domingo, 27 de diciembre de 2015

Jorge Ramió: "Una gran amenaza se cierne sobre las infraestructuras críticas"

Jorge Ramió. Profesor de seguridad y criptografía.

Si existe un arquetipo de venerable profesor universitario en la comunidad de seguridad informática española, este es sin duda el doctor Jorge Ramió Aguirre, del Departamento de Sistemas Informáticos de la Escuela Técnica Superior de Ingeniería de Sistemas Informáticos de la Universidad Politécnica de Madrid (UPM). Mientras retomamos el aire tras tal parrafada, leemos en su web personal  que está a punto de cumplir 64 años y tiene un hijo "también ingeniero, MBA y deejay", nos explica por mail.

De complexión pequeña, el doctor Ramió nos recuerda cariñosamente a Speedy Gonzales por el torrente continuo de energía que vierte con generosidad en los interesantísimos proyectos de su creación, que han puesto a la UPM en el mapa de la comunidad hacker española. Cuando Jorge no está organizando un congreso de seguridad informática, está convirtiendo el software de sus prácticas de laboratorio de criptografía en un libro electrónico. O imaginando nuevas lecciones multimedia sobre quiénes eran Alice y Bob y qué hicieron con unas llaves. Todo público y gratuito. Es realmente muy, muy difícil no apasionarse con este apasionado hombre.


- ¿Cómo se hace para tener siempre esta sonrisa en los labios?

- Es el hecho de estar contento con lo que se hace. Saber que estás aportando algo a la cultura universal, por poco que sea, que eso queda ahí y que a alguien le va a servir, tener siempre un nuevo proyecto en el que pensar y renovarse. Y obviamente contar con una familia que te apoya y saben que todas estas horas que dedico a compartir información de forma gratuita hace que me sienta feliz, útil y realizado.

- Tu proyecto más conocido es Criptored.

- Nace el 1 de diciembre de 1999, teniendo como objetivo principal convertirse en una red social de profesionales de la seguridad informática y sitio en la red donde compartir información, no sólo en España sino en toda Iberoamérica. En febrero de 2015 supera los mil miembros, con 23 países representados, y en septiembre se crea un grupo profesional en LinkedIn que en tres meses alcanza los 1.887 miembros.

Durante su 16 años de vida, Criptored ha sido protagonista de diversos proyectos asociados a la difusión masiva de la seguridad: 8 congresos CIBSI celebrados en diferentes países de Latinoamérica , la enciclopedia visual de la seguridad de la información Intypedia, el primer MOOC en español Crypt4you, el Mapa de Enseñanza de la Seguridad de la Información MESI, las píldoras formativas Thoth, formación online con destacados expertos como profesores invitados y ha servido gratuitamente más de 5 millones de documentos en Internet.

- ¿Por qué razón lo pusiste en marcha?

- Nace de una discusión a través de una lista de correo que tuvimos varios profesores de seguridad informática a mediados de 1998, en cuanto a qué área de conocimiento era la más apropiada para las enseñanzas de seguridad y criptografía. Observé que éramos un buen número de profesores entusiasmados en aquellos debates e interesados en intercambiar nuestra documentación y me pregunté por qué no centralizar todo ese esfuerzo en una página web, dado que no existían aún las redes sociales.

Más aún, ví que con ello podría ayudar a muchos colegas y amigos de otras universidades de Latinoamérica que, al igual que sucede hoy en día, en temas de enseñanza de seguridad de la información estaban unos cuantos años por detrás de España. En los últimos años colabora conmigo en Criptored el Doctor Alfonso Muñoz. Además, desde sus inicios tengo la suerte de que colabore en el proyecto otro colega de la universidad, D. Daniel Calzada.

- ¿Cuál es el secreto de su éxito?

- El cariño que ponemos en que las cosas salgan bien y, luego, algo que aquí en España se valora muy poco, la innovación. Y para pruebas te muestro estos tres ejemplos. El proyecto Intypedia, que nace en 2010, fue el primero en enseñar seguridad mediante vídeos con avatares y vamos camino de las 600 mil visitas en YouTube. No pudimos seguir por falta de patrocinador. El MOOC Crypt4you de 2012 fue el primero en español y casi simultáneo con el arranque de los MOOCs en los Estados Unidos, mucho antes de que la fiebre de los MOOC invadiera las universidades españolas; proyecto activo y en el que también rondamos las 600 mil visitas.

