36 red seguridad julio 2008 especial

universidadesopinión

La seguridad informática desde

la perspectiva de la Universidad

Antonio Ruiz

MoyaJefe del Servicio de Redes y

Comunicaciones del Centro de Servicios

de Informática y Redes de Comunicación

y profesor del Departamento de Teoría

de la Señal, Telemática y Comunicación

de la Universidad de Granada.

EL CAMPO DE LA seguridad informáti-

ca en el mundo universitario, como

en cualquier otro sector público o

privado, tiene una especial relevan-

cia. Se puede tratar desde el punto

de vista académico, desde el punto

de vista social o desde la perspectiva

de las unidades internas corpora-

tivas encargadas de mantener las

infraestructuras de redes, servicios y

comunicaciones en un estado acep-

table frente a las implicaciones que

tienen los incidentes de seguridad.

No podemos olvidar tampoco, la

interacción entre la seguridad y el

aspecto administrativo asociado al

cumplimiento de la legislación vigen-

te. Esto es, el cumplimiento de legis-

lación en materia de protección de

datos, el desarrollo de los servicios

de la sociedad de la información,

entre otros.

Evolución en ambos mundos

En estos momentos el mundo univer-

sitario europeo está asistiendo a un

proceso de transformación interno,

orientado a la creación de un espa-

cio único, en el que los estudiantes

puedan moverse desde el punto de

vista académico, con independencia

del país de origen o de la universidad

de procedencia, dentro de la Unión

Europea. Es lo que se conoce como

Espacio Europeo de Educación

Superior (EEES). Para ello, se están

adaptando planes de estudios, titu-

laciones, la forma de trabajar de los

estudiantes, los procesos administra-

tivos asociados al funcionamiento de

la Universidad, entre otros. Ello permi-

tirá que un título académico obtenido

por un universitario de la Universidad

de Granada, por ejemplo, sea reco-

nocido y aceptado por una empresa

o administración finlandesa.

La transformación que implica el

EEES, unido a las demandas que la

sociedad y la industria requieren en

el campo de la seguridad informática,

obliga a la Universidad a considerar

este campo como clave.

La sociedad demanda una Internet

que le permita la comunicación entre

personas, el acceso deslocalizado

a información, el acceso a un pro-

ducto fabricado en cualquier parte

del planeta, etc. Pero no una red en

la que se negocie con los datos de

carácter personal, se comprometa

la economía por un uso fraudulento

de las compras on-line, etc. De la

misma manera que la medicina se

preocupa por hacer transparente a

las personas, la aparición de nuevas

enfermedades, estudiándolas, ana-

lizándolas y desarrollando medica-

mentos que pongan remedio si estas

aparecen, la seguridad informática

debe conseguir que para la socie-

dad sea transparente que exista, ahí

fuera, una auténtica fauna de atacan-

tes o intrusos que inutilizan redes,

hacen inservibles a nuestros orde-

nadores y negocian con los mismos,

imposibilitando el acceso a servicios

telemáticos actualmente básicos. En

definitiva, limitando nuestra libertad

y atentando con nuestros derechos

fundamentales.

La industria demanda expertos

Igualmente, la industria está requi-

riendo profesionales que estén for-

mados en las más modernas téc-

nicas de seguridad informática y

servicios de telecomunicación. Todo

ello, en todas las etapas del ciclo de

vida de un programa, de una red, de

un servicio o de un sistema.

La enseñanza universitaria de

calidad parece imprescindible en

campos como la seguridad en las

transmisiones a través de una red

de telecomunicación, el estudio de

vulnerabilidades de sistemas y ata-

ques en red, la implementación de

políticas de seguridad corporativa,

el desarrollo de infraestructuras de

certificación digital, la implementa-

ción de seguridad perimetral en la

intranet, el desarrollo de sistemas de

detección de intrusiones, el análisis

forense informático para el estudio

post mortem de un sistema inutiliza-

do como consecuencia de un inci-

La transformación que implica

el EEES obliga a la Universidad a

considerar este campo como clave

Opinion especial UGR.indd 36 03/07/2008 9:38:00

red seguridad julio 2008 37especial

universidades opinión

dente de seguridad, o simplemente

en el análisis de las más modernas

técnicas de comportamiento social

que facilitan incidentes como el phi-

sing, spamming, pharming, scanning,

sniffing, hijacking, spoofing…

Presencia de la seguridad

En la actualidad, la seguridad informá-

tica está presente en la Universidad

como una parte residual de unas

cuantas asignaturas, como mucho,

de algunas titulaciones. A lo sumo,

hay dos o tres asignaturas que ente-

ramente se dedican a estos temas

en toda la geografía universitaria.

