martes, 18 de noviembre de 2008

El debate sobre la Ingeniería Informática y la Seguridad de la Información

Durante las últimas semanas, con la convocatoria de varias movilizaciones y actos para mañana día 19 de noviembre, se ha intensificado el debate sobre la necesidad de regulación profesional de la Informática, como Ingeniería que es. Desde Hispasec hemos querido ir, si cabe, un poco más allá, planteando la necesidad de contar con una formación académica y/o mecanismos de acreditación específicos en Seguridad TIC. Para ello, a modo de entrevista, contamos con la inestimable colaboración de D. Fernando Arroyo Montoro, Director del Departamento de Lenguajes, Proyectos y Sistemas Informáticos de la Escuela Universitaria de Informática de la Universidad Politécnica de Madrid, la Escuela de Informática más antigua de España, que acaba de cumplir 30 años y D. Jorge Ramió Aguirre, profesor de Seguridad Informática en la UPM desde 1994, Coordinador de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed y Director de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información.

* Pregunta 1. ¿Qué opinas sobre la no existencia de fichas de competencia y atribuciones reguladas de Ingeniería Informática?

Fernando Arroyo:

En primer lugar hay que decir que las fichas de competencias son obligatorias para los títulos de Grado que llevan al ejercicio profesional de profesiones reguladas. Además, es necesario aclarar que las competencias que aparecen en estas fichas lo son con respecto a los conocimientos y capacidades que los estudiantes adquieren durante sus estudios en las universidades. Es por tanto obligatorio que en todas las fichas de profesiones reguladas en la rama de Arquitectura e Ingeniería aparezcan competencias relativas a la informática, ya que esta materia es definida como materia básica de la rama en el Real Decreto de Títulos de Grado.

Lo que es innegable, es el que la Informática adquiere cada vez más importancia en la Sociedad de la Tecnologías de la Información y de las Comunicaciones. No ya como materia transversal, que lo es (hoy en día cualquier persona que no tenga unos mínimos conocimientos de informática a nivel de usuario final podría ser considerado como un e-analfabeto), sino como una ingeniería capaz de construir sistemas complejos de información cada vez más útiles en todos los sectores industriales y empresariales. Es por esto por lo que los profesionales del sector de la informática estamos reclamando el reconocimiento debido a esta jovencísima rama de la Ingeniería. Es necesario que la Informática sea tratada como si fuese una profesión regulada; y es necesario que toda la sociedad española reconozca que merece ser tratada como cualquier otra Ingeniería. La ficha de Informática podría ser el primer paso para que en algún momento la Ingeniería Informática consiga sus atribuciones profesionales. A diferencia de otros sectores, creemos que dichas atribuciones no tienen porqué ser excluyentes, ya que Informática no sólo se estudia en la rama de Ingeniería, sino que también en las Facultades de Matemáticas y Físicas se estudia esta materia en mucho detalle; es más, una de las cinco posibles especialidades reconocidas en la ACM y la IEEE - AIS es la de Ciencias de la Computación, y esta especialidad tiene una fuerte componente científica que es muy necesaria para el desarrollo completo de la INFORMÁTICA.

Dicho esto, hay que aclarar que, de competencias definidas en las fichas del Ministerio a la obtención de atribuciones, debería haber un gran paso. La obtención de atribuciones para las competencias relativas en Informática en los títulos de Telecomunicaciones no debería ser algo fácil de conseguir. Entiendo que es una cuestión política, ya que las atribuciones se determinan a través de Reales Decretos, y entiendo que ciertos Colegios Profesionales están muy bien situados en las esferas de poder político. Lo que sí que deberían entender nuestros representantes políticos es que antes de conceder atribuciones profesionales en Informática, sería necesario reconocer a los profesionales que están ejerciendo en este campo sus derechos, y esto conlleva reconocer a la Ingeniería Informática como profesión regulada. Como se ha dicho en mi presentación, la Escuela Universitaria de Informática es la más antigua de España. Nació hace 30 años y la fundó D. Rafael Portaencasa Baeza, que fue su primer Director y que posteriormente fue Rector de nuestra Universidad. Él mismo, en un acto homenaje que se le ofreció el pasado 30 de Octubre, en la EUI -su casa- dijo que con la fundación de la EUI se ponía la primera piedra para que la Informática se reconociese como una Ingeniería. Ese ha sido siempre el espíritu de nuestra Escuela y de nuestra Universidad, y por lo tanto, desde aquí debemos pedir en todos los escenarios posibles que nuestra ingeniería obtenga al menos su ficha y que se llegue a reconocer como profesión regulada.


* Pregunta 2. ¿El hecho de esta no regulación facilitaría a las universidades la propuesta de nuevas especialidades en informática?

