Cerrar Menú Blogs
Las opiniones de los blogueros son de su estricta responsabilidad y no representan la opinión de este portal.
Profile image

Ingresa o regístrate acá para seguir este blog.

Seguir este blog

Es frecuente escuchar los términos “experto en seguridad informática”, “especialista en seguridad informática” o “profesional en seguridad informática”, tres palabras, tres contextos que nos deben animar a una reflexión personal y profesional alrededor de aquellos interesados que enfrentan día a día los retos de la inseguridad informática. (HOWARD 2008, BRATUS 2007)

De acuerdo con el diccionario de la Real Academia Española – RAE, existen diferencias importantes entre las tres palabras: experto, especialista y profesional.

Para la RAE un experto, viene del latin expertus, alguien experimentado en algo, alguien que ha probado o tratado con algo. Se asocia generalmente a un perito. Un especialista, es alguien que cultiva o practica una rama determinada de un arte o una ciencia, de la que tiene particulares conocimientos y habilidades. Finalmente un profesional, es una persona que ejerce su profesión con relevante capacidad y aplicación.

Mirando estas tres definiciones se puede sugerir que los que se dedican a la seguridad informática (o inseguridad de la información), siendo estrictos en el manejo de las anteriores, responden a un proceso evolutivo que los cautiva y los lleva a explorar su propia curiosidad con eventos que desafían lo establecido, para generar nuevas inquietudes y así, continuar aprendiendo. Es un proceso de desaprendizaje (POURDEHNAD, J., WARREN, B., WRIGHT, M. y MAIRANO, J. 2006) que invita a reconocer que no sabemos y que debemos estar atentos a descubrir las nuevas propuestas que nos ofrece el evento que se estudia.

Un experto en seguridad informática, siguiendo lo sugerido por la real academia, es alguien que se ha enfrentado a la inseguridad de la información, alguien que se ha enfrentado a la incertidumbre que genera la falla, a la presión que se manifiesta en ese momento para tomar acciones que ponen a prueba su conocimiento y experiencia previa en situaciones semejantes (nunca iguales). Las acciones acertadas o no, son el insumo de las futuras que esta persona enfrente, cuando nuevamente sea sorprendida por un nuevo episodio de la inseguridad informática.

Con el paso del tiempo este experto, desarrolla un instinto o intuición en el arte de conocer y descubrir la inseguridad; en ese momento se transforma en un especialista, no de seguridad informática, sino de inseguridad de la información. El enfrentamiento constante con la inseguridad y la falla, genera en este personaje una mente más abierta y sistémica, más llevada por las relaciones y efectos emergentes, que por eventos puntales. El especialista estructura una red de conocimientos y prácticas que proponen soluciones emergentes, generalmente diferentes y alternas a las que pudiesen ofrecer lo que dicen las buenas prácticas actuales. Recordemos que las buenas prácticas, nacen del reconocimiento de acciones que han demostrado ser útiles en el tiempo.

Finalmente el profesional en seguridad informática, sería una persona que ejerce una profesión, un oficio, que generalmente se encuentra estructurado bajo una serie de lineamientos y conceptos que son avalados y normados por entes reguladores en temas académicos o científicos. De esta forma, existen las profesiones como la ingeniería, el derecho, la medicina, entre otras.

En este contexto y considerando que a la fecha no existe un acuerdo nacional o internacional sobre currículos en seguridad de la información, tratar de responder la pregunta ¿qué debo estudiar para aprender seguridad informática? es un reto que aún tenemos que enfrentar y donde tenemos grandes oportunidades para proponer y avanzar.

El profesional en seguridad informática actualmente es tema de discusión y análisis en diversos foros internacionales. Iniciativas como las efectuadas en la Universidad Politécnica de Madrid, orientada por el Dr. Jorge Ramio Aguirre (ver http://www.criptored.upm.es, sección docencia), las consideraciones de formación en seguridad informática (particularmente orientadas al desarrollo de software seguro) sugeridas por el Dr. Mattew Bishop (http://nob.cs.ucdavis.edu/bishop/papers/), de la Universidad de California, en Davis, entre otras iniciativas (ver otras fuentes adicionales) son elementos que nos dicen que debemos continuar analizando posibilidades y estrategias para acercarnos cada vez más a un acuerdo base sobre lo que un profesional de seguridad informática debería estudiar.

