Articulo Red Seguridad Julio 2008
-
Upload
angel-rojo -
Category
Documents
-
view
213 -
download
0
description
Transcript of Articulo Red Seguridad Julio 2008
36 red seguridad julio 2008 especial
universidadesopinión
La seguridad informática desde
la perspectiva de la Universidad
Antonio Ruiz
MoyaJefe del Servicio de Redes y
Comunicaciones del Centro de Servicios
de Informática y Redes de Comunicación
y profesor del Departamento de Teoría
de la Señal, Telemática y Comunicación
de la Universidad de Granada.
EL CAMPO DE LA seguridad informáti-
ca en el mundo universitario, como
en cualquier otro sector público o
privado, tiene una especial relevan-
cia. Se puede tratar desde el punto
de vista académico, desde el punto
de vista social o desde la perspectiva
de las unidades internas corpora-
tivas encargadas de mantener las
infraestructuras de redes, servicios y
comunicaciones en un estado acep-
table frente a las implicaciones que
tienen los incidentes de seguridad.
No podemos olvidar tampoco, la
interacción entre la seguridad y el
aspecto administrativo asociado al
cumplimiento de la legislación vigen-
te. Esto es, el cumplimiento de legis-
lación en materia de protección de
datos, el desarrollo de los servicios
de la sociedad de la información,
entre otros.
Evolución en ambos mundos
En estos momentos el mundo univer-
sitario europeo está asistiendo a un
proceso de transformación interno,
orientado a la creación de un espa-
cio único, en el que los estudiantes
puedan moverse desde el punto de
vista académico, con independencia
del país de origen o de la universidad
de procedencia, dentro de la Unión
Europea. Es lo que se conoce como
Espacio Europeo de Educación
Superior (EEES). Para ello, se están
adaptando planes de estudios, titu-
laciones, la forma de trabajar de los
estudiantes, los procesos administra-
tivos asociados al funcionamiento de
la Universidad, entre otros. Ello permi-
tirá que un título académico obtenido
por un universitario de la Universidad
de Granada, por ejemplo, sea reco-
nocido y aceptado por una empresa
o administración finlandesa.
La transformación que implica el
EEES, unido a las demandas que la
sociedad y la industria requieren en
el campo de la seguridad informática,
obliga a la Universidad a considerar
este campo como clave.
La sociedad demanda una Internet
que le permita la comunicación entre
personas, el acceso deslocalizado
a información, el acceso a un pro-
ducto fabricado en cualquier parte
del planeta, etc. Pero no una red en
la que se negocie con los datos de
carácter personal, se comprometa
la economía por un uso fraudulento
de las compras on-line, etc. De la
misma manera que la medicina se
preocupa por hacer transparente a
las personas, la aparición de nuevas
enfermedades, estudiándolas, ana-
lizándolas y desarrollando medica-
mentos que pongan remedio si estas
aparecen, la seguridad informática
debe conseguir que para la socie-
dad sea transparente que exista, ahí
fuera, una auténtica fauna de atacan-
tes o intrusos que inutilizan redes,
hacen inservibles a nuestros orde-
nadores y negocian con los mismos,
imposibilitando el acceso a servicios
telemáticos actualmente básicos. En
definitiva, limitando nuestra libertad
y atentando con nuestros derechos
fundamentales.
La industria demanda expertos
Igualmente, la industria está requi-
riendo profesionales que estén for-
mados en las más modernas téc-
nicas de seguridad informática y
servicios de telecomunicación. Todo
ello, en todas las etapas del ciclo de
vida de un programa, de una red, de
un servicio o de un sistema.
La enseñanza universitaria de
calidad parece imprescindible en
campos como la seguridad en las
transmisiones a través de una red
de telecomunicación, el estudio de
vulnerabilidades de sistemas y ata-
ques en red, la implementación de
políticas de seguridad corporativa,
el desarrollo de infraestructuras de
certificación digital, la implementa-
ción de seguridad perimetral en la
intranet, el desarrollo de sistemas de
detección de intrusiones, el análisis
forense informático para el estudio
post mortem de un sistema inutiliza-
do como consecuencia de un inci-
La transformación que implica
el EEES obliga a la Universidad a
considerar este campo como clave
Opinion especial UGR.indd 36 03/07/2008 9:38:00
red seguridad julio 2008 37especial
universidades opinión
dente de seguridad, o simplemente
en el análisis de las más modernas
técnicas de comportamiento social
que facilitan incidentes como el phi-
sing, spamming, pharming, scanning,
sniffing, hijacking, spoofing…
Presencia de la seguridad
En la actualidad, la seguridad informá-
tica está presente en la Universidad
como una parte residual de unas
cuantas asignaturas, como mucho,
de algunas titulaciones. A lo sumo,
hay dos o tres asignaturas que ente-
ramente se dedican a estos temas
en toda la geografía universitaria.