Fernando Arroyo:

Desde el comienzo del proceso de transformación de la Enseñanza Universitaria al Espacio Europeo de Educación Superior, en la rama de Ingeniería Informática la línea de actuación fue marcada por la CODDI en el sentido de que todos los planes de Estudio de Graduado/a en Ingeniería Informática se elevasen a la ANECA como si fuese ésta una profesión regulada. Es también un hecho sabido que la única Universidad que ha propuesto títulos no generalistas en Informática es la Universidad Politécnica de Madrid y los ha adscrito a la Escuela Universitaria de Informática. Esto no significa que estos títulos no puedan ser reconocidos como graduados en Informática, ni tampoco significa que el único posible título con competencias y posibles atribuciones en esta rama sea el de Ingeniería Informática. Es notorio que en la ficha de competencias para la Ingeniería de Telecomunicaciones hay cuatro títulos de graduado en telecomunicaciones. No reconocer nuevos títulos de graduado en esta ingeniería sería como negar la separación de las materias científicas que se ha venido produciendo en el S XX con respecto a casi todas las disciplinas científicas. Ofrecer títulos de grado no generalistas en Informática es, en mi opinión, favorecer la inserción laboral de los egresados de estos títulos. Lo que no se debe perder de vista, es el objetivo de que los títulos de grado en Informática obtengan las atribuciones en el caso de que éstas se lleguen a obtener algún día.

Ésta ha sido siempre la línea directriz que ha llevado a la Escuela Universitaria de Informática a proponer dos Títulos de Grado en Informática: Graduado en Ingeniería del Software y Graduado en Ingeniería de Computadores. Estos títulos están perfectamente definidos en cuanto a descriptores y competencias en los documentos de la ACM - IEEE - AIS, junto con otros tres más: Ciencias de la Computación, Sistemas de Información y Tecnología de los Sistemas de la Información. Desde la EUI, y desde la UPM (con la aprobación de tres títulos de Grado en Informática en el pasado Consejo de Gobierno de 13 de Noviembre los dos nombrados anteriormente y el de Graduado en Ingeniería Informática) se está apostando por títulos de grado de futuro y de calidad en esta rama. Personalmente entiendo que, sin salirnos del contexto del reconocimiento internacional en lo que a titulaciones de grado en informática se refiere, es factible modernizar y dinamizar las enseñanzas en esta rama de la Ingeniería favoreciendo el desarrollo de una sociedad cada vez más dependiente de los profesionales que se forman con competencias en el desarrollo de Sistemas de Información, y esto es lo que la UPM está haciendo al ofrecer estos nuevos títulos de Grado en Informática.


* Pregunta 3. ¿Para cuándo una carrera universitaria específica de Seguridad TIC?

Jorge Ramió:

De momento no la hay. Pero los tiempos cambian y al menos ya nadie duda que se trata de una asignatura de carácter obligatoria; una quimera hace tan sólo 10 años. Por ejemplo, en los nuevos planes de estudio de la Escuela Universitaria de Informática de la UPM donde trabajo, orientados hacia la convergencia con Bolonia, se impartirán las nuevas titulaciones de Graduado en Ingeniería del Software y Graduado en Ingeniería de Computadores, dos de las titulaciones que entre otras la ACM propone en Ingeniería Informática, y en ambas aparece Fundamentos de la Seguridad de la Información como materia obligatoria y con una importante carga lectiva, algo por lo que muchos profesores veníamos hace años suplicando.

Actualmente con 15 años de docencia en seguridad, en el año 2.000 tuve la osadía de proponer en el Congreso de Enseñanza de la Informática JENUI celebrado en Palma de Mallorca, una nueva titulación de grado en Seguridad Informática. Esto puede parecer una quimera, pero ya había voces a este respecto de profesores en los Estados Unidos desde el año 1998, y diez años en informática y más aún en seguridad de la información, sector que ha experimentado un crecimiento vertiginoso en esta última década, no tiene comparación con muchas otras especialidades de la ingeniería.

Lo que sí es cierto es que en España abundan las ofertas de postgrado en seguridad desde distintas universidades y organismos, superando en la actualidad la quincena. Un número muy a tener en cuenta si lo comparamos con otras especialidades de la informática y las telecomunicaciones más antiguas y supuestamente más importantes, pero con una cuota de mercado bastante más baja. ¿Por qué hay tanta oferta de postgrado, incluso en universidades que no tienen un fuerte desarrollo académico propio en este tema? La respuesta es obvia, el mercado lo demanda. Si unimos a esto la proliferación de congresos de la especialidad mucho más numerosos que otras ramas de las ingenierías, varias revistas técnicas, grupos de investigación en la práctica totalidad de nuestras universidades y centros de investigación, un desarrollo empresarial e industrial que necesita de estos profesionales, etc., no sería ninguna locura hacer un estudio de mercado sobre la necesidad y aceptación de una nueva carrera en Seguridad TIC.


* Pregunta 4. ¿Crees que actualmente se debería requerir una formación académica específica para puestos profesionales de responsabilidad en áreas de seguridad TIC?

Jorge Ramió:

En mi opinión sí. De hecho, esto ya está de alguna forma regulado en el mercado de trabajo a través de certificaciones como CISA, CISM y CISSP, entre otras. ¿Por qué no puede hacerse algo similar a través de una formación académica universitaria específica y más amplia? La seguridad de la información abarca hoy en día un gran número de disciplinas como la criptografía para la protección del secreto o confidencialidad, la autenticación e integridad, aspectos de biometría, seguridad de las redes, control de la máquina, análisis de riesgos, implantación de procedimientos de gestión, políticas de seguridad, recuperación ante desastres, aplicación de normas internacionales, adaptación a la legislación en materia de protección de datos de carácter personal, aspectos de deontología, etc., y resulta imposible que un ingeniero o licenciado en informática o telemática tenga todos estos conocimientos si no ha recibido una formación específica. De allí que exista una oferta tan amplia en cursos de postgrado y además tengan éxito.

La pregunta es si seguir en esta línea de ofertas de formación de postgrado (para qué nos vamos a engañar, todas de carácter privado y con un alto coste para al alumno) o hacer una formación específica de pregrado que abarque aspectos de la informática, la telemática y aquellos de la seguridad que se pide en el mercado de trabajo, pero a un precio asequible y con una amplia oferta en créditos.


* Pregunta 5. ¿La situación actual debe de verse como una oportunidad para la aparición de esa carrera de seguridad?

Jorge Ramió:

La seguridad no sólo está de moda, es imprescindible contar con ella en todos los niveles de análisis, diseño, producción y gestión de sistemas. Además, desde hace poco más de un lustro muchos de sus procesos son de estricto cumplimiento de acuerdo con las actuales leyes de protección de datos y normas internacionales, con lo cual se cierra el ciclo en tanto tales procesos deben ser auditados y en algunos casos certificados. Se trata de un entorno lleno de oportunidades, tanto de investigación como de desarrollo, y un excelente mercado de trabajo para nuestros futuros ingenieros.

No se puede pedir más en tan poco tiempo, salvo que nuestros ilustres políticos nos tengan en cuenta como informáticos, puesto que la mayoría de la centena de asignaturas en esta especialidad que se ofrecen en las universidades españolas se encuentran precisamente en titulaciones de Ingeniería en Informática. Si hay voluntad política y no se aclaran en determinar cuáles son las atribuciones en informática, mucho menos lo harán en seguridad.

En cuanto a nuevas carreras, podemos y debemos seguir los cánones internacionales actuales, pero éstos también cambian, y es muy lógico y saludable que lo hagan. ¿Quién iba a decir a mediados de los años 80 que se crearía una Ingeniería del Software? Quien lo hubiese propuesto habría sido considerado como poco de iluso, y en cambio desde hace bastantes años es ya una realidad.

Aunque sea una quimera, sigo creyendo que hace falta una nueva titulación de grado en Seguridad TIC. La cuestión estriba en quién estaría dispuesto a liderar esta oferta revolucionaria. Además, el estamento académico universitario es por lo general muy dado a conservar el status quo logrado, por lo que además de una apuesta fuerte y valiente por parte de las autoridades universitarias, haría falta esa complicidad y colaboración académica que sinceramente la veo complicada, salvo quizás en algunos entornos universitarios privados posiblemente más ágiles. En resumen, que me gustaría ser optimista, pero con los pies en la tierra comprendo que un cambio de esta envergadura no resulte fácil y mucho menos en el momento económico y de incertidumbre que vive hoy la universidad española. Tal vez algún día la universidad reaccione ante esta demanda y como suele suceder no sería extraño que llegase tarde.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Universidad Politécnica de Madrid
http://www.upm.es/

Departamento de Lenguajes, Proyectos y Sistemas Informáticos (UPM)
http://www.lpsi.eui.upm.es/

Página personal de Jorge Ramió Aguirre
http://www.lpsi.eui.upm.es/~jramio/

Cátedra UPM Applus+ de Seguridad y Desarrollo Sociedad Información
http://www.capsdesi.upm.es/

Red Temática Iberoamericana de Criptografía y Seguridad Información
http://www.criptored.upm.es/

No hay comentarios:

Publicar un comentario en la entrada