The Need for Formal Education on Information Security

Anuncio
668
IEEE LATIN AMERICA TRANSACTIONS, VOL. 11, NO. 1, FEB. 2013
The Need for Formal Education
on Information Security
F. G. Pacheco, Member, IEEE
1
Abstract— Information Security is a critical element in all the
organizations today. It represents a whole new specialization, and
is not yet covered by our higher educational system, which
actually is not providing qualified professionals, despite of the
good level of Argentina in information security field, but far
from world class educational systems. This work analyzes the
importance of information security courses in engineering
careers, the big need of the industry, and how the educational
system could cover that gap, by including different courses in the
study plans, and thinking of the relative relevance that it could
have for engineers in their future jobs.
Keywords— Information Security, Education.
L
I. INTRODUCCION
A SEGURIDAD de la información es probablemente el
área más transversal que exista en una organización, ya
sea pública o privada. Hoy en día se sabe más que nunca antes
el valor que tienen los datos, y cómo éstos se convierten en
información mediante su procesamiento, para luego poder ser
estudiados en profundidad y obtener más información aún, en
el proceso que se conoce como inteligencia de negocios
(Business Intelligence). La diferencia competitiva entre las
empresas puede reducirse simplemente a una diferenciación
en la información que poseen respecto al resto, ya sea en una
ventaja competitiva del conocimiento de un proceso o un dato
que en sí puede tener valor potencial.
Pero no son las organizaciones las que tienen esa
información, sino en última instancia, las personas que la
conforman. He aquí el que se sabe que es el eslabón más débil
de la cadena de la seguridad: el factor humano. La tecnología
funciona como herramienta para procesar, almacenar,
distribuir, organizar y manipular información, pero son las
personas las que realmente la interpretan como algo valioso.
Aquí es donde entra en juego la seguridad de la
información, un conjunto de metodología, técnicas y procesos
que tienen como fin garantizar la integridad, confidencialidad
y disponibilidad de la misma, tanto a nivel informático como a
nivel no técnico. Esto implica que se deben proteger los datos
para que no sean alterados deliberadamente o no, para que no
sean robados, para que no exista la fuga de información, que
se ha visto en muchas ocasiones durante los últimos años, y
que tomó particular relevancia desde el caso Wikileaks, donde
cientos de documentos clasificados fueron hechos públicos a
1
F. Pacheco, Universidad Tecnológica Nacional, Buenos Aires, Argentina,
fedepacheco@hotmail.com
raíz de una fuga de información en un organismo del gobierno
de los Estados Unidos.
A este respecto, suele dividirse la seguridad en su aspecto
técnico, físico y administrativo, ya que desde cada uno de esos
ángulos es necesario tomar medidas, tanto preventivas, como
detectivas y correctivas, para lograr los objetivos.
Esto plantea un contexto donde profesionales altamente
calificados de distintas especialidades deben interactuar para
alcanzar las metas, que no son en sí metas de las
organizaciones, sino más bien permiten que las mismas
puedan operar con la garantía de estar asumiendo un riesgo
limitado, tanto como haya sido posible según los recursos que
se haya dispuesto.
II. DESARROLLO
En líneas generales, los profesionales de la industria de la
seguridad de la información han provenido en muchos casos
durante la última década de carreras de ingeniería de
universidades, o bien de carreras no relacionadas y hayan
realizado especializaciones con el tiempo. En cualquier caso
existió un gran componente de autoaprendizaje, dado que el
sistema de educación superior, tanto público como privado en
todo el mundo, no estaba dando la posibilidad de aprender
dichos tópicos.
A partir de la tragedia del 11S, con la caída de las torres
gemelas en Nueva York, el mundo de los negocios dio un
vuelco, apuntando desde allí a profesionalizar actividades
vinculadas a la seguridad, que ya nadie podía darse el lujo de
desconocer. Entonces se desarrollaron las mejoras a los
procesos de planes de contingencias, continuidad de negocios
y recuperación ante desastres, donde la seguridad de la
información es quien dirige.
