Una creciente necesidad

Seguridad informática: un problema del Estado, empresarios y usuarios

Un programa de la Fundación Sadosky, dependiente del Ministerio de Ciencia, Tecnología e Innovación de la Nación busca concientizar sobre el problema. La industria del software es una de las que más creció en la última década.

De la Redacción de El Litoral

[email protected]

Prensa UTN

Las ventas de la industria de software de Argentina crecieron alrededor del 400% en los últimos 10 años y el empleo en el sector aumentó un 376%, según estadísticas de la Cámara Argentina de Empresas de Software y Servicios Informáticos (Cessi).

En este contexto, desde la Fundación Sadosky, dependiente del Ministerio de Ciencia, Tecnología e Innovación Productiva, se detectó que el vertiginoso crecimiento de la industria no se ve acompañado por un incremento proporcional en la calidad y la seguridad del software producido.

Por ello crearon, en febrero de 2012, el Programa Seguridad en TIC (Tecnologías de la Información y la Comunicación) con el objetivo de fortalecer las capacidades de los equipos científicos locales, el potencial en seguridad informática de las empresas, el Estado, y fomentar una mayor interacción entre el ámbito académico y el productivo.

El responsable de este programa, Iván Arce, disertó en la UTN Santa Fe ante empresarios del sector, desarrolladores y estudiantes.

En la actualidad, se encuentran softwares en diversos espacios en la administración de redes eléctricas, en televisores, en cosechadoras -y “hasta en las computadoras”- y todos resultan vulnerables a múltiples fallas. En la industria, éste es un tema que se conoce pero que no necesariamente se aborda.

Según Iván Arce, “están los que lo magnifican y quienes lo niegan. Pero no hay ningún estudio serio que dimensione la situación. Aparejado al desarrollo que hay en el sector de las TIC en Argentina y en el mundo, se crea una dependencia de lo tecnológico cada vez más fuerte y también crece la vulnerabilidad. Nuestra opinión es que hay que tener un correlato en la seguridad para que esta posibilidad ante la creciente dependencia no impacte negativamente en la sociedad”.

Evolución constante

El vértigo de la invención tecnológica y las necesidades del mercado conspiran contra el problema de la seguridad.

“Todos adoptan tecnologías mucho más rápido de lo que las entienden y de lo que comprenden el riesgo que el uso de ellas implica. Muchos lo entienden recién cuando hay un accidente o un problema. Los casos más resonantes provienen de grabar videos de instancias privadas y guardarlos en el celular, por ejemplo. No es que eso esté mal en sí mismo, pero si sos una persona que valora su privacidad tenés que entender cuáles son los riesgos. Las tecnologías están desarrolladas de tal manera que sea fácil su adopción y su uso sin entender bien como funcionan. Es difícil que se entiendan cuáles son los riesgos porque todo aparato tecnológico está hecho de forma tal que no lo entiendas y no necesites entenderlo para operarlo. Esto no estaría mal si la seguridad estuviera garantizada. Pero el problema es que no está garantizada porque la tecnología la hacen seres humanos que son falibles, comenten errores y tiene intereses disímiles. Crear un aparato lo más seguro posible puede ser un interés pero no el prioritario y, si así fuera, también se pueden equivocar”, sostiene Arce.

Según el especialista, en nuestro país “existe un espacio para desarrollar tecnología propia que resuelva esos problemas de seguridad. Tenemos mucho talento en educación no formal, en muchos casos muy buenos y con alto conocimiento práctico. También hay una incipiente formación académica en el mundo y más en nuestro país. En Argentina, hay buenos profesionales con quienes trabajar, lo que falta es conectar personas con distintas experiencia con investigaciones”.

Responsabilidades

Aún queda por definir quién tiene la responsabilidad de garantizar la seguridad informática. “Es una pregunta que no tiene una respuesta definida en ningún lugar del mundo y sobre la cual hay un gran debate. Si es el Estado o es éste junto al sector privado. En Argentina, hay una serie de leyes que dan un marco de referencia. Hay una ley de delitos informáticos, una ley de protección de datos personales y un organismo del Estado que se encarga de protección de estructuras críticas del país, dependiente de la Jefatura de Gabinete. También hay políticas de seguridad que los organismos públicos y las empresas mixtas deben contemplar. Pero la respuesta de quién debería garantizarla no es sencilla”, sostiene Arce.

El concepto de seguridad

Arce considera que la seguridad del software es un atributo de calidad que posee el mismo o, eventualmente, una propiedad emergente, pero en ningún caso es algo que se agrega. “Cómo el sistema ha sido desarrollado y ha interactuado en su ciclo de vida, con gente, con procesos definidos para su construcción. Toda esa combinación de factores hace que el software sea más o menos seguro. La manera de atacar el problema es garantizar a lo largo del ciclo de vida, de desarrollo del software, que se realice una serie de acciones tendiente a minimizar el riesgo del resultado final. Pero no hay una receta única para lograr esto”.

Los costos y la competitividad

Se ha estudiado que resolver un problema de software cuesta mucho menos si se lo aborda en una fase temprana del desarrollo. “Si lo querés arreglar cuando está en el mercado y lo usa mucha gente sale 5.000 veces más”, remarca Arce. “Estamos a tiempo de atacar el problema temprano y desarrollar en una forma segura para bajar costos y que, a su vez, sean más competitivos los productos. Por otro lado, los requerimientos comerciales de calidad que se imponen son cada vez mayores, entonces, para ser competitivos se va a requerir que los desarrollos tengan más calidad en cuanto a la seguridad”.

Iván Arce, responsable del Programa Seguridad en TIC, disertó en la Facultad Regional Santa Fe de la UTN.

Foto: Prensa UTN

Una entidad pionera

La Fundación Dr. Manuel Sadosky de Investigación y Desarrollo en las Tecnologías de la Información y Comunicación es una institución público privada cuyo objetivo es favorecer la articulación entre el sistema científico tecnológico y la estructura productiva en todo lo referido a la temática de las tecnologías de la información y comunicación (TIC). Es presidida por el ministro de Ciencia, Tecnología e Innovación Productiva, Lino Barañao y sus vicepresidentes son los presidentes de las Cámaras más importantes del sector TIC: Cessi (Cámara de Empresas de Software y Servicios Informáticos) y Cicomra (Cámara de Informática y Comunicaciones de la República Argentina).

Un proyecto conjunto

La Fundación Sadosky junto a la Universidad Tecnológica Nacional, Facultad Regional Santa Fe, lleva adelante el proyecto “Metodologías para evaluar la madurez de la seguridad en el proceso de desarrollo de software”. El mismo está basado en la adaptación del modelo BSIMM (Building Security in Maturity Model) de madurez de seguridad de software. El BSIMM es un estudio de las iniciativas de desarrollo de software seguro adoptadas por 50 empresas reconocidas mundialmente (Google, Microsoft, Bank of America, Nokia, SAP y Visa, entre otras) que les permite determinar cuál es su situación con respecto a las actividades de desarrollo de software seguro, y cómo puede mejorar sus acciones en esta área.

El proyecto busca adaptar el modelo BSIMM al contexto nacional y desarrollar los recursos locales necesarios para promover, entre las empresas de la industria del software y organismos públicos y organizaciones del sector productivo que realizan actividades de desarrollo de software, el empleo de metodologías orientadas a mejorar la calidad de sus productos en lo referente a la seguridad.