|
Especial Formación ESTADO DEL ARTE DE LA FORMACIóN UNIVERSITARIA EN SEGURIDAD INFORMáTICA EN ESPAñA Ante un mercado en continua expansión y fuerte competitividad como el de la formación especializada en seguridad informática, es recomendable reflexionar en voz alta sobre los motivos por los que nos encontramos en este estado, qué pretendemos quienes nos dedicamos a ello y cuáles son los próximos desafíos a los que posiblemente nos enfrentaremos en un futuro próximo. El desarrollo que ha experimentado la seguridad informática en los últimos 15 años ha venido de la mano de una mayor presencia en la oferta formativa de las universidades españolas; derivando ello, a mediados de los años 90, en un fenómeno de crecimiento espectacular de nuevas propuestas docentes en las universidades españolas orientadas principalmente a los esquemas de seguridad para la protección de la información.
A las puertas del nuevo espacio europeo en Educación Superior que nos plantea el Tratado de Bologna, cabe preguntarse si este sector de las TIC, que tanto desarrollo ha experimentado en las últimas dos décadas y que demuestra día a día una importante cuota de mercado para nuestros titulados universitarios, será tenido en cuenta en la planificación del currículo de los futuros ingenieros por las autoridades nacionales. No hacerlo sería un error irreparable.
Y esto porque existen serias dificultades inherentes a la universidad cuando se planea hacia su interior la creación de una línea docente fuerte en seguridad informática. En muchos casos no es fácil formar grupos de expertos con un tamaño superior a las dos o tres personas en un departamento universitario, y que luego tengan alguna fuerza ante otros grupos mayores, y además consolidados, sobre materias más tradicionales como pueden ser algoritmos, bases de datos, ingeniería del software, lenguajes, etc.
Debido a la naturaleza propia de las universidades españolas, si lo anterior es ya difícil en un departamento con algunas decenas de académicos, mucho peor se ponen las cosas en donde finalmente se deciden los cambios en la orientación de un plan de estudios: Juntas de Facultad, Juntas de Escuela, Claustros, etc. Seguramente en dichos órganos colegiados encuentren las razones expuestas muy acertadas, pero a la hora de tomar una decisión no será extraño que los demás grupos, con mayor representación y antigüedad, intenten mantener su status quo.
Independientemente y a pesar de lo anterior, qué duda cabe que el tema de la formación integral en seguridad informática ha desbordado incluso los pronósticos más optimistas. En la actualidad la oferta en este sentido, bien por parte de las universidades en estudios reglados bien de las empresas del sector, supera con creces la de otros ámbitos y sectores de la ingeniería.
Este artículo presenta el desarrollo observado en cuanto a la formación en seguridad informática durante los últimos años, analiza el estado del arte y propone algunas líneas de reflexión y trabajo a corto plazo.
¿Qué se entiende por seguridad informática?
Es ésta ya una pregunta recurrente. Tal ha sido el desarrollo de lo que hoy entendemos por seguridad informática que ya no sólo se habla de protección de equipos informáticos ante virus y gusanos, cifrado de la información o vulnerabilidades en redes de comunicaciones. La seguridad informática es mucho más.
En un afán simplista, podríamos decir que seguridad informática es “un proceso cuyo objetivo es proteger la información y los sistemas, mediante métodos y herramientas, y en el cual intervienen un conjunto de recomendaciones de buenas prácticas, normativas, los propios equipos informáticos y personas”.