Para ese entonces, muchos países promovieron la inclusión
de programas educativos que tuvieran como asignatura la
seguridad de la información, especialmente en carreras de
ingeniería. En Argentina particularmente, las universidades
solo destinaron unas escasas horas de cátedra a dicho tema, a
modo de materia optativa, y solo en las carreras de ingeniería
en sistemas o informática, por lo que el mercado de los
institutos privados respondió con cursos de especialización,
que comenzaron a dar respuestas a los profesionales que
querían especializarse.
Esta tendencia continuó de la mano de las conocidas
certificaciones internacionales creadas por las grandes marcas
y empresas como Microsoft, Cisco, Oracle, etcétera, para ser
ellos mismos los que dispongan qué nivel deberían tener los
especialistas en sus tecnologías. Con este panorama, muchas
PACHECO : THE NEED FOR FORMAL EDUCATION ON INFORMATION
personas comenzaron a estudiar para rendir los exámenes y
obtener las certificaciones internacionales, que les permitían
tener una gran proyección a nivel mundial, y buscar incluso
oportunidades laborales en el exterior. La situación se
intensificó luego de la crisis del 2002, que incentivó a muchas
personas a irse del país.
Pero estas certificaciones de las marcas, que a priori
podrían parecer poco importantes desde el punto de vista
académico, comenzaron a formar perfiles de profesionales que
reuniendo 2 o 3 de ellas, comenzaban a ser reconocidos como
especialistas en una determinada serie de tecnologías. Este
aspecto práctico de las certificaciones hizo que mucha gente
con necesidades laborales inmediatas prefiera encarar ese
camino en lugar de una carrera de grado con la que obtendría
grandes beneficios pero en un plazo de no menos de cinco
años. Así, las certificaciones se convirtieron tanto en un
complemento como en una alternativa para formar
profesionales, que cubre el aspecto que más se le ha criticado
a las facultades de ingeniería, que es su gran distancia entre la
realidad y los programas de estudio.
El problema continúa luego de más de una década de
comenzado el siglo 21, dado que cada vez más se intensifican
estas brechas, especialmente en tecnología, y cada vez más se
comprende la necesidad del aspecto pragmático de la
educación, y la pérdida de parte de su objetivo como
herramienta de inserción de personas en el mundo laboral.
La seguridad informática por su parte no se ha quedado al
margen de la problemática, dado que al ser transversal a todas
las áreas de las organizaciones, involucra aspectos técnicos y
no técnicos, y también está sujeta al universo de las
certificaciones. Ejemplos de estas son CISSP, CEH, CISA, y
otras. Dichas certificaciones son creadas por organizaciones
internacionales de profesionales que se han puesto al servicio
del mercado y alineado con éste para el armado de programas
especializados en cada perfil. En muchos casos estas
organizaciones las conforman empresas que lógicamente
vuelcan sus intereses en los programas, dándole así una
orientación
en
particular
a
las
certificaciones
correspondientes.
El desafío de nuestro sistema universitario deberá ser en los
próximos años ofrecer contenidos relacionados con la
seguridad a un nivel que les permita a los estudiantes
introducirse de manera eficiente, realista y cercana al mercado
laboral, para así poder continuar cumpliendo con el principal
objetivo del sistema educativo.
La respuesta de los institutos educativos privados no
incorporados a la enseñanza oficial, ha sido inmediata y
coherente con el crecimiento de la demanda, por lo que
muchos profesionales de seguridad orientados a la docencia
comenzaron a armar y dictar sus propios cursos, con los
cuales comenzaron a formarse camadas de especialistas, en
particular desde el año 2001 en adelante, incluso pese a la
crisis, cuando las personas comprendieron que una manera
inteligente de salir de la misma era mediante las herramientas
de la formación y la capacitación.
