Estado del Arte de la Formación Profesional en Seguridad Informática en Iberoamérica: Estrategias...

Estado del Arte Estado del Arte de la de la Formación Formación Profesional en Seguridad Profesional en Seguridad Informática Informática

en Iberen Iberoaméricaoamérica: Estrategias y : Estrategias y TendenciasTendencias

Dr. Jorge Ramió Aguirre

Universidad Politécnica de MadridCoordinador Red Temática CriptoRed

IV Jornada Nacional de SeguridadBogotá – Colombia (24 – 25 de junio de

2004)

• ¿Es necesario hoy en día una formación amplia y detallada sobre los diversos aspectos relacionados con la seguridad informática?

• Rotundamente sí. La seguridad informática ha experimentado en estos últimos 10 años un desarrollo espectacular, no sólo en lo que concierne a la docencia, investigación y desarrollo en los ambientes universitarios y centros de investigación; ha pasado a formar parte de nuestra vida profesional y cotidiana... términos como páginas web seguras, certificados digitales, firma electrónica, protección de datos, detección de intrusos, cortafuegos, auditoría de sistemas... nos resultan hoy en día muy comunes, incluso para el ciudadano común. A comienzos de la década de los 90, hablar de seguridad informática en la empresa era casi una utopía; hoy es un tema vital.

• Un desarrollo tan explosivo y en tan pocos años ha de llevar asociado un ritmo de implementación distinto entre países con realidades socio-económicas también distintas como es el caso de los países que nos interesan aquí: Latinoamérica, Portugal y España.

Una primera idea sobre este tema

Estado del Arte de la Formación Profesional en Seguridad Informática – Bogotá, Junio 2004 pág. 2

Aclaremos un concepto: ¿Qué se entiende por seguridad informática?

La formación profesional en seguridad informática

Se hablará “muy alegremente” sobre seguridad física y en ella podrían tener entrada temas de políticas de seguridad, planes de contingencia, metodologías, protección física de datos, gestión de accesos, auditoría, normativas e incluso leyes... ¿?

De la misma manera, hablamos de seguridad lógica y en ese ámbito se incluye la protección de la información dentro de su propio medio de generación, transmisión, almacenamiento, usando por lo general técnicas y esquemas propios de la criptografía... ¿?

Conclusión: aunque haya más de una definición de seguridad informática -la más famosa y escueta es que la seguridad no es un producto sino un proceso- y que no esté nada claro la frontera entre la seguridad física y la lógica, en tanto que en muchos casos se complementan y una no puede plantearse sin la otra, lo cierto es que hoy la seguridad informática es una especialización de alto nivel muy apreciada en el mercado laboral.Estado del Arte de la Formación Profesional en Seguridad Informática – Bogotá, Junio 2004 pág. 3

La especialización en seguridad informática

En la Seguridad Informática intervienen al menos:

Algunas materias de las Matemáticas Algunas materias de la Informática Algunas materias de las Telecomunicaciones y la

Telemática Algunas materias del Derecho y las Leyes Algunas materias de la Gestión de Empresas Algunas materias del Análisis y la Evaluación de Riesgos Algunas materias de la Sociología, Sicología y Deontología

Entre las disciplinas o asignaturas propias, tenemos estas 11:Fundamentos y Temas Avanzados de la Aritmética Modular; Fundamentos de la Seguridad Informática; Gestión de la Seguridad Informática; Derecho Informático; Criptografía; Seguridad en Sistemas Operativos, Lenguajes y Bases de Datos; Seguridad en Redes; Virus Informáticos; Comercio Electrónico; Auditoría, Peritaje y Forensia Informática; Temas Avanzados en Seguridad Informática.


Materias propias de la seguridad informática (1/4)Fundamentos y Temas Avanzados de la Aritmética Modular Principios y operaciones con cuerpos finitos Algoritmos de cálculos en cuerpos finitos: inversos, raíces, etc. Cálculos en Campos de Galois GF Factorización y cálculos con polinomios en GF Uso de curvas elípticas en criptografía

Fundamentos de la Seguridad Informática Conceptos básicos de la seguridad informática Historia de la criptografía, sistemas de cifra clásicos La teoría de la información en la seguridad y la criptografía La complejidad de los algoritmos en la seguridad y la criptografíaGestión de la Seguridad Informática Políticas de seguridad informática, normativas y estándares Planes de contingencia y de recuperación ante desastres Esquemas de protección física de los datos y copias de seguridad


Materias propias de la seguridad informática (2/4)Derecho Informático Leyes de protección de datos Leyes de firma digital, comercio electrónico, etc.