Esta falta de enseñanzas regladas se
suple en cierta medida con cursos
de postgrado o estudios no reglados,
que además de poder ser cursados
por universitarios, están abiertos a
profesionales. Bastante insuficiente
para lo que la sociedad y la indus-
tria demanda y la evolución de las
Tecnologías de la Información y las
Comunicaciones (TIC) de esta última
década. Todo ello, enmarcado den-
tro del desarrollo del EEES.
En el ámbito privado la cosa es
distinta. Existen un número impor-
tante de compañías que ofrecen
servicios de seguridad en el campo
de la formación, que intentan paliar
ese hueco existente en el mundo
universitario, pero parece necesa-
rio la existencia de profesionales
formados en la Universidad, con
conocimientos suficientes en este
campo o con perfiles especializados
en esta materia.
Esto último lo avalan, los múltiples
estudios realizados a nivel mundial,
que abarcan a todos los sectores de
la industria que se ven afectados por
unos u otros tipos de incidentes de
seguridad. Éstos, año a año, no lejos
de reducirse, se amplían a nuevos
sectores y grupos de usuarios. La
globalización permite que cualquier
usuario, con independencia del lugar
del mundo en el que se encuentre, no
pueda sentirse ajeno a estos temas.
Un ejemplo, es el gráfico sobre la
encuesta del Computer Security
Institute (CSI) en su "2007 Computer
Crime and Security Survey".
Interacción de los alumnos
Pero, ¿cómo interaccionan los usua-
rios universitarios con la seguridad
informática? En la Universidad, son
los alumnos, profesores, investigado-
res y los técnicos administrativos, los
que se enfrentan a las consecuencias
que provocan los incidentes de segu-
ridad. Servidores web departamenta-
les o de grupos de investigación que
dejan de estar operativos, equipos
de usuarios que forman parte de las
temibles botnet, equipos que distri-
buyen contenidos sujetos a la leyes
de copyright sin que sus propietarios
sean conscientes, virus y gusanos
que borran información o provocan
denegación de servicio, son algunos
ejemplos.
La Universidad debe proteger a
toda su comunidad universitaria de
cualquier problemática derivada de
incidentes de seguridad, con las
herramientas y los medios que tie-
nen a su alcance. ¿Cómo? Son
varios los enfoques que se deben
usar. Definiendo e implementando
políticas de seguridad corporativa
que impliquen a todos los usuarios y
órganos de dirección y que facilite la
actitud proactiva de los usuarios en
este campo. Desarrollando la admi-
nistración electrónica mediante el
uso de las modernas tecnologías de
certificación digital (la Administración
del Estado está favoreciendo este
campo con proyectos como el DNIe).
Impulsando e innovando las infraes-
tructuras tecnológicas que aportan
una gestión centralizada en materia
de seguridad. En cualquier caso, y
si los medios propios son limitados,
accediendo a los servicios de segu-
ridad gestionada disponibles en el
mercado.
Centro de Informática
Entre las actividades que realizan los
Servicios Informáticos universitarios
está la de ADMINISTRAR la seguri-
dad de sus sistemas, servicios, apli-
caciones e infraestructuras de redes
El gráfico de la derecha está extraído
de la encuesta del Computer Security
Institute (CSI) de su "2007 Computerr
Crime and Security Survey".
La Universidad debe proteger a
toda su comunidad universitaria de
cualquier incidente de seguridad
Opinion especial UGR.indd 37 03/07/2008 9:38:28
38 red seguridad julio 2008 especial
universidadesopinión
y telecomunicación; ALERTAR frente
a incidentes de seguridad detecta-
dos, ya sea internamente o a nivel
externo, a través de las organizacio-
nes responsables; PROTEGER a sus
activos mediante el uso de las herra-
mientas que la tecnología ofrece; y
RESPONDER activamente en caso
de un incidente detectado. Es decir,
gestionar la seguridad en el proceso
continuo definido en la política de
seguridad corporativa.
