Вы находитесь на странице: 1из 19

Diego Esteban Quintero Rey

Curso de Introducción a la Ingeniería de Sistemas y Computación


Grupo de Trabajo en Conjunto (JTF)
sobre Educación en CIberseguridad
El mundo enfrenta una escasez de profesionales cualificados en ciberseguridad.
Se estima que 1.8 millones de posiciones relacionadas a la ciberseguridad no
serán cubiertas para 2022.

Las instituciones que deseen


crear programas, modificar los
existentes o aumentar el 2015
contenido de sus cursos, Lanzado en 2015 como una
necesitan de una guía. ACM colaboración entre ACM, IEEE,
AIS SIGSEC e IFIP WG 11.8.
reconoció esta necesidad y es
así como nació el JTF para
CSEC2017.

Misión
Metas

1) desarrollar una guía comprensiva y flexible en


- Definir qué es la proficiencia en ciberseguridad
educación en ciberseguridad que soportará el desarrollo
- Estructurar la disciplina (modelo de pensamiento)
de futuros programas,
- Alinear programas con las necesidades de la industria.
- Acudir a la opinión de los interesados (stakeholders)
2) producir un volumen que estructure la ciberseguridad y
- Lograr flexibilidad en el modelo ante los cambios que
brinde una guía a las instituciones que quieran modificar
tenga la disciplina
o aumentar sus programas o cursos.
La disciplina de la Ciberseguridad
Ciberseguridad: Disciplina basada en la computación y que involucra tecnología, personas,
información y procesos para facilitar operaciones seguras en el contexto de adversarios.
Envuelve la creación, operación, análisis y prueba de sistemas informáticos seguros. Es un
curso interdisciplinar de estudio que incluye aspectos de la ley, política, factores humanos,
ética y gestión de riesgos.
Años 1950 - 60: ARPA (Advanced Research Projects
Agency) ideó el ARPANET, la cual es una red de
computadores creada para el Departamento de Defensa
de EE.UU. Es así como la ciberseguridad dejó de ser
física para enfocarse en las redes.

Años 1970: Gracias a la investigación de entidades como


RAND Corporation para el Departamento de Defensa de
EE.UU. se sentaron las bases para el desarrollo de los
protocolos TCP/IP, surgiendo así la internet.

Años: 1980: El desarrollo de la World Wide Web llevó a la


internet a su uso masivo y con esto la importancia de la
ciberseguridad se incrementó. El gobierno de EE.UU.
publicaría las leyes the Computer Fraud and Abuse Act of
Años 1940: La necesidad de la ciberseguridad 1986 y the Computer Security Act of 1987.
inició con los primeros computadores. Su fin era
el proteger los dispositivos y las misiones a las Años 1990: Grandes organizaciones comenzaron a
que servían. Era una seguridad más física y integrar seguridad en sus estrategias computacionales con
documental. pues las amenazas eran el robo de ayuda por ejemplo de los anti-virus. Es así como la
equipos, espionaje y sabotaje. ciberseguridad inició como una disciplina independiente.
La disciplina de la Ciberseguridad
La falta de foco en la conciencia en la seguridad al inicio de la distribución de la internet, fue la
causa de muchos de los problemas que inundan la internet hoy. En un principio había más
preocupación por asegurar la disponibilidad del internet en todos los computadores que la
integridad y la confidencialidad.

El traspaso a un modelo En años recientes la


de computación que se conciencia sobre la
Así surgió la necesidad de
basa en la interconexión importancia de la
formar profesionales preparados
por medio de redes, hizo ciberseguridad ha
que la habilidad de para garantizar la seguridad de
aumentado. los sistemas. Lo cual requiere de
proteger a los
computadores de manera la creación, operación, defensa,
física ya no fuera útil, y Se reconoce como un análisis y prueba de sistemas de
con ello la información factor importante para computación (informáticos)
quedó expuesta. la seguridad de un país. seguros.

La internet trajo consigo Hay una creciente Aunque la ciberseguridad integra


redes informáticas inseguras preocupación ante factores de tipo social, la
y billones de dispositivos ciberataques o la fundamentación de esta
conectados y en continua involucración de disciplina es computacional
comunicación entre sí. estados en guerras
cibernéticas.
Modelo de Pensamiento del marco
curricular en Ciberseguridad
Estos tres componentes se fundamentan en una serie de
Un programa de ciberseguridad debe:
competencias fundamentales cuyo fin es el formar al
estudiante como contribuyente a la sociedad: comunicación,
- Fundamentarse en la computación
análisis, solución de problemas, pensamiento crítico, trabajo
- Integrar la teoría y la práctica
en equipo y conducta ética.
- Tener un balance entre amplitud y profundidad
- Alinearse a las necesidades del marco laboral
- Ser consistente entre programas similares Áreas de Conocimiento (KA)
- Ser flexible ante los avances en el campo
Es la unidad básica de estructuración del modelo. Cada KA se
compone de conocimiento crítico para múltiples disciplinas basadas
Componentes del modelo de pensamiento: en la computación. Las ocho KA representan el cuerpo de
conocimiento necesario en el campo de la ciberseguridad.
- Áreas de Conocimiento (KA)
- Conceptos Transversales Conceptos Esenciales: Cada KA cuenta con una serie de
- Lentes Disciplinares conceptos esenciales que determinan la proficiencia que todo
estudiante necesita alcanzar independientemente del foco del
programa (lente disciplinar).

Deben ser introducidos al principio e ir siendo reforzados a los largo


del programa o curso.

Un conocimiento esencial es generalmente el compendio de más de


una Unidades de Conocimiento (KU)

El énfasis de cada KA está en el desarrollo, protección y


mantenimiento de mecanismos de seguridad. Sin embargo, algunos
programas pueden decidir impartir los cursos con un enfoque
ofensivo (hacking, pentest) o defensivo.
Unidades de Conocimiento (KU) Conceptos Transversales

Los KU son la manera en que se subdividen las ocho KA. Son Su fin es ayudar a los estudiantes a explorar
grupos temáticos que abarcan varios temas relacionados entre sí. conexiones entre las ocho KA. Refuerzan la
Cada KU: mentalidad de seguridad que transmite cada KA.
Existen seis conceptos transversales:

- Es sumamente importante para múltiples disciplinas de la


Confidencialidad: Reglas que limitan el acceso a
computación, y de manera variable dependiendo del lente la información del sistema a personas autorizadas.
interdisciplinar. Integridad: Garantía de que la información es
- Provee una herramienta clave para entender la ciberseguridad. precisa y confiable.
- Es enseñable como aprendible a través del tiempo con niveles Disponibilidad: Garantía de que la información y el
incrementales de profundidad y sofisticación. sistema son accesibles.
Riesgo: Potencial de ganancia o pérdida.
Una KU puede ubicarse en más de una KA. Una KU no corresponde Pensamiento adversarial: Proceso de
necesariamente a un curso. Un curso puede integrar varias KU a la pensamiento que considera las acciones
potenciales de la fuerza opositora trabajando en
vