Ignacio Trejos Zelaya | TEC y Cenfotec | itrejos@ucenfotec.ac.cr

La Internet, las comunicaciones móviles y la creciente digitalización de los negocios y de la vida del ciudadano común generan grandes volúmenes de datos, que hacen crítica la necesidad de almacenar, administrar, extraer, comunicar, procesar, compartir y analizar los datos de manera eficiente y eficaz.

No solamente el volumen de la información está creciendo, sino que se profundiza cómo dependen de ella personas y organizaciones.

Los datos y la información son factores críticos para sostener la operación y el crecimiento de cualquier organización. Para sustentar la marcha de las organizaciones es necesario que la información esté disponible, íntegra y confidencial: es necesario asegurar la información.

Todos – individuos, familias, organizaciones y gobiernos – nos encontramos en riesgo de que entidades malintencionadas corrompan o destruyan datos, roben o espíen información, impidan el acceso o dañen los sistemas informáticos.  También es posible que, sin mala intención, personas obtengan acceso no autorizado a fuentes de información o que accidentalmente las corrompan, las arruinen o las hagan inaccesibles.

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información en busca de mantener su confidencialidad (prevenir la divulgación de información a personas o sistemas no autorizados), su disponibilidad (acceso a la información y a los sistemas por personas autorizadas cuando lo requieran), su integridad (datos exactos y libres de modificaciones no autorizadas) y su responsabilidad (resguardar y controlar equipo e información y dar cuentas ante autoridades competentes sobre la pérdida o el mal uso de equipos o información).

La seguridad de la información comprende también a aquella que no está relacionada con medios informáticos – procura defender la información de cualquier acceso, uso, revelación, modificación, revisión o registro no autorizados.

El campo tiene áreas especializadas, como la auditoría de sistemas de información, la planificación de la continuidad del negocio y de la recuperación en caso de desastres, la ciencia forense digital y la administración de sistemas de gestión de seguridad.

La seguridad informática es una especialidad dentro de la Informática, que busca proteger la tecnología informática (cómputo, almacenamiento, comunicaciones) y sus contenidos digitales. La seguridad informática se ocupa de diseñar normas, procedimientos, métodos, técnicas y tecnologías para obtener sistemas de información seguros y confiables.

Con frecuencia se dice que el eslabón más débil en materia de seguridad de la información es el usuario final de la tecnología digital.  Con la proliferación de los teléfonos ‘inteligentes’, las tabletas y las computadoras personales o portátiles, el software es hoy un elemento significativo de la existencia humana y está en el corazón de la empresa moderna, pero, a la vez, es uno de los flancos débiles en materia de seguridad informática – se lo cita como el segundo factor más importante en cuanto a vulnerabilidades de ciberseguridad.

Las prácticas de seguridad informática, los programas de certificación profesional y la tecnología han puesto atención a medidas de seguridad externas, como cortafuegos (firewalls), antivirus y sistemas de prevención o detección de intrusos, los cuales no son suficientes para proteger sistemas informáticos cada vez más dependientes del software.

La seguridad del software ha prosperado como una sub-disciplina de la seguridad informática en lo que va del presente siglo.  Se han dilucidado maneras en que los desarrolladores de software pueden contribuir a mejorar la seguridad de un sistema informático.

Por otro lado, hoy se entiende mejor cómo las equivocaciones, los descuidos, la ignorancia o las malas prácticas de los desarrolladores pueden socavar la seguridad de los sistemas informáticos. Actualmente comprendemos mejor los defectos de diseño y los tipos de error de programación que originan los problemas de seguridad del software y de los sistemas donde éste está presente.

El sector costarricense de Tecnologías de Información y Comunicación, particularmente las empresas de desarrollo de software y de servicios basados en TIC, tienen creciente relevancia en las exportaciones de Costa Rica, la creación de empleos de calidad, la generación de innovación, de riqueza y de prosperidad basadas en conocimiento y educación.

Es imperativo que demos atención al desarrollo de software seguro, para ser competitivos ante otros países o regiones.  Para ello, debemos desarrollar las capacidades tecnológicas nacionales en ciberseguridad mediante la educación y la actualización profesional de nuestra fuerza laboral en desarrollo de software.

Antes del 2011, no existían en Costa Rica opciones de educación formal en el campo de la seguridad informática.  Los profesionales en Informática adquirían conocimientos avanzados en seguridad mediante el autoestudio o las capacitaciones ofrecidas por los proveedores de tecnología de seguridad, las cuales están sesgadas hacia su visión de mundo y sus productos.

Tales capacitaciones frecuentemente ignoran el estudio de conceptos esenciales, fundamentos teóricos, principios orientadores y métodos de diseño, construcción, verificación o administración de las tecnologías relacionadas con la seguridad de la información.

La Universidad Cenfotec ha venido aportando al desarrollo de capacidades profesionales en seguridad de la información con su Maestría en Ciberseguridad y sus programas de especialización, educación continua y certificación en seguridad informática.

Debemos llegar a ser capaces identificar y prevenir sistemáticamente los problemas de seguridad en el software. Los ingenieros de software requieren conocimientos especializados con el fin de desarrollar componentes, productos y servicios resistentes a fallas o a ataques de seguridad.

Lograr seguridad en el software significa que su consideración ha de mantenerse desde el inicio hasta el final de cualquier proceso de desarrollo, validación o mantenimiento de software.  La seguridad es una consideración de ingeniería del software y debe ser diseñada y construida intencionalmente y de forma sistemática.  La seguridad de los sistemas informáticos no debe ser una idea de último momento.

Organizaciones profesionales como la Association for Computing Machinery (ACM) y el Institute of Electrical and Electronics Engineers (IEEE) han producido recomendaciones o modelos curriculares para carreras de grado en cinco disciplinas informáticas (Ciencia de la Computación, Sistemas de Información, Ingeniería del Software, Ingeniería de Computadoras, Tecnología de Información).

Todas ellas incluyen temas relacionados con seguridad informática, pero sin ofrecer una especialización.  La ACM, el IEEE, la Association for Information Systems y la International Federation for Information Processing están próximas a publicar la primera recomendación curricular para programas de educación postsecundaria en Ciberseguridad.  El Software Engineering Institute y el Departamento de Seguridad Nacional de Estados Unidos difunden valiosas recomendaciones curriculares para guiar el desarrollo de especializaciones de postgrado en materia de seguridad del software.

La norma ISO/IEC 27034-1 sobre seguridad de aplicaciones, el Security Development Lifecycle de Microsoft, el Building Security in Maturity Model y el Center for Secure Design del IEEE – entre otros – dan guías útiles para la protección del software desde su concepción hasta su puesta en operación.

La certificación Certified Secure Software Lifecycle Professional (CSSLP) del (ISC)² evalúa la cualificación de profesionales en seguridad del software; (ISC)² ofrece otras certificaciones avanzadas (CISSP, y sus concentraciones en Arquitectura, Ingeniería y Gestión) que consideran la seguridad de aplicaciones de software – entre otros temas.

El ISTQB cuenta con una certificación para la especialización en pruebas de seguridad del software. La Computer Society del IEEE está promoviendo la educación continua con cursos en esta materia: fundamentos de seguridad del software, diseño de software seguro, codificación de software seguro y gestión del desarrollo de software seguro.

Desarrollar capacidades en ingeniería de software seguro puede llegar a constituirse en un diferenciador competitivo para el país, además de beneficiar directamente la producción de sistemas intensivos en software más seguros para el mercado local y propiciar la atracción de inversión internacional hacia un sector especializado de las tecnologías digitales.