668 IEEE LATIN AMERICA TRANSACTIONS, VOL. 11, NO. 1, FEB. 2013 The Need for Formal Education on Information Security F. G. Pacheco, Member, IEEE 1 Abstract— Information Security is a critical element in all the organizations today. It represents a whole new specialization, and is not yet covered by our higher educational system, which actually is not providing qualified professionals, despite of the good level of Argentina in information security field, but far from world class educational systems. This work analyzes the importance of information security courses in engineering careers, the big need of the industry, and how the educational system could cover that gap, by including different courses in the study plans, and thinking of the relative relevance that it could have for engineers in their future jobs. Keywords— Information Security, Education. L I. INTRODUCCION A SEGURIDAD de la información es probablemente el área más transversal que exista en una organización, ya sea pública o privada. Hoy en día se sabe más que nunca antes el valor que tienen los datos, y cómo éstos se convierten en información mediante su procesamiento, para luego poder ser estudiados en profundidad y obtener más información aún, en el proceso que se conoce como inteligencia de negocios (Business Intelligence). La diferencia competitiva entre las empresas puede reducirse simplemente a una diferenciación en la información que poseen respecto al resto, ya sea en una ventaja competitiva del conocimiento de un proceso o un dato que en sí puede tener valor potencial. Pero no son las organizaciones las que tienen esa información, sino en última instancia, las personas que la conforman. He aquí el que se sabe que es el eslabón más débil de la cadena de la seguridad: el factor humano. La tecnología funciona como herramienta para procesar, almacenar, distribuir, organizar y manipular información, pero son las personas las que realmente la interpretan como algo valioso. Aquí es donde entra en juego la seguridad de la información, un conjunto de metodología, técnicas y procesos que tienen como fin garantizar la integridad, confidencialidad y disponibilidad de la misma, tanto a nivel informático como a nivel no técnico. Esto implica que se deben proteger los datos para que no sean alterados deliberadamente o no, para que no sean robados, para que no exista la fuga de información, que se ha visto en muchas ocasiones durante los últimos años, y que tomó particular relevancia desde el caso Wikileaks, donde cientos de documentos clasificados fueron hechos públicos a 1 F. Pacheco, Universidad Tecnológica Nacional, Buenos Aires, Argentina, [email protected] raíz de una fuga de información en un organismo del gobierno de los Estados Unidos. A este respecto, suele dividirse la seguridad en su aspecto técnico, físico y administrativo, ya que desde cada uno de esos ángulos es necesario tomar medidas, tanto preventivas, como detectivas y correctivas, para lograr los objetivos. Esto plantea un contexto donde profesionales altamente calificados de distintas especialidades deben interactuar para alcanzar las metas, que no son en sí metas de las organizaciones, sino más bien permiten que las mismas puedan operar con la garantía de estar asumiendo un riesgo limitado, tanto como haya sido posible según los recursos que se haya dispuesto. II. DESARROLLO En líneas generales, los profesionales de la industria de la seguridad de la información han provenido en muchos casos durante la última década de carreras de ingeniería de universidades, o bien de carreras no relacionadas y hayan realizado especializaciones con el tiempo. En cualquier caso existió un gran componente de autoaprendizaje, dado que el sistema de educación superior, tanto público como privado en todo el mundo, no estaba dando la posibilidad de aprender dichos tópicos. A partir de la tragedia del 11S, con la caída de las torres gemelas en Nueva York, el mundo de los negocios dio un vuelco, apuntando desde allí a profesionalizar actividades vinculadas a la seguridad, que ya nadie podía darse el lujo de desconocer. Entonces se desarrollaron las mejoras a los procesos de planes de contingencias, continuidad de negocios y recuperación ante desastres, donde la seguridad de la información es quien dirige. Para ese entonces, muchos países promovieron la inclusión de programas educativos que tuvieran como asignatura la seguridad de la información, especialmente en carreras de ingeniería. En Argentina particularmente, las universidades solo destinaron unas escasas horas de cátedra a dicho tema, a modo de materia optativa, y solo en las carreras de ingeniería en sistemas o informática, por lo que el mercado de los institutos privados respondió con cursos de especialización, que comenzaron a dar respuestas a los profesionales que querían especializarse. Esta tendencia continuó de la mano de las conocidas certificaciones internacionales creadas por las grandes marcas y empresas como Microsoft, Cisco, Oracle, etcétera, para ser ellos mismos los que dispongan qué nivel deberían tener los especialistas en sus tecnologías. Con este panorama, muchas PACHECO : THE NEED FOR FORMAL EDUCATION ON INFORMATION personas comenzaron a estudiar para rendir los exámenes y obtener las certificaciones internacionales, que les permitían tener una gran proyección a nivel mundial, y buscar incluso oportunidades laborales en el exterior. La situación se intensificó luego de la crisis del 2002, que incentivó a muchas personas a irse del país. Pero estas certificaciones de las marcas, que a priori podrían parecer poco importantes desde el punto de vista académico, comenzaron a formar perfiles de profesionales que reuniendo 2 o 3 de ellas, comenzaban a ser reconocidos como especialistas en una determinada serie de tecnologías. Este aspecto práctico de las certificaciones hizo que mucha gente con necesidades laborales inmediatas prefiera encarar ese camino en lugar de una carrera de grado con la que obtendría grandes beneficios pero en un plazo de no menos de cinco años. Así, las certificaciones se convirtieron tanto en un complemento como en una alternativa para formar profesionales, que cubre el aspecto que más se le ha criticado a las facultades de ingeniería, que es su gran distancia entre la realidad y los programas de estudio. El problema continúa luego de más de una década