La seguridad informática en su evolución desde los años 50’s, ha venido mostrando patrones característicos e inquietudes particulares, generalmente atadas con la evolución de la inseguridad de la información. Si bien, cada vez que evolucionan las plataformas tecnológicas, la inseguridad se transforma, es importante observar que los profesionales de seguridad no lo hacen de la misma manera, pues, deben recorrer nuevamente la curva de aprendizaje que les exige el nuevo contexto computacional o de negocio que se enfrenta.

En razón a lo anterior y no obstante, los aspectos evolutivos de las tecnologías de información (ver publicación anterior de este blog), si se requiere adelantar un ejercicio de exploración y análisis sobre las prácticas de seguridad y los patrones que sugiere la inseguridad para delinear un perfil evolutivo de aprendizaje de la seguridad, que considere la exposición de los interesados sobre temas conocidos en seguridad, para avanzar y conocer comportamientos desconocidos ocasionados por la inseguridad. Esto permite disminuir el riesgo de que el experto (siguiendo la definición de RAE) sea víctima de “una falsa sensación de seguridad” y mantenga un mínimo de paranoia, requerida para mantenerse vigilante.

Si mantenemos a este experto, en proceso evolutivo de desaprendizaje, es decir, confrontando las buenas prácticas, los mecanismos de seguridad y sus procesos de construcción y afinamiento, inspeccionando código en búsqueda de funciones inseguras, analizando comportamientos adversos de personas en las organizaciones, entre otros elementos, pronto tendremos un especialista que de manera sistémica (KEILY, L y BENZEL, T. 2006) observe y diagnostique una situación antes de que ocurra. Si bien, no podrá anticiparse a todo lo que puede ocurrir, si estará atento a nuevas relaciones que la inseguridad pueda sugerir.

Como hemos visto hasta el momento y sabiendo que la inseguridad de la información es un “camino que se revela al andar”, las personas que se dedican a la seguridad de la información, bien sean expertas, especialistas o profesionales siempre tendrán algo en común, una misión y deseo que los marca, una convicción de vida personal y profesional que los une: el reto de conocer, descubrir y aprender de la inseguridad de la información.

Referencias
BRATUS, D. (2007) What hackers learn that the rest of us don’t. Notes on hacker curriculum. IEEE Security & Privacy. July-August. PP.72-75
HOWARD, M. (2008) Becoming a security expert. IEEE Security & Privacy. January-February. PP. 71-73
KEILY, L y BENZEL, T. (2006) Systemic security management. IEEE Security & Privacy. Noviembre-Diciembre.
POURDEHNAD, J., WARREN, B., WRIGHT, M. y MAIRANO, J. (2006) Unlearning/Learning Organizations – The Role of Mindset. Proceedings of 50th International Society of Systems Science Conference. Disponible en: http://www.isss.org/conferences/sonoma2006/2006_ISSS_50thAnnualMeeting_Sonoma_Program-Body-Acrobat6-150dpi.pdf

Otras Fuentes adicionales:
* NSTSC (2003) National Strategy to Secure Cyberspace. A National Cyberspace Security Awareness and Training Program. p. 37 Available on March. 12, 2004. http://www.whitehouse.gov/pcipb/cyberspace_strategy.pdf
* Information Security (Master of Science in Information Security Technology and Management – MSISTM). 13 Jan 2003. Carnegie Mellon University. Available on March 12, 2004 at http://www.ini.cmu.edu/academics/MSISTM/index.htm
* Master of Science in Computer Science Concentration in Information Security. James Madison University. Available on March 12, 2004 at http://www.infosec.jmu.edu/website/overview.htm
* Infosec Graduate Program. Purdue University. Available on March 12, 2004 at http://www.cerias.purdue.edu/education/graduate_program/
* Master of Science in Security Informatics. Johns Hopkins University. Available on March 12, 2004 at http://www.jhuisi.jhu.edu/education/index.html
* Master of Science degree program in Information Security and Assurance. George Mason University. Available on March 12, 2004 at http://www.isse.gmu.edu/ms-isa/
* Dark, Melissa. Davis, Jim. “Report on Information Assurance Curriculum Development”. The Center for Education and Research in Information Assurance and
Security (CERIAS). Available on March. 12, 2004 at http://www.cerias.purdue.edu/education/post_secondary_education/undergrad_and_grd/curriculum_development/information_assurance/

(Visited 48 times, 1 visits today)

Etiquetas

PERFIL
Profile image

Un apasionado de la inseguridad informática, que trata de indagar en sus posibilidades y relaciones, aunque ella siempre tenga la manera maestra para soprendernos y cuestionarnos, y ésta, es la mejor motivación para continuar estudiándola.