Esta falta de enseñanzas regladas se

suple en cierta medida con cursos

de postgrado o estudios no reglados,

que además de poder ser cursados

por universitarios, están abiertos a

profesionales. Bastante insuficiente

para lo que la sociedad y la indus-

tria demanda y la evolución de las

Tecnologías de la Información y las

Comunicaciones (TIC) de esta última

década. Todo ello, enmarcado den-

tro del desarrollo del EEES.

En el ámbito privado la cosa es

distinta. Existen un número impor-

tante de compañías que ofrecen

servicios de seguridad en el campo

de la formación, que intentan paliar

ese hueco existente en el mundo

universitario, pero parece necesa-

rio la existencia de profesionales

formados en la Universidad, con

conocimientos suficientes en este

campo o con perfiles especializados

en esta materia.

Esto último lo avalan, los múltiples

estudios realizados a nivel mundial,

que abarcan a todos los sectores de

la industria que se ven afectados por

unos u otros tipos de incidentes de

seguridad. Éstos, año a año, no lejos

de reducirse, se amplían a nuevos

sectores y grupos de usuarios. La

globalización permite que cualquier

usuario, con independencia del lugar

del mundo en el que se encuentre, no

pueda sentirse ajeno a estos temas.

Un ejemplo, es el gráfico sobre la

encuesta del Computer Security

Institute (CSI) en su "2007 Computer

Crime and Security Survey".

Interacción de los alumnos

Pero, ¿cómo interaccionan los usua-

rios universitarios con la seguridad

informática? En la Universidad, son

los alumnos, profesores, investigado-

res y los técnicos administrativos, los

que se enfrentan a las consecuencias

que provocan los incidentes de segu-

ridad. Servidores web departamenta-

les o de grupos de investigación que

dejan de estar operativos, equipos

de usuarios que forman parte de las

temibles botnet, equipos que distri-

buyen contenidos sujetos a la leyes

de copyright sin que sus propietarios

sean conscientes, virus y gusanos

que borran información o provocan

denegación de servicio, son algunos

ejemplos.

La Universidad debe proteger a

toda su comunidad universitaria de

cualquier problemática derivada de

incidentes de seguridad, con las

herramientas y los medios que tie-

nen a su alcance. ¿Cómo? Son

varios los enfoques que se deben

usar. Definiendo e implementando

políticas de seguridad corporativa

que impliquen a todos los usuarios y

órganos de dirección y que facilite la

actitud proactiva de los usuarios en

este campo. Desarrollando la admi-

nistración electrónica mediante el

uso de las modernas tecnologías de

certificación digital (la Administración

del Estado está favoreciendo este

campo con proyectos como el DNIe).

Impulsando e innovando las infraes-

tructuras tecnológicas que aportan

una gestión centralizada en materia

de seguridad. En cualquier caso, y

si los medios propios son limitados,

accediendo a los servicios de segu-

ridad gestionada disponibles en el

mercado.

Centro de Informática

Entre las actividades que realizan los

Servicios Informáticos universitarios

está la de ADMINISTRAR la seguri-

dad de sus sistemas, servicios, apli-

caciones e infraestructuras de redes

El gráfico de la derecha está extraído

de la encuesta del Computer Security

Institute (CSI) de su "2007 Computerr

Crime and Security Survey".

La Universidad debe proteger a

toda su comunidad universitaria de

cualquier incidente de seguridad

Opinion especial UGR.indd 37 03/07/2008 9:38:28

38 red seguridad julio 2008 especial

universidadesopinión

y telecomunicación; ALERTAR frente

a incidentes de seguridad detecta-

dos, ya sea internamente o a nivel

externo, a través de las organizacio-

nes responsables; PROTEGER a sus

activos mediante el uso de las herra-

mientas que la tecnología ofrece; y

RESPONDER activamente en caso

de un incidente detectado. Es decir,

gestionar la seguridad en el proceso

continuo definido en la política de

seguridad corporativa.