de comenzado el siglo 21, dado que cada vez más se intensifican estas brechas, especialmente en tecnología, y cada vez más se comprende la necesidad del aspecto pragmático de la educación, y la pérdida de parte de su objetivo como herramienta de inserción de personas en el mundo laboral. La seguridad informática por su parte no se ha quedado al margen de la problemática, dado que al ser transversal a todas las áreas de las organizaciones, involucra aspectos técnicos y no técnicos, y también está sujeta al universo de las certificaciones. Ejemplos de estas son CISSP, CEH, CISA, y otras. Dichas certificaciones son creadas por organizaciones internacionales de profesionales que se han puesto al servicio del mercado y alineado con éste para el armado de programas especializados en cada perfil. En muchos casos estas organizaciones las conforman empresas que lógicamente vuelcan sus intereses en los programas, dándole así una orientación en particular a las certificaciones correspondientes. El desafío de nuestro sistema universitario deberá ser en los próximos años ofrecer contenidos relacionados con la seguridad a un nivel que les permita a los estudiantes introducirse de manera eficiente, realista y cercana al mercado laboral, para así poder continuar cumpliendo con el principal objetivo del sistema educativo. La respuesta de los institutos educativos privados no incorporados a la enseñanza oficial, ha sido inmediata y coherente con el crecimiento de la demanda, por lo que muchos profesionales de seguridad orientados a la docencia comenzaron a armar y dictar sus propios cursos, con los cuales comenzaron a formarse camadas de especialistas, en particular desde el año 2001 en adelante, incluso pese a la crisis, cuando las personas comprendieron que una manera inteligente de salir de la misma era mediante las herramientas de la formación y la capacitación. En cuanto al mercado laboral internacional, la problemática 669 no es muy diferente, sólo que existe un nivel de conciencia previo que permitió tomar acciones a nivel académico, y cuya respuesta ya está siendo comprobada en la práctica, luego de varios años de titularse profesionales sin requerir de institutos privados. Tal es el caso de algunas universidades que incluso ofrecen post grados de temas tan específicos como el análisis de código malicioso, a diferencia de lo ofrecido en Argentina, que alcanza mayormente un nivel de gestión. Como resultado de este escenario, hoy en día existen muchos profesionales universitarios que en cuanto a seguridad se han formado fuera del sistema universitario, muchos profesionales sin título de grado que se han formado también en instituciones, consultoras y empresas capacitadoras, y muchos profesionales que están buscando la manera de insertarse en dicho mercado sin tener experiencia, mientras las empresas están demandando personal con la certeza de saber que tendrán que formar internamente sus propios recursos, ya que no está siendo eficiente incorporarlos formados. Esto aumenta el costo operativo de las organizaciones, especialmente las pequeñas y medianas empresas, y ralentiza el ritmo de crecimiento de la industria de la seguridad y la consultoría. La experiencia en docencia de materias de seguridad, tanto a nivel universitario como en institutos privados de capacitación, indica que la complejidad de la temática no puede ser abordada sino desde una perspectiva multidisciplinaria que requiere conocimientos extensos, y en algunos casos de un alto grado de profundidad, lo cual implica la necesidad de inserción de la asignatura en un nivel de estudios que suponga amplios conocimientos previos y adicionalmente experiencia básica en algún entorno laboral. Otra de las más importantes conclusiones que pueden extraerse de tal experiencia es la necesidad de que la materia esté incluida de forma obligatoria en el tronco de conocimientos de ciertas carreras como ingeniería en sistemas e ingeniería en informática, y que sólo sean electivas en casos como ingeniería en electrónica o industrial. En un sentido más amplio y proyectado hacia el futuro, se podría aspirar a que las asignaturas vinculadas a la seguridad contengan laboratorios prácticos como parte de los programas, cosa que hoy en día es casi impensable, en parte por los recursos existentes puestos a disposición, y en parte porque el nivel de experiencia práctica requerida para los docentes sería muy alto y limitaría la cantidad de profesores aptos para el dictado de las clases. Asimismo, se han obtenido excelentes resultados utilizando ciertas metodologías específicas como la lectura y análisis de noticias y contenidos de actualidad, la confección de trabajos grupales con presentaciones orales a modo de simulación de situaciones laborales concretas, la invitación de especialistas en determinados temas para complementar las clases, y el material multimedia y en formato presentaciones que simplifica de manera significativa la comprensión de los temas complejos. Estas metodologías requieren una actualización continua de parte de los docentes, y un nivel de involucramiento muy grande en el proceso de aprendizaje de 670 IEEE LATIN AMERICA TRANSACTIONS, VOL. 11, NO. 1, FEB. 2013 los estudiantes, así como también una extensiva experiencia real en las temáticas abordadas. III. CONCLUSION La seguridad de la información es un aspecto clave en el funcionamiento de una organización, y como tal requiere profesionales capacitados a la altura de las exigencias del mercado corporativo. Dado que el sistema educativo debe promover la inserción de sus graduados en el mundo laboral, la necesidad de especialistas de seguridad que no está siendo cubierta hoy en día por la universidad argentina, obliga a que no pueda evitarse la discusión en vistas a resolver un problema que ya hoy es de gran importancia, y que podría resultar en una diferencia sustancial en la competitividad de las empresas instaladas en Argentina en los próximos 10 años. Federico G. Pacheco, integra la cátedra de Seguridad Informática en la Universidad Tecnológica Nacional (UTN) facultad regional Buenos Aires, Argentina. Es Director de Membresía de ISSA Argentina y responsable de Educación de la consultora SIClabs, especializada en seguridad. Además es coautor de dos libros sobre seguridad de la información y gran cantidad de material educativo para distintas instituciones.