La protección y aseguramiento de la
información digital es un tema del que cada día se escucha más. El
índice de incidentes de seguridad a nivel mundial va en constante
aumento; sin embargo, no sucede lo mismo con las estrategias y los
recursos humanos dedicados a prevenirlos y contrarrestarlos.
En países que cuentan
con un mayor avance en la materia, como Estados Unidos de
Norteamérica, existen organizaciones como CERT, FIRST, SANS, CERIAS,
que tratan de mitigar los efectos causados por estos incidentes,
impulsando y fomentando la seguridad en cómputo mediante congresos,
cursos, seminarios, detección y difusión de vulnerabilidades. Estos
esfuerzos no sirven de mucho, si internamente en las organizaciones la
seguridad en cómputo es vista, sobre todo por parte de los directivos,
como una actividad secundaria que deben desempeñar los administradores
de redes entre sus múltiples funciones, y en consecuencia los recursos
destinados al rubro son casi inexistentes.
En los últimos años,
el aprovechamiento de las tecnologías de la información (TI) está
siendo considerado como un factor importante para apoyar el
crecimiento socio-económico de las naciones, incluso se han acuñado
términos tales como "brecha digital", entre otros, que representan
índices de uso de las TI ligadas a la distribución de la riqueza.
Para algunos países,
la protección de su infraestructura digital representa un gran reto,
ya que en ella está basada gran parte de su economía. En el caso de
los Estados Unidos de Norteamérica, después de los incidentes del 11
de septiembre de 2001, la administración del presidente Bush
desarrolló una estrategia que pretende unificar y estandarizar las
infraestructuras de cinco de sus entidades relacionadas con seguridad
nacional. El objetivo es crear los mecanismos adecuados para el
intercambio de información crítica de una manera más rápida y eficaz.
En esta estrategia la formación de recursos humanos especializados y
la participación activa de la comunidad académica representan factores
de suma importancia para alcanzar los objetivos planteados.
En ese país,
instituciones de educación superior consideradas como centros de
excelencia académica en el tema de aseguramiento y protección de la
información trabajan en proyectos de seguridad nacional financiados
por el gobierno, cuyo objetivo principal es el de proveer información,
educación e investigación en seguridad de la información. Sus
integrantes ayudan a desarrollar modelos de legislación en seguridad
mediante la participación activa en la definición de políticas y
leyes. En conjunto, el sector público, privado y académico están
definiendo el rumbo del país en materia de seguridad en cómputo. De
estos proyectos han surgido recomendaciones hacia la academia para
incorporar elementos en los programas de estudio de las IES que ayuden
en la formación de recursos humanos con suficiente información y
conocimientos actualizados necesarios para influir positivamente en la
solución de los problemas de seguridad.
La situación en México es muy diferente, aunque ya se vislumbran
algunas iniciativas, aún no se cuenta con lineamientos ni estrategias
claras en materia de seguridad en cómputo.
Existen en nuestro
país organizaciones no lucrativas dedicadas a la atención de
incidentes como el Equipo de respuestas a incidentes de seguridad de
cómputo de la Universidad Autónoma de México (UNAM-CERT), que brinda
asesoría en el dominio mx para aquellas organizaciones víctimas de
ataques cibernéticos. La atención oportuna de la gran cantidad de
reportes de ataques que llegan a diario a esta organización, resulta
muy difícil, ya que en la mayoría de los casos es necesario contar con
otras fuentes de información que puedan coadyuvar a la solución del
problema.
En el gobierno por
ejemplo, la llamada policía cibernética mexicana se dedica a perseguir
delitos en los que está involucrada la tecnología, principalmente
aquéllos que atentan contra la integridad física de las personas; sin
embargo hasta hoy no se ha puesto a un solo delincuente tras las
rejas.
En las instituciones
de educación superior (IES), los problemas de seguridad son muy
variados y constantes, y pueden llegar a afectar de manera importante
las actividades de las instituciones. Algunos ejemplos cotidianos,
como el de "No puedo trabajar por que mi máquina tiene virus", "Se
cayó la red y no se sabe por qué", "Se perdió la base de datos y no
tenía respaldos", "Sé que mi servidor está comprometido, ¿A quién debo
pedir ayuda?", suceden, y la mayoría de ellos tienen su origen
precisamente en la falta de cultura y promoción de la seguridad.
Existen también
algunos esfuerzos académicos aislados por tratar de incluir en los
planes de estudio el tema de la seguridad en cómputo. Estos esfuerzos
son entusiastas, pero no se guían a través de procesos formales de
estandarización y vinculación con el entorno, por lo tanto es difícil
que satisfagan necesidades reales.
A finales de 2001 se inició la conformación de la red UNAM-ANUIES como
una forma de establecer lazos de colaboración entre las IES y empezar
a definir esquemas de participación para el establecimiento del
proyecto nacional de seguridad en cómputo. Uno de los primeros
resultados de los trabajos es la iniciativa para conformar las redes
regionales de seguridad en cómputo, que serán las responsables de
definir y ejecutar los planes regionales de seguridad y ser el enlace
con la red nacional. La primera en establecerse fue la red de la
Región Sur-Sureste seguida de la red de la Región Noroeste.