Administración y Seguridad
Para que la seguridad informática
sea completa en la Universidad, es
necesario que exista una regulación
a través del desarrollo de una nor-
mativa interna, incluida en la política
de seguridad corporativa. Esta, debe
estar enmarcada dentro de la legis-
lación vigente, tanto a nivel nacional
como autonómico (ver gráfico). Se
trata de aspectos más políticos que
técnicos que deben tener en cuenta
varios factores.
En primer lugar, parece necesa-
rio el desarrollo y cumplimiento de
una normativa interna de uso de
los recursos informáticos existentes.
Esta normativa debe estar adaptada
a la propia idiosincrasia universitaria,
debe ser aprobada por los órganos
apropiados y debe ser cumplida por
todos los miembros de la comunidad
universitaria.
En segundo lugar, y en relación
con el desarrollo de la administración
electrónica, debe existir una normati-
va que regule el uso de servicios tele-
máticos, como por ejemplo, registro,
notaría, sello de tiempo, entre otros.
El uso de servicios de certificación
digital apoyados o no, en infraes-
tructuras de clave pública propias o
externas, es imprescindible.
Finalmente, el uso y manejo de
información y datos de carácter
personal en la Universidad, implica
su total adaptación a normativas
y legislación vigente, como la Ley
Orgánica de Protección de Datos
(LOPD). El reto es importante, por-
que no solo se gestiona informa-
ción de carácter personal a nivel
centralizado, sino que son los miles
de miembros que forman la comuni-
dad universitaria, los que tienen que
tratar con este tipo de información:
profesores a la hora de publicar una
calificación, administrativos en el
momento de generar una certifica-
ción y alumnos. El carácter centra-
lizado de sistemas, infraestructuras,
servicios y aplicaciones universita-
rias, facilitan, simplifican y permiten
una rápida adaptación de todos los
procesos, garantizando las prescrip-
ciones requeridas por la ley.
No podemos olvidar que la implan-
tación de estos mecanismos supo-
nen transformaciones en el modo
de funcionamiento administrativo
universitario, de los que depende
que la Universidad evolucione, se
adapte más fácilmente a las innova-
ciones actuales y se modernice, todo
ello dentro de un entorno dinámico
enmarcado en EEES.
Tendencias y futuro
El sistema universitario español en
el campo de las TIC y en materia de
seguridad informática debe adaptar-
se rápidamente, no solo en el ámbito
del EEES, sino en nuevos planes de
estudio y titulaciones, en las que esta
materia represente lo que realmente
significa en estos momentos, y palie
el desfase originado en estos últimos
años para evitar que se abra una
brecha importante en el mundo de
la seguridad digital. Hay que hacer
un gran esfuerzo. La industria y la
sociedad así lo demandan.
Igualmente y para facilitar la interre-
lación entre Empresa y Universidad,
hay que promover que estudian-
tes universitarios e investigadores,
durante su periodo de estudios de
grado y postgrado, se incorporen en
la Empresa y en la Administración
para avanzar conjuntamente. En
el campo de la seguridad esto es
imprescindible. Un ejemplo de esta
cooperación la tenemos en el pro-
yecto "Centro de Alerta Temprana
sobre virus y Seguridad Informática"
del Ministerio de Industria, Comercio
y Turismo.
Impulso al desarrollo
La tecnología y la investigación en
seguridad informática, tanto a nivel
universitario como en el mundo
empresarial, con el apoyo de la
Administración, debe evolucionar en
el contexto mundial actual, en el que
el terrorismo ha pasado a ocupar un
lugar preferente de inversión econó-
mica y desarrollo normativo. Hay que
aprovechar este momento negativo,
desde el punto de vista social, para
impulsar el desarrollo de la seguridad
informática.
Desde el Centro de Informática
se administra, se alerta, se
protege y se responde a los
incidentes
La tecnología y
la investigación en
seguridad debe
evolucionar en
el contexto mundial
Opinion especial UGR.indd 38 03/07/2008 9:38:29