Criptografía Cifrado simétrico y asimétrico Algoritmos de autenticación y funciones hash Algoritmos de firma digital Certificados digitales Esquemas híbridos de seguridad Fortaleza de los algoritmos

Seguridad en Sistemas Operativos, Lenguajes y Bases de Datos Sistemas operativos seguros, libro naranja Seguridad en entornos Windows, Linux, Unix y otros Programación y rutinas de seguridad en C++, Java, etc. Seguridad en SGBD y bases de datos distribuidas


Materias propias de la seguridad informática (3/4)Seguridad en Redes Protocolos de seguridad en Internet e Intranet Plataformas y pasarelas seguras: SHTTP, SSL, TLS, IPSec Instalación y gestión de un servidor Web y de correo seguros Autenticación en redes: Kerberos, SSH, X.509 Instalación y gestión de Autoridades de Certificación Instalación de cortafuegos y detección de intrusos Redes privadas virtuales Denegación de servicio Gestión y fortificación de la máquina Herramientas de control y auditoría de la máquina

Virus Informáticos Clasificación, características y tipos de virus Medidas de alerta, protección y eliminación Análisis de algoritmos malignos, hoax, spam, etc. Seguimiento y caracterización del virus en lenguaje de bajo nivel


Materias propias de la seguridad informática (4/4)Comercio Electrónico Normas del mercado del e-commerce Aspectos comerciales del inicio de actividades Instalación del servidor y generación del entorno web Seguimiento de las transacciones en la red Norma SET y otras normativas mundiales Tipos de comercio: B2B, B2C, etc.

Auditoría, Peritaje y Forensia Informática Técnicas de auditoría Auditoría de sistemas y seguridad Auditoría jurídica Peritaje y técnicas forenses en seguridad informática

Temas Avanzados en Seguridad Informática Protocolos criptográficos: e-voting, transferencia conocimiento cero... Sistemas avanzados: criptografía visual, cuántica, esteganografía... Esquemas de autenticación avanzada: sistemas biométricos... Tecnología de tarjetas inteligentes: interconexión, funcionalidades...

Estos descriptores de temarios fueron propuesto por este autor en una ponencia del

congreso JENUI, España, julio de 2001


¿Qué se está haciendo por la formación profesional?

Hay un desarrollo muy dispar entre los países de Iberoamérica. Detrás de un crecimiento espectacular en España en los últimos 10 años (1994-2004), sólo muestran una oferta relativamente alta Brasil, Argentina, México y Colombia.

Est

ima

ció

n d

e la

o

fert

a a

med

iado

s de

20

04


Otros países que no aparecen en este cuadro presentan

una oferta docente muy muy baja o

casi nula.Aunque estos datos son una estimación, los valores se basan

en un informe del autor y la posterior

observación de la oferta universitaria

en dichos países.

El caso del desarrollo de esta enseñanza en España

Referencia: “Enseñanza de la Criptografía en España. Primer Informe sobre Perfiles de Asignaturas”. Jorge Ramió A., Pino Caballero G.; revista SIC número 34, España, abril de 1999. Gráfica publicada en Ciberpaís, España.


• Un entorno universitario propicio• Potenciación del mercado laboral• Una legislación específica sobre

seguridad informática

El crecimiento tan marcado de esta oferta en España tiene su justificación en diversos hechos simultáneos:

Este fenómeno no se ha dado aún en los países de Latinoamérica; no obstante, hay que estar alerto porque el auge de estas tecnologías de la seguridad informática es algo mundial.

En 1998: 39 asignaturas

Otros antecedentes: legislación en España

La LOPD: Ley Orgánica de Protección de Datos (1999) Define al Responsable de Fichero

Define al Encargado de Tratamiento

El Real Decreto 994/1999: “Medidas de Seguridad de los Ficheros Automatizados que Contengan Datos de Carácter Personal”

Define al Responsable de Seguridad

Reemplaza a la antigua LORTAD y aparecen estas nuevas figuras...