Administración y Seguridad

Para que la seguridad informática

sea completa en la Universidad, es

necesario que exista una regulación

a través del desarrollo de una nor-

mativa interna, incluida en la política

de seguridad corporativa. Esta, debe

estar enmarcada dentro de la legis-

lación vigente, tanto a nivel nacional

como autonómico (ver gráfico). Se

trata de aspectos más políticos que

técnicos que deben tener en cuenta

varios factores.

En primer lugar, parece necesa-

rio el desarrollo y cumplimiento de

una normativa interna de uso de

los recursos informáticos existentes.

Esta normativa debe estar adaptada

a la propia idiosincrasia universitaria,

debe ser aprobada por los órganos

apropiados y debe ser cumplida por

todos los miembros de la comunidad

universitaria.

En segundo lugar, y en relación

con el desarrollo de la administración

electrónica, debe existir una normati-

va que regule el uso de servicios tele-

máticos, como por ejemplo, registro,

notaría, sello de tiempo, entre otros.

El uso de servicios de certificación

digital apoyados o no, en infraes-

tructuras de clave pública propias o

externas, es imprescindible.

Finalmente, el uso y manejo de

información y datos de carácter

personal en la Universidad, implica

su total adaptación a normativas

y legislación vigente, como la Ley

Orgánica de Protección de Datos

(LOPD). El reto es importante, por-

que no solo se gestiona informa-

ción de carácter personal a nivel

centralizado, sino que son los miles

de miembros que forman la comuni-

dad universitaria, los que tienen que

tratar con este tipo de información:

profesores a la hora de publicar una

calificación, administrativos en el

momento de generar una certifica-

ción y alumnos. El carácter centra-

lizado de sistemas, infraestructuras,

servicios y aplicaciones universita-

rias, facilitan, simplifican y permiten

una rápida adaptación de todos los

procesos, garantizando las prescrip-

ciones requeridas por la ley.

No podemos olvidar que la implan-

tación de estos mecanismos supo-

nen transformaciones en el modo

de funcionamiento administrativo

universitario, de los que depende

que la Universidad evolucione, se

adapte más fácilmente a las innova-

ciones actuales y se modernice, todo

ello dentro de un entorno dinámico

enmarcado en EEES.

Tendencias y futuro

El sistema universitario español en

el campo de las TIC y en materia de

seguridad informática debe adaptar-

se rápidamente, no solo en el ámbito

del EEES, sino en nuevos planes de

estudio y titulaciones, en las que esta

materia represente lo que realmente

significa en estos momentos, y palie

el desfase originado en estos últimos

años para evitar que se abra una

brecha importante en el mundo de

la seguridad digital. Hay que hacer

un gran esfuerzo. La industria y la

sociedad así lo demandan.

Igualmente y para facilitar la interre-

lación entre Empresa y Universidad,

hay que promover que estudian-

tes universitarios e investigadores,

durante su periodo de estudios de

grado y postgrado, se incorporen en

la Empresa y en la Administración

para avanzar conjuntamente. En

el campo de la seguridad esto es

imprescindible. Un ejemplo de esta

cooperación la tenemos en el pro-

yecto "Centro de Alerta Temprana

sobre virus y Seguridad Informática"

del Ministerio de Industria, Comercio

y Turismo.

Impulso al desarrollo

La tecnología y la investigación en

seguridad informática, tanto a nivel

universitario como en el mundo

empresarial, con el apoyo de la

Administración, debe evolucionar en

el contexto mundial actual, en el que

el terrorismo ha pasado a ocupar un

lugar preferente de inversión econó-

mica y desarrollo normativo. Hay que

aprovechar este momento negativo,

desde el punto de vista social, para

impulsar el desarrollo de la seguridad

informática.

Desde el Centro de Informática

se administra, se alerta, se

protege y se responde a los

incidentes

La tecnología y

la investigación en

seguridad debe

evolucionar en

el contexto mundial

Opinion especial UGR.indd 38 03/07/2008 9:38:29