- Este artículo plantea la necesidad de re pensar la formación profesional en relación a la seguridad informática, principalmente aquella relacionada a la ingeniería en software, estableciendo un paralelismo entre la seguridad de las estructuras de las casas y la de los sistemas. El autor nos invita a reflexionar sobre el aumento del cibercrimen y a re plantear de qué manera se forman recursos y se generan estrategias para combatirlo.
- Fue redactado por JUAN HEGUIABEHERE, quien es investigador y director del PROGRAMA SEGURIDAD EN TIC (STIC) DE LA FUNDACIÓN SADOSKY. Este programa tiene por objetivo fortalecer las capacidades del sistema científico local en todo lo referido a seguridad informática, así como las capacidades tecnológicas de las empresas y del Estado en lo referido a esa temática, fomentando la mayor interacción entre el ámbito académico y el sector productivo. La Fundación Dr. Manuel Sadosky es una institución público privada cuyo objetivo es favorecer la articulación entre el sistema científico – tecnológico y la estructura productiva en todo lo referido a la temática de las Tecnologías de la Información y la Comunicación (TIC).
Día a día vemos en las noticias que hackearon a tal o cual empresa u organismo estatal, acá y en otras partes del mundo (Cable). En algunos casos, es porque el sistema mismo tiene defectos de diseño o de implementación, en otros es por configuraciones vulnerables del sistema y, finalmente, hay casos en que los propios usuarios utilizan el sistema de forma insegura. El ciberdelito se ha convertido en un negocio profesionalizado, con grupos que hasta alquilan infraestructura para campañas de ransomware, debido al gran potencial de negocios que ofrecen los sistemas inseguros alrededor del mundo (Cunha).
Cuando entramos a un edificio, confiamos en que salvo un cataclismo severo éste no se va a caer sobre nosotros. Podemos tener esa confianza porque los que querían ser arquitectos o ingenieros civiles han tenido que aprender a calcular cuánto resistía una estructura para poder diseñar edificios de tal forma que fueran seguros de usar y porque con el tiempo se han perfeccionado métodos constructivos que garantizan que el diseño se implemente correctamente, que los constructores han tenido que adoptar.
Cuando depositamos nuestro dinero en el banco o dejamos objetos de valor en casa, sabemos que una intrusión es posible, pero tenemos confianza en que las defensas de los edificios, usadas correctamente, son razonables ante los riesgos más comunes.
Es posible que esta diferencia se dé en parte porque llevamos utilizando edificios por miles de años y computadoras por algunas décadas; también puede ser que sea porque una computadora de uso general tiene muchas diferencias con una casa, especialmente que es infinitamente flexible y en parte los problemas de seguridad vienen de ahí. Pero esa diferencia también se da en que no se está prestando suficiente atención a la seguridad del software en las instituciones que enseñan a construirlo (Cable): la seguridad no es algo que se agrega al final, así como el cálculo de estructuras no se hace con un edificio terminado. Sí hay posgrados en seguridad informática, pero necesitamos que todos los profesionales estén al tanto del problema de la seguridad del software y se formen en la construcción de software seguro.
La seguridad se puede ver como un atributo de calidad del software: existen técnicas y procedimientos que dan diversos niveles de certeza sobre lo seguro que es un diseño de software, una función en particular o un sistema ya funcionando. Si utilizamos estas técnicas y procedimientos, podemos no tener la certeza absoluta de que nuestro software es seguro, pero dependiendo de la técnica que utilicemos podemos llegar a niveles satisfactorios de certeza.
Teniendo estas herramientas a mano, un profesional del desarrollo de software puede decidir cuánto riesgo está dispuesto a aceptar en la construcción de su sistema… pero no les estamos dando estas herramientas: no podemos esperar que desarrollen software seguro profesionales a los que no se ha capacitado para tener en cuenta la seguridad en el ciclo de vida del software. Éste, por suerte o por desgracia, es un problema global; no es que Argentina esté atrasada en ese aspecto sino la academia en general: “Just one of the U.S.’s top 24 undergraduate programs in computer science lists a security course as a core requirement. That one exception: UC San Diego. At the other 23 schools, students can obtain a degree without taking a single class in security, and go on to write code that affects the devices on which we increasingly rely” (Cable). Y Cable habla de seguridad de la información; seguridad de software es más específico.
El mejor momento para cambiar el paradigma de enseñanza de la ingeniería de software fue cuando se globalizó la internet: el segundo mejor momento es ahora. Quiero creer que eventualmente miraremos hacia atrás y diremos “¿Cómo puede ser que no nos diéramos cuenta?”.
Démonos cuenta.
Sobre el Hub de Ciberseguridad
El CÓRDOBA CYBER SECURTIY HUB es una iniciativa de la Municipalidad de Córdoba a través de CorLab de Córdoba Acelera y de la Secretaría de Planeamiento, Modernización y Relaciones Internacionales. Está integrado por más de 40 miembros, entre los que se encuentran organizaciones públicas y privadas del sector del conocimiento reunidas con la misión de posicionar a Córdoba como un polo tecnológico referente en materia de Ciberseguridad. Hablamos de empresas, startups, universidades y asociaciones civiles que tienen como misión común preservar la seguridad informática frente a posibles ciberataques.
Durante el 2022, el Hub de Ciberseguridad brindó cursos y programas que permitieron a más de 1.000 cordobeses acceder a capacitaciones sobre seguridad informática. Además, desarrolla diferentes actividades para promocionar y potenciar el sector en la ciudad y posicionar a Córdoba como referente en la región. Entre ellas, se encuentran la realización del Primer Congreso de CiberSeguridad donde asistieron más de 400 personas de manera presencial y 3.300 de manera virtual.
En este contexto, se convocó a a investigadores, docentes, estudiantes, profesionales, emprendedores, empresarios y cualquier persona que tuviera conocimiento en las temáticas convocadas a presentar artículos de divulgación, que en su contenido incluyan casos, experiencias, buenas prácticas, tendencias, investigaciones y cualquier otro estudio relacionado a la ciberseguridad.