Las empresas deben cumplir la Ley: hay multas de 60.000, 300.000 y 600.000 €.

APD

La Agencia de Protección de Datos hará una auditoría cada 2 años...


Otros antecedentes: norma internacional ISO 17799Es un Código de buenas prácticas para la Gestión de la Seguridad de la Información: PNE-ISO/IEC 17799 (Proyecto de Norma Española)• Antecedentes• Introducción• Objeto y campo de la aplicación• Términos y definiciones• Política de seguridad• Aspectos organizativos para la

seguridad• Clasificación y control de los archivos• Seguridad ligada al personal• Seguridad física y del entorno• Gestión de comunicaciones y

operaciones• Control de accesos• Desarrollo y mantenimiento de

sistemas• Gestión de continuidad del negocio• Conformidad

En 70 páginas y diez apartados, presenta

unas normas, recomendaciones y

criterios básicos para establecer unas políticas de seguridad. Éstas van desde los conceptos de

seguridad física hasta los de seguridad lógica.

Parte de la norma elaborada por la British

Standards Institution BSI, adoptada por

International Standards Organization ISO y la

International Electronic Commission IEC.Estado del Arte de la Formación Profesional en Seguridad Informática – Bogotá, Junio 2004 pág. 12

Otros antecedentes: portales, redes y publicaciones

Revista SIC, Seguridad Informática y Comunicaciones. Desde su primera edición en 1992 y con 5 números al año, es la decana de las publicaciones técnicas de habla hispana.

Portal Año de inicio en la red

Kriptópolis 1996

Criptonomicón 1997

Hispasec 1998

G.I.S.I. ATI 1998

CriptoRed 1999

VirusProt 1999

Data Security Center 2000

Belt Ibérica 2000

Delitosinformáticos 2000

La realidad en España:

Una importante oferta hacia finales de la década de los 90.

Son servidores Web con miles de accesos al mes.

Éstos son sólo los más conocidos.


Otros antecedentes: reuniones técnicas y congresosPaís Congreso / Seminario / Jornadas (con periodicidad)

Argentina Congreso Nacional de Seguridad y Criptografía en Redes de Teleinformática CONSECRI

Brasil Simposio de Seguridad en Informática SSI

Colombia Jornada Nacional de Seguridad Informática ACIS

CubaSeminario Iberoamericano de Seguridad en Tecnologías de la Información y ComunicacionesCongreso de Telemática CITEL

España

Reunión Española de Criptología y Seguridad de la Información RECSISecurmáticaSimposio Español de Comercio Electrónico SCECongreso Internacional de la Sociedad de la Información (más general)Congreso e-Gallaecia (más general)Al menos un par de los importantes a nivel mundial con sede en España

Otros Latin America CACSCongreso Iberoamericano de Seguridad Informática CIBSI

Varios de estos eventos están ya consolidados y poseen un alto nivel


La oferta en estudios de postgrado

En estos últimos cinco años, desde finales de 1999, aparecen diversas ofertas de cursos de postgrado por parte de las universidades.Es algo obvio. Si las universidades no dan salida a estas demandas de la sociedad en sus carreras de pregrado, no existe otra salida que ofrecer cursos de postgrado, dirigido principalmente a las empresas, a los que se apuntan principalmente ingenieros, licenciados y técnicos en activo.Algunos ejemplos a destacar:

Especialización en Criptografía y Seguridad Teleinformática - IESE (Argentina)Diplomado en Seguridad Computacional – U. de Chile (Chile)Diplomados en Seguridad Informática - UNAM (México)Talleres de Seguridad Informática - UNAM (México)Master en Tecnologías de Seguridad Informática - UPC (España)Master Tecnologías Información y Seguridad - UCLM (España)Curso Experto en Seguridad Informática – U. Mondragón (España)Master Administración y Gestión de Seguridad de Información - UCM (España)Master en Auditoría de la Seguridad y Seguridad Informática - UPM (España)


Otras ofertas de formación en Seguridad Informática En la formación avanzada no conducente a título

universitario, nos encontramos con una amplia oferta en España y una oferta menor en países iberoamericanos. En el caso de España, se ha observado una proliferación de estos cursos, ofrecidos por empresas o por instituciones, en los últimos cinco años. Esto es lógico puesto que esta formación en temas de seguridad en redes, cortafuegos, seguridad en Internet, auditoría, forensia, comercio electrónico, etc. no la estamos impartiendo en la enseñanza reglada y, por el contrario, son muy bien valorados por el sector empresarial.

Esta reflexión posiblemente podría aplicarse también a aquellos países de Latinoamérica como Argentina, Brasil, Chile, México, Colombia, etc. que se encuentran con un desarrollo importante en cuanto a la enseñanza y difusión de la seguridad informática y comienzan a ofrecer también este tipo de cursos.


¿Por qué no dar un paso más? Aunque sea algo utópico, desde hace unos 5 años ya se viene hablando de una nueva especialidad en seguridad informática.

¿La seguridad informática es sólo para ingenieros?Todas estas ofertas están orientadas a la especialización de ingenieros en informática y telecomunicaciones y no existen ofertas de formación menos tecnológica en temas de seguridad informática a carreras que tienen relación con ella como Derecho, Ciencias Económicas, etc. En muchos casos, los responsables de seguridad informática deberán presentar

un informe técnico justificando la necesidad de una inversión a los directivos de la empresa (adquisición de cortafuegos, instauración de un plan de seguridad, etc.), que muestran muchas veces un gran desconocimiento sobre estos temas.

En otros, nos podemos encontrar ante problemas legales por un mal uso de la tecnología, la no implantación de normativas y leyes de seguridad, intrusiones no autorizadas al sistema, tanto internas como externas, etc. Aquí los términos que manejan los abogados y los tecnólogos muchas veces no son los mismos.

Solución: rectificar a tiempo y expandir estas enseñanzas de seguridad informática en esas carreras, al igual que introducir conocimientos de temas empresariales y de derecho en las ingenierías.


¿Por qué no se plantea una nueva especialidad en SI? Intentar cambiar la estructura actual de oferta de títulos de

carreras universitarias, de pre y postgrado, que ha funcionado de forma adecuada en los últimos 20 ó 30 años es algo muy difícil...

Habría que hacer una apuesta algo arriesgada y las universidades públicas parecen tener muy poca capacidad de reacción ante estos fenómenos de mercado...

En el interior de las Escuelas y Departamentos de Ingeniería esto se ve más complicado. ¿Hay miedo al cambio? No exactamente; el verdadero problema es que no se cuenta con un número mínimo de profesores que estén trabajando en seguridad informática, no hay una especialización y ello dificulta una apuesta en este sentido...

Una propuesta incluso de una línea de especialización en seguridad en las actuales ingenierías informática o telemática, chocará con intereses de otros grupos de trabajo ya constituidos...

No sería extraño que muchas iniciativas provengan de entidades privadas. Su capacidad de reacción es más adecuada y parece que tienen menos prejuicios en colaborar con otras instituciones.


La propuesta de una nueva especialidad en ingeniería Considerando algunos informes como el de Irvine, Chin y

Frincke “Integrating Security into the Curriculum” (IEEE, diciembre de 1998) en el que comentan: “La Seguridad Informática podría ser el objetivo principal de un curriculum que debería investigar los fundamentos y enfoques técnicos de la seguridad con una profundidad considerable” o el del propio autor de esta ponencia “Introducción de las enseñanzas de seguridad informática en los planes de estudio de las ingenierías del siglo XXI” (JENUI, julio de 2001) en donde se comentaba “Se detecta una necesidad en el mercado de nuevos perfiles de ingenieros en seguridad pero no existe respuesta adecuada de la universidad”, se puede concluir: Es el momento oportuno para que alguna universidad diera el salto cualitativo y cuantitativo en esta línea y presentase como oferta un título de Ingeniero en Seguridad Informática, algo que tal vez hoy en día parezca una locura. Al menos una especialización fuerte en esta línea de seguridad en sus actuales titulaciones, con un número mínimo de seis de las once asignaturas antes comentadas.


Primeras conclusiones sobre la enseñanza de la S.I. España se encuentra en una posición muy interesante frente

a los demás países iberoamericanos. El número de asignaturas que se imparten (sobre 60), el número de universidades que las imparten (todas las tecnológicas) y el hecho de que aquel boom de ofertas se haya producido en torno al año 1997, hace que existan materias bien consolidadas y además con mucho soporte didáctico.

Hay otro grupo de países que también presentan un desarrollo muy interesante: es el caso de Brasil, Argentina, México y Colombia.

Hay un conjunto de países en donde la presencia de asignaturas de seguridad informática es casi testimonial y en otros nula.

Llama la atención que en países con alto desarrollo en investigación en temas de seguridad, luego esto no se vea reflejado en una alta oferta docente. No obstante, esto se podría entender y justificar analizando las condiciones laborales que en esos países tienen los profesores universitarios.

Puede ser el momento oportuno de ofrecer el know-how a aquellos países con un menor (o nulo) desarrollo educacional en seguridad.


Otros aspectos de interés: las certificaciones

CISSP: Certified Information System Security ProfessionalCCNA: Cisco Certified Network AssociateCCSE: Check Point Certified Security ExpertMCSE: Microsoft Certified System EngineerGSEC: GIAC Security Essentials CertifiedRT-PKI-C: Rainbow Technologies PKI CertificationIBM Certified Professional Server ExpertTICSA TruSecure International Computer Security AssociationTrend Micro InterScan VirusWallCPP Certified Protection ProfessionalCIA Certified Internal AuditorCISA Certified Information System AuditorCISM: Certified Information Security Manager...

Algunos ejemplos característicos...

Puede parecer normal que las empresas exijan estar en posesión de una certificación que avale el conocimiento de estas técnicas y herramientas avanzadas de la seguridad informática. Estas certificaciones (que deben actualizarse periódicamente) las están ofreciendo diversas empresas y organismos, algunos de ellos con un gran prestigio y miles de miembros.

No obstante, hay algunas cosas que nos llaman la atención...Estado del Arte de la Formación Profesional en Seguridad Informática – Bogotá, Junio 2004 pág. 21

Interrogantes sobre las actuales certificaciones

¿Por qué existen tantas certificaciones en el área de seguridad y no así en otras áreas de la ingeniería, incluso en materias muy similares de la informática y las telecomunicaciones como bases de datos, ingeniería del software, administración de redes, etc.? ¿No es ésta una medida discriminatoria para el sector?

Si son las universidades y los centros de educación superior quienes otorgan un título que habilita a los ingenieros y a los licenciados para el ejercicio de la profesión ... y un certificado como éste no es más que un examen de conocimientos, bien teórico, práctico o teórico/práctico...

¿Por qué no son también las universidades quienes certifican que un ingeniero o licenciado es experto en seguridad, en redes ...?

¿Qué es mejor valorado en el sector empresarial, un buen título universitario o una buena certificación? ¿Por qué? En un mercado caracterizado por el outsourcing este tema merece una reflexión.

Aún no hay respuestas. No obstante hay trabajos ya en esta línea como “Certificaciones en Seguridad Informática. Conceptos y Reflexiones”, Jeimy Cano, ACIS, Colombia, marzo 2003.


El certificado CISA, un buen parámetro de estudio

La gráfica muestra la distribución de certificaciones CISA en algunos países de Iberoamérica. Aunque aquí se trata de auditoría de sistemas de información, es interesante observar la correlación que existe con la gráfica de oferta de asignaturas de seguridad informática.

Datos de marzo de 2003. Los datos de la figura (algunos sólo aproximados) han sido obtenidos a través de contacto bien telefónico o por correo electrónico con los representantes y miembros de ISACA en estos países, además de algunos sitios Web de esta organización. El número mundial de esta certificación supera las 30.000, casi la mitad en los Estados Unidos.


Desarrollo de la investigación pura y aplicada en las materias propias de la seguridad informática.

Desarrollo de las normativas legales y procedimientos con relación a la implantación de medidas de seguridad y leyes que la amparen.

Estudio de la concienciación del mundo empresarial, industrial y de servicios en cuanto a la necesidad de contar con medidas y planes de seguridad informática: nivel de implantación de estas medidas.

Crecimiento de los puestos de trabajo relacionados directamente con la seguridad informática: mundo laboral.

Comparación entre el desarrollo de aplicaciones propias y el uso de aplicaciones y esquemas importados: dependencia mercado externo.

Impacto de las nuevas tecnologías de la información en los pueblos.

Número de profesionales expertos en seguridad (CISM, CISSP, ...).

Grupos de trabajo universitarios en seguridad informática.

Lectura de tesis de grado, de Master y de Doctorado.

Otros temas que pueden apoyar esta tesis


Conclusiones finales del estudio 1/4

El desarrollo de la enseñanza de la seguridad informática en las universidades españolas ha sido espectacular en los últimos 10 años. Esta oferta es generalizada y cada vez más amplia.

El boom de oferta de asignaturas de seguridad informática que experimenta España a mediados de los 90, no se ha manifestado aún (al parecer) en otros países iberoamericanos.

No obstante, no se alcanza a cubrir todos los temas relacionados con la seguridad informática y esta carencia en la formación técnica especializada hace que proliferen diversas ofertas de cursos no universitarios por parte de empresas.

La formación de postgrado en temas de seguridad informática comienza a tomarse en cuenta sólo a comienzos de esta década. Esta oferta es todavía muy baja en comparación con la demanda.

Tal vez sea el momento de plantearse una especialización fuerte en Seguridad Informática en las ingenierías relacionadas.



Entre las asignaturas que debería incluir esta nueva especialidad tenemos: Fundamentos y Temas Avanzados de Aritmética Modular; Fundamentos de la Seguridad Informática; Gestión de la Seguridad Informática; Derecho Informático; Criptografía; Seguridad en Sistemas Operativos, Lenguajes y Bases de Datos; Seguridad en Redes; Virus Informáticos; Comercio Electrónico; Auditoría, Peritaje y Forensia Informática; Temas Avanzados en Seguridad Informática.

Es difícil que las universidades públicas apuesten fuertemente por esta nueva línea. Entre las posibles razones tenemos la falta de un número amplio de expertos, al ser una especialidad muy nueva, y las dificultades que esto entraña en el interior de los departamentos y facultades en donde existen otras líneas de desarrollo más consolidadas que ejercen una mayor presión.

Tal vez la iniciativa en esta línea parta de instituciones privadas a través de convenios con otros centros.



Otros factores que muestran esta tendencia de desarrollo entre los países es la implantación de normas y leyes relacionadas de forma directa con la seguridad informática, en donde España de la mano también de la Comunidad Europea está muy bien situada.

El número de eventos propios de seguridad informática es muy importante en España. Hay congresos con muchas ediciones y una alta presentación de ponencias lo que significa que existe una masa crítica y alta de investigadores. Además cada mes hay diversos eventos técnicos en esta línea.

Es importante contar con portales y revistas técnicas.

Llama la atención el alto número de certificaciones que existen en seguridad informática comparado con otras especialidades. Puede pensarse que esto es discriminatorio para el sector.

Las certificaciones de auditoría CISA tal vez podrían tomarse como un baremo de la presión del mercado por estas disciplinas.



A finales de 1999 nace CriptoRed, Red Temática de Criptografía y Seguridad de la Información. Desde sus inicios la coordinación y gestión del servidor Web se realiza desde la Universidad Politécnica de Madrid, España.

CriptoRed aglutina a casi 450 profesionales de la seguridad, que representan a más de 135 universidades y otras tantas empresas y organismos de 18 países.

Desde su servidor se descargan mensualmente como media más de 20.000 documentos.

Los congresos RECSI (España) y CIBSI (Latinoamérica) se presentan como escenarios idóneos para encuentros técnicos de alto nivel, en los que interviene un Comité de Programa.

Esto es una buena muestra del auge que está experimentando en nuestros días todo lo relacionado con la seguridad informática.

FIN


Estado del Arte de la Formación Profesional en Seguridad Informática en Iberoamérica: Estrategias...

Documents

Transcript of Estado del Arte de la Formación Profesional en Seguridad Informática en Iberoamérica: Estrategias...