    Sigue a este bloguero en sus redes sociales:

Más posts de este Blog

Ver más

Lo más leído en Blogs

1

Este horóscopo se basa en las 30 cartas del oráculo “Ángeles(...)

2

Estoy en guerra contra mi cuerpo desde antes de la adolescencia.(...)

3

Aunque un poco más lento, si es posible adelgazar tomando pastillas anticonceptivas(...)

4 Comentarios
Ingresa aquí para que puedas comentar este post
  1. Muy intresante la aclaración de los 3 conceptos, suele suceder que los usamos indiscriminadamente o quienes ejercen actividades sobre esta profesión se autoadjudican términos tal vez no adecuados confundiendo así a la sociedad y en aras de esto generan controles más no explican el motivo pero si te obligan a cumplirlos, quizá esto le ha sucedido a uno de los participantes y motivo de ello son sus expresiones, que tampoco comparto.

    Interesante la invitación de mantenernos atentos y activos, metodológicos y consistentes si queremos llegar a estos niveles de especialidad y expertes que redundará en un beneficio social.
    ——–

  2. A diferencia de los primeros dos comentarios, que respeto pero no comparto, pienso que el tema de la seguridad informática no lo podemos descuidar más. Y digo no más ya que como es sabido, la tecnología ha avanzado y cada vez es más accesible a muchos. Hoy, esas películas de cine que antes veíamos como ficción, son una realidad. Por ejemplo, una de las cintas que esta muy al día en el tema es %u201CDuro de matar 4%u201D. Adicional, la delincuencia, si cree en la actualidad de ese tema, las empresas y las personas no podemos quedarnos atrás, por que lo lamentaremos económicamente.

  3. de acuerdo con usted koyo82, esos dizque “expertos” o “especialistas” en seguridad son todos unos come-m.i.e.r.d.a.s que se inventan novelas de terror para vivir a costillas de los demás …. complican tanto las cosas que simplemente no se pueden usar … se les olvida el objetivo de la tecnología y convierten las excepciones (fraudes) en la norma, parecen abogados …. esos pen.de.jos que lo obligan a uno a tener passwords de mínimo 8 characters sin repetir números, que tiene que usar letras también, que mínimo una mayúscula pero también una minúscula y no pueden estar contiguas, bla b la bla …. la palabra es una sola: come-m.i.e.r.d.a.s!!!

  4. El tema de la seguridad informatica se ha manejado a nivel mundial teniendo por norma la “Paranoia”, esto es mas que apliucable al contexto de Colombia. Donde los administradores (de redes, servidores, etc) llegan a niveles de paranoia que en vez de facilitar el trabajo de sus usuarios en un ambiente seguro, lo terminar entorpeciendo dificultando las tareas que un usuario junior daria por sentadas para realizar sus actividades.

Reglamento de comentarios

ETCE no se responsabiliza por el uso y tratamiento que los usuarios le den a la información publicada en este espacio de recomendaciones, pero aclara que busca ser la sombrilla de un espacio donde el equilibrio y la tolerancia sean el eje. En ese camino, disponemos de total libertad para eliminar los contenidos que:

  1. Promuevan mensajes tipo spam.
  2. El odio ante una persona o comunidad por su condición social, racial, sexual, religiosa o de situación de discapacidad.
  3. Muestren o impulsen comportamientos o lenguajes sexualmente explícitos, violentos o dañinos.
  4. Vulneren o atenten contra los derechos de los menores de edad.

Además, tenga en cuenta que:

  • - El usuario registrado solo podrá hacer un voto y veto por comentario.
Aceptar
¿Encontraste un error?

Para EL TIEMPO las observaciones sobre su contenido son importantes. Permítenos conocerlas para, si es el caso, tomar los correctivos necesarios, o darle trámite ante las instancias pertinentes dentro de EL TIEMPO Casa Editorial.


Debes escribir el comentario
¡Gracias! Tu comentario ha sido guardado
Tu calificación ha sido registrada
Tu participación ya fue registrada
Haz tu reporte
Cerrar
Debes escribir tu reporte
Tu reporte ha sido enviado con éxito
Debes ser usuario registrado para poder reportar este comentario. Cerrar