PROPUESTA DE FORMACIÓN MÁSTER EN SEGURIDAD INFORMÁTICA-
660 horas docentes más Tesis de Grado -
PRIMER SEMESTRE:
16,5 créditos (11 horas docentes a la semana)
Fundamentos y Temas Avanzados de la Aritmética Modular (6 créditos)
Fundamentos de la Seguridad Informática (4,5 créditos)
Gestión de la Seguridad Informática (6 créditos)
SEGUNDO SEMESTRE:
16,5 créditos (11 horas docentes a la semana)
Criptografía (6 créditos)
Seguridad en Sistemas Operativos, Lenguajes y Bases de Datos (7,5 créditos)
Legislación en Seguridad Informática (3,0 créditos)
TERCER SEMESTRE:
16,5 créditos (11 horas docentes a la semana)
Seguridad en Redes (12 créditos)
Virus Informáticos (4,5 créditos)
CUARTO SEMESTRE:
16,5 créditos (11 horas docentes a la semana)
Temas Avanzados en Criptografía y Seguridad Informática (4,5 créditos)
Auditoría, Peritaje y Forensia Informática (7,5 créditos)
Negocio y Comercio Electrónico (4,5 créditos)
Por tanto, se puede decir que la seguridad informática la concebimos como un compendio de técnicas, herramientas, algoritmos, especialidades, disciplinas, protocolos, medidas, metodologías y normativas, que van desde lo más básico de la seguridad física necesaria para proteger a los sistemas informáticos y su entorno, hasta temas complejos de protocolos criptográficos avanzados y técnicas de cifra aún sin una aplicación real o comercial, pasando por las normativas, políticas y planes de seguridad, el análisis de riesgos, la recuperación ante desastres, la auditoría y forensia informática, las plataformas seguras para el intercambio de información, la seguridad y los negocios en redes, virología informática, sistemas de cifra y firma digital, legislación sobre seguridad, técnicas de autenticación, etc.
Es decir, ya no se trata solamente de una ciencia asociada a las matemáticas y orientada básicamente a la criptología, como podría pensarse hacia mediados del siglo pasado, sino de un cúmulo de disciplinas interrelacionadas y que, en conjunto, conforman un perfil de formación universitaria muy bien valorado en el mercado profesional.
Es por ello que en la práctica totalidad de ofertas de estudios superiores, como por ejemplo los máster en seguridad informática, se abordan temas que concuerdan bastante con la propuesta hecha por este autor en un trabajo anterior cuyos datos, con ligeras modificaciones, son mostrados en la tabla 1.
Algo más. Si en la empresa quienes toman generalmente las decisiones relacionadas, por ejemplo, con la inversión en seguridad informática son en su mayoría profesionales del área de negocios o empresariales, es importante que estos profesionales hayan cursado asignaturas en esta nueva faceta del negocio. Lo mismo sucede en cuanto a la formación de aquellos profesionales del sector legislativo. Un juez tendrá que entender las razones que expone, por ejemplo, un auditor o perito tras un análisis forense. Está claro que la profundidad y orientación de la formación en estas otras titulaciones será distinta, pero los conceptos básicos relacionados con la seguridad informática sí deberían quedar claros.
Otro tanto sucede si cambiamos el orden de los protagonistas, con la formación en temas de legislación de la seguridad y gestión empresarial de la seguridad en las ingenierías de informática y de telecomunicaciones. En este terreno de uniformizar conceptos, criterios y un lenguaje común falta aún mucho por hacer y la rectificación tal vez debería ser urgente.
Enseñanza de seguridad informática en la universidad
En los últimos 15 años hemos sido testigos de un crecimiento espectacular de la oferta formativa de las universidades españolas en cuanto a asignaturas relacionadas con la seguridad informática. Un estudio del año 1999 ya indicaba, como una de sus conclusiones, que a mediados de los años 90 se produce un incremento de tipo exponencial de la oferta de nuevas asignaturas en esta línea, orientadas principalmente a los algoritmos y esquemas de seguridad para la protección de la información.
Cualquier nuevo desarrollo científico lleva asociado, inexorablemente, un notable incremento de la investigación e innovación tecnológica en esa línea y esto, a su vez, aumenta las expectativas de formación profesional y universitaria en dicha temática. En la vida cotidiana tenemos cientos de ejemplos. En el caso de la informática y las telecomunicaciones podemos verlo con la irrupción del ordenador personal, los programas de aplicación, los sistemas multimedia, las redes de datos, Internet, la telefonía móvil, etc.
La seguridad informática, tal y como hoy en día la entendemos, es un claro ejemplo de ello. Es más, nos encontramos en un momento álgido de su importancia.
Alguien puede argumentar que, en tanto la seguridad informática está de moda, ésta debería enseñarse en la universidad. Lejos de esta visión de causa y efecto, es claro que la universidad debe ir siempre por delante en el estudio de las ciencias y no ser un mero instrumento que responda a los vaivenes de los mercados y tendencias. Esto no se discute. La seguridad informática hace muchos años ha dejado de ser algo reservado sólo para los organismos oficiales del Estado, la diplomacia y grandes empresas multinacionales; hoy su conocimiento e implantación afecta a todos, hasta al ciudadano de a pie que hace una compra o paga sus impuestos a través de una transacción segura en Internet.
Nos encontramos, entonces, ante una situación en que, tanto por la importancia que tiene la seguridad informática en el desarrollo de los países como por el amplio espectro de campos de investigación asociados a esta nueva ciencia, hace años que estos estudios deberían haberse considerado como materia obligatoria y no como una simple asignatura optativa o de libre elección -como es la realidad en casi el 100% de la oferta en las universidades españolas-. Este supuesto error es el que muchos profesores e investigadores de universidades y centros de investigación españoles dedicados a la seguridad informática -actualmente más de 200 y la práctica totalidad con estudios de tercer ciclo- esperamos sea corregido en las nuevas titulaciones universitarias.
La figura 1, tomada del suplemento Ciberpaís de fecha 28 de octubre de 1999, mostraba unos resultados que seis años después se han visto duplicados, puesto que nuestras universidades ofrecen con fecha de hoy cerca de 70 asignaturas relacionadas directamente con la seguridad informática en carreras de pregrado.
Puesto que, en general, el escenario en Latinoamérica no muestra precisamente un empuje de estas nuevas tecnologías en el ambiente universitario, como sí podemos verlo en cambio en países con mayor desarrollo por ejemplo en la comunidad europea, la formación en seguridad informática no puede esperar más. Debemos ofrecer al mercado técnicos, licenciados e ingenieros en informática y telemática con conocimientos suficientes que les permitan demostrar aptitudes, saber plantear medidas y usar herramientas apropiadas con el objeto de minimizar los riesgos informáticos hasta un nivel aceptable, en tanto todos sabemos que una seguridad informática absoluta es imposible. Y lo cierto es que resulta bastante difícil en la actualidad encontrar este tipo de profesional cualificado en ese mercado laboral.
Teniendo en mente el indiscutible lazo lingüístico con dichos países, es ésta una cuestión a tener muy en cuenta por universidades y centros de Enseñanza Superior españoles en sus actividades estratégicas frente a Latinoamérica.
Formación de postgrado en la universidad
Ya desde 1998 existen voces que plantean la necesidad de un nuevo perfil de ingeniero especializado en seguridad informática. Aunque parecían estar condenadas a ser simples propuestas en el papel, es posible que comiencen a ver la luz en España en el año 2006 al haber ya algunas iniciativas en ese sentido.
Si bien lo anterior son de momento sólo buenas intenciones en esa línea, en tanto la seguridad informática se ha convertido en una pieza fundamental en el entramado empresarial, industrial y administrativo de los países, no sucede lo mismo con la formación de postgrado.
Es así como, desde comienzos de esta década, hacen su aparición diversas ofertas de formación universitaria y no universitaria de postgrado, generalmente en formatos de másters, diplomas y cursos de especialización. La tabla 2 es un ejemplo con algunas de las ofertas universitarias más conocidas en este aspecto.
En cuanto a la formación especializada ofertada por empresas, el abanico es mucho más amplio que el anterior. Sin embargo, sí puede comentarse que, al menos en España, esta oferta -que puede ir desde ciclos de conferencias y seminarios de medio día, hasta cursos de varias semanas o meses- supera con creces la treintena, un valor que habla por sí sólo de la importancia que hoy en día se le da a la seguridad informática y de la necesidad que existe de esta formación en el mercado.