Por último, el proyecto de píldoras formativas Thoth en el que contamos con el apoyo económico de Talentum Startups para pagar a los becarios y que nace en 2014, fue de los primeros en su género y no existe otro ejemplo similar en lengua hispana. Lo más parecido y guardando las debidas proporciones sería Khan Academy, pero la diferencia de presupuesto es astronómica. Con más de 30 píldoras publicadas y 55 mil visitas en YouTube, el objetivo es seguir publicando una píldora al mes. Esos alcances mediáticos en otros países podrían ser considerados como dignos de un apoyo institucional; aquí en España no. Es más, en el ámbito del reconocimiento académico esta labor no sirve de nada.

- Cuando hablo con jóvenes profesionales de la seguridad informática, con estudios universitarios, siempre me dicen que sólo se aprende practicando. ¿Significa eso que en la universidad se está enseñando mal?

- En seguridad es muy difícil abarcar tantos aspectos en dos o tres asignaturas, en el mejor de los casos en que la carrera en cuestión tenga esas tres asignaturas. Lo que se agrava si hablamos además de prácticas. Como no hay un recorrido más largo o especialización en seguridad, al final hay que optar por impartir los conocimientos básicos de seguridad, de criptografía, de normativas, de gestión de la seguridad, de seguridad en redes... y no da para más, se quedan fuera muchos otros temas que son de interés para el desempeño de un profesional de la seguridad y, cómo no, gran parte de esas prácticas que echan de menos.

Vista la gran demanda de expertos en ciberseguridad y el interés de los jóvenes por todo lo relacionado con ella, desde hace ya unos cuantos años debería existir un grado universitario en seguridad, pero ninguna universidad se atreve a dar el paso, aunque eso sí, todas están locas por impartir másteres en seguridad, que en España tenemos ya 26 y algún otro por venir.

Temas para hacer un excelente grado de ingeniería en seguridad tenemos por decenas, pero lo difícil es contar con una docena de profesores expertos, más aún en la situación actual de las universidades españolas donde no existe renovación generacional, entre otras cosas porque esa gente joven y experta en seguridad puede ganar entre tres y cuatro veces más en otros sectores.

- ¿Tus proyectos Thoth, Intypedia o MOOC Crypt4you, que usan audiovisuales y enseñanza a distancia, son una muestra de cómo tú enseñarías seguridad en las universidades?

- Sí, de hecho el objetivo del proyecto Thoth es generar un gran libro multimedia que permita abarcar muchas temáticas de la seguridad y que, por sí solo, configure una herramienta de enseñanza completa. Uso habitualmente ese material en mis clases y está clarísimo que se trata de un valor añadido. De hecho, sé que hay profesores en España y en Latinoamérica que usan las píldoras Thoth y las lecciones de Intypedia para comenzar un tema y llamar así la atención a sus alumnos.

- Eres también autor del Mapa de Enseñanza de la Seguridad de la Información MESI. ¿Está la enseñanza de la seguridad bien cubierta en España?

- Hemos hecho un inmenso avance en los últimos 5 años, alcanzando las 229 asignaturas dedicadas en exclusiva a la seguridad y de ellas 89 son obligatorias, lo que ya es un gran triunfo, otras 122 asignaturas dedicadas parcialmente a estos temas y como te decía 26 másteres. Siempre quedan asignaturas pendientes que aborden temáticas más actuales, como el análisis de malware, ingeniería inversa, auditoría de máquina, seguridad industrial, informática forense, pentesting, seguridad en infraestructuras críticas, APTs, etc.

- Cada día nos despertamos con 3 o 4 noticias graves sobre seguridad informática. ¿Qué se está haciendo mal?

- En seguridad hay una máxima: esta nunca es posible al 100% por su propia naturaleza. Hablamos de la seguridad como un proceso dinámico que se va adaptando mediante una mejora continua, por lo cual nada será nunca completamente seguro. Y por otra parte, resulta mucho más fácil destruir que construir.

El problema que se nos avecina es el entorno de la llamada ciberseguridad, mal llamada ciberseguridad por algunos que la confunden con seguridad en redes y en tecnologías de la información. La ciberseguridad une el mundo IT (del inglés Information Technology), con el mundo OT (del inglés Operation Technology) de las máquinas y sistemas industriales. El aspecto principal es el control (de ahí proviene la palabra cibernética y por tanto el término ciber) de equipos y sistemas del mundo OT mediante dispositivos y sistemas del mundo IT. Esa es la gran amenaza que se cierne sobre las infraestructuras críticas, porque ya no estamos hablando de mi PC infectado por un virus (años 80), ni de la red corporativa arrasada por un gusano (años 90), ni solamente de los fallos en redes globales y delitos informáticos (años 00), sino de las infraestructuras críticas de un país, cuyos daños pueden afectar a una amplia población e incluso costar vidas humanas (años 10).


Texto: Mercè Molist


0 comentarios:

Publicar un comentario