seguridad, en tanto se ha dicho que hay
que invertir en ella, no sólo ya por aspectos de imagen corporativa sino
por imperativo legal.
Esta es la situación en las universidad españolas pero ¿qué sucede en
Latinoamérica?
He tenido la oportunidad y el placer de conocer in situ la realidad en
algunos países de Latinoamérica (Chile, Argentina, Uruguay, Venezuela, México,
Cuba y Colombia) y estoy en contacto con profesionales y profesores de otros países
y la conclusión es que la oferta de enseñanza en esos temas es mucho
menor. Es verdad que hay notables avances y aspectos de docencia e
investigación aislados de excelente nivel en algunos de estos países,
pero podría decirse incluso que en una gran mayoría se encuentran en
estos momentos como en España a mediados de los años 90, en que había
una especie de ebullición universitaria orientada a ofrecer estas nuevas
asignaturas como ya se ha comentado.
En este orden de cosas, es bueno recalcar que estamos hablando sólo de
oferta docente y enseñanza universitaria, no de desarrollo empresarial o
industrial. No obstante resulta claro que lo primero es muy importante
para que el profesional adquiera una cultura de la seguridad y de alguna
manera intente adoptarla en el mundo empresarial.
En estos momentos son varias las empresas privadas que otorgan
certificaciones sobre distintos aspectos de la seguridad informática ¿cuál
es su opinión al respecto?
El tema de las certificaciones no deja de sorprenderme tal y como
comento en el documento. Es lógico que las empresas pidan un profesional
cualificado y para ello nada mejor que tener un sistema de evaluación
continua para saber si dicho profesional está al día o no en esta
materia. Esto es muy importante porque como ya he comentado, el de la
seguridad es un mundo muy cambiante y en constante renovación por lo que
requiere que el profesional se esté constantemente reciclando. Pero lo
que me llama la atención es que en la práctica no existan
certificaciones por parte de las universidades sino por empresas u
organizaciones, siendo que en algunos casos dicha certificación no es más
que un examen y supuestamente quien está habilitado para este tipo de
funciones es la universidad a través de sus profesores que, se supone,
somos los profesionales en esto de la enseñanza y la evaluación. No es
malo que haya una opción llamémosle de mercado en este rubro, lo que me
extraña es que la universidad no participe y ni siquiera comente el tema.
¿Por qué no una certificación en seguridad informática, por poner un
ejemplo, por parte de un consorcio de universidades? ¿Por qué la gran
mayoría de certificaciones son en esta línea de informática y seguridad
y no en otras de la ingeniería? Es algo que por lo menos a nivel personal
me llama la atención y no tengo respuestas.
¿Qué mecanismo se podría implementar para "acercar" a la
universidad a los desarrolladores y consiguientemente estén informados en
"tiempo real" de las últimas novedades en el sector seguridad?
Creo que en España existe un buen acercamiento entre lo que se
desarrolla en la universidad y lo que demanda la empresa. Es claro que
siempre habrá enfoques distintos porque aunque se pueda realizar trabajos
en conjunto con la empresa, digamos en la línea de la investigación
aplicada, no hay que perder de vista que mucha de la investigación
universitaria no va por ese camino de la inmediatez en una aplicación
real. En muchas ocasiones las aplicaciones reales de un desarrollo o
invento, se ven varios años después y la criptografía es un claro
ejemplo.
Existen diferentes foros de encuentro como por ejemplo la Reunión Española
de Criptología y Seguridad de la Información que se celebra todos los años
pares, el congreso Securmática que se celebra todos los años en Madrid,
diversos eventos y seminarios anuales que se ofrecen en toda la geografía
española, etc., en donde cada vez hay una mayor participación del sector
no universitario y eso es bueno. También es de destacar el auge de
diversos portales dedicados a la seguridad, entre ellos VirusProt,
HispaSec, Criptonomicón, Kriptópolis y Data Security Center, por nombrar
algunos, que permite ese intercambio de información.
En fin, creo que la seguridad informática en ese concepto amplio que ya
todos tenemos de ella, comienza a gozar en España y ya en algunos países
de Latinoamérica de una excelente salud, se detecta mucho movimiento, hay
notorio interés por estar al día, una amplia oferta de cursos y
seminarios, participación española activa en foros internacionales,
tanto académicos como aquellos en los que se debaten normativas. Todo
ello viene a indicar que los próximos años serán especialmente activos
en este sector.
Lecturas aconsejadas: Libro
Electrónico de Seguridad Informática y Criptografía v3.1
D. Jorge Ramió Aguirre
e-mail: jramio@eui.upm.es
Coordinador General de la Red Tématica Iberoamericana de Criptografía y
Seguridad de la Información.
D. Jorge Ramió Aguirre coordina la Red Temática
Iberoamericana de Criptografía y Seguridad de la
Información. Profesor de la Universidad Politécnica de Madrid , su
intención es establecer un flujo de cooperación con todos los países de
Iberoamérica en materia de seguridad informática. En sus primeros tres
meses de andadura, la Red contaba ya con más de 100 miembros, muchos de
ellos profesores de reconocido prestigio, así como un buen número de
universidades y centros de investigación. El objetivo: una comunidad
científica virtual que difundirá en un sitio web sus conocimientos y
proyectos sobre seguridad informática.