EJEMPLO OFERTA DE FORMACIÓN AVANZADA EN UNIVERSIDADES
Algunos Máster y Diplomados Universitarios en España
Máster en Tecnologías de Seguridad Informática: esCERT UPC
Máster Tecnologías Información y Seguridad: UCLM
Máster Administración y Gestión de Seguridad de Información: UCM
Máster en Auditoría de la Seguridad y Seguridad Informática: UPM
Curso Experto en Seguridad Informática: U. Mondragón
Algunos Postgrados y Diplomados Universitarios en Latinoamérica
Especialización en Criptografía y Seguridad Teleinformática: IESE (Argentina)
Pós-graduação em Gestão da Segurança da Informação: UNICAMP (Brasil)
Pós-Graduação em Gerência de Segurança da Informação: UFRJ (Brasil)
Pós-Graduação Auditoria em Tecnologia da Informação: U. Estácio de Sá (Brasil)
Diplomado en Seguridad Computacional: U. de Chile (Chile)
Diplomado en Seguridad Informática: U. Pontificia Bolivariana (Colombia)
Diplomado en Seguridad Informática: U. Sergio Arboleda (Colombia)
Diplomado en Seguridad Informática: U. Militar Nueva Granada (Colombia)
Diplomado en Seguridad Informática: UNAM (México)
Diplomado en Seguridad Informática: TEC Monterrey (México)
Diplomado Seguridad en Tecnología Informática (Venezuela)
La justificación es obvia. El mercado está demandando de forma urgente profesionales con conocimientos y experiencia en temas como implantación de políticas y gestión de la seguridad, norma ISO 17799, UNE 71502, auditorías y peritajes en seguridad, forensia informática, protección de redes, infraestructuras de clave pública, legislación, etc., y no los encuentra.
Entre los otros temas paralelos que deben ser considerados en relación a la formación integral, está el auge en la organización de congresos específicos sobre seguridad informática en nuestro país.
Conclusiones
Estos últimos años hemos comprobado un importante crecimiento e importancia de la seguridad informática en diversos países, en especial España, tanto en los aspectos docentes, de investigación y de desarrollo, así como la irrupción de normativas y aspectos legales relacionadas con ella.
La formación en sentido amplio, ha sido tal vez uno de los eslabones más destacados de esta cadena. Ante ello, se podría decir que quienes nos dedicamos a este campo de la educación estamos viviendo un momento dulce, al igual que aquellas empresas que en su momento tuvieron la valentía de orientar su negocio hacia este área.
A pesar de ello, ante el nuevo espacio europeo de Educación Superior que nos impone el Tratado de Bologna, con un perfil de ingenierías de cuatro años, -que van a la par con una reducción del número de horas de docencia, conocidos como créditos, así como una fuerte presencia de asignaturas obligatorias- surge una duda inquietante: ¿Sabrán nuestras Autoridades aprovechar esta coyuntura de forma que de una vez podamos tener al menos una asignatura de seguridad informática como obligatoria de universidad?
En las directrices universitarias de estudios de grado y postgrado participan varios actores -a veces no muy acertadamente- tales como organismos estatales, el Gobierno a través de sus Ministerios, incluso algunos directivos de universidades, y no es raro que profesores, investigadores y especialistas en la materia tengan pocas oportunidades de dar su opinión y que, en todo caso, ésta sea tenida en cuenta.
Algunos mantenemos viva esta esperanza a la luz de los hechos que aquí se han expuesto pero, por otra parte, la experiencia nos hace ser cautos e incluso algo pesimistas. Mantener el status quo actual de oferta docente en seguridad informática, en su práctica totalidad como materia optativa, sería un error irreparable y un freno a este desarrollo que hoy en día nadie sería capaz de poner en duda.
Jorge Ramió Aguirre
Dpto. de Lenguajes, Proyectos y Sistemas Informáticos
Universidad Politécnica de Madrid
Coordinador Red Temática Iberoamericana CriptoRed
|