En cuanto al mercado laboral internacional, la problemática
669
no es muy diferente, sólo que existe un nivel de conciencia
previo que permitió tomar acciones a nivel académico, y cuya
respuesta ya está siendo comprobada en la práctica, luego de
varios años de titularse profesionales sin requerir de institutos
privados. Tal es el caso de algunas universidades que incluso
ofrecen post grados de temas tan específicos como el análisis
de código malicioso, a diferencia de lo ofrecido en Argentina,
que alcanza mayormente un nivel de gestión.
Como resultado de este escenario, hoy en día existen
muchos profesionales universitarios que en cuanto a seguridad
se han formado fuera del sistema universitario, muchos
profesionales sin título de grado que se han formado también
en instituciones, consultoras y empresas capacitadoras, y
muchos profesionales que están buscando la manera de
insertarse en dicho mercado sin tener experiencia, mientras las
empresas están demandando personal con la certeza de saber
que tendrán que formar internamente sus propios recursos, ya
que no está siendo eficiente incorporarlos formados. Esto
aumenta el costo operativo de las organizaciones,
especialmente las pequeñas y medianas empresas, y ralentiza
el ritmo de crecimiento de la industria de la seguridad y la
consultoría.
La experiencia en docencia de materias de seguridad, tanto
a nivel universitario como en institutos privados de
capacitación, indica que la complejidad de la temática no
puede ser abordada sino desde una perspectiva
multidisciplinaria que requiere conocimientos extensos, y en
algunos casos de un alto grado de profundidad, lo cual implica
la necesidad de inserción de la asignatura en un nivel de
estudios que suponga amplios conocimientos previos y
adicionalmente experiencia básica en algún entorno laboral.
Otra de las más importantes conclusiones que pueden
extraerse de tal experiencia es la necesidad de que la materia
esté incluida de forma obligatoria en el tronco de
conocimientos de ciertas carreras como ingeniería en sistemas
e ingeniería en informática, y que sólo sean electivas en casos
como ingeniería en electrónica o industrial.
En un sentido más amplio y proyectado hacia el futuro, se
podría aspirar a que las asignaturas vinculadas a la seguridad
contengan laboratorios prácticos como parte de los programas,
cosa que hoy en día es casi impensable, en parte por los
recursos existentes puestos a disposición, y en parte porque el
nivel de experiencia práctica requerida para los docentes sería
muy alto y limitaría la cantidad de profesores aptos para el
dictado de las clases.
Asimismo, se han obtenido excelentes resultados utilizando
ciertas metodologías específicas como la lectura y análisis de
noticias y contenidos de actualidad, la confección de trabajos
grupales con presentaciones orales a modo de simulación de
situaciones laborales concretas, la invitación de especialistas
en determinados temas para complementar las clases, y el
material multimedia y en formato presentaciones que
simplifica de manera significativa la comprensión de los temas
complejos. Estas metodologías requieren una actualización
continua de parte de los docentes, y un nivel de
involucramiento muy grande en el proceso de aprendizaje de
670
IEEE LATIN AMERICA TRANSACTIONS, VOL. 11, NO. 1, FEB. 2013
los estudiantes, así como también una extensiva experiencia
real en las temáticas abordadas.
III. CONCLUSION
La seguridad de la información es un aspecto clave en el
funcionamiento de una organización, y como tal requiere
profesionales capacitados a la altura de las exigencias del
mercado corporativo. Dado que el sistema educativo debe
promover la inserción de sus graduados en el mundo laboral,
la necesidad de especialistas de seguridad que no está siendo
cubierta hoy en día por la universidad argentina, obliga a que
no pueda evitarse la discusión en vistas a resolver un
problema que ya hoy es de gran importancia, y que podría
resultar en una diferencia sustancial en la competitividad de
las empresas instaladas en Argentina en los próximos 10 años.
Federico G. Pacheco, integra la cátedra de Seguridad
Informática en la Universidad Tecnológica Nacional (UTN)
facultad regional Buenos Aires, Argentina. Es Director de
Membresía de ISSA Argentina y responsable de Educación
de la consultora SIClabs, especializada en seguridad.
Además es coautor de dos libros sobre seguridad de la
información y gran cantidad de material educativo para distintas instituciones.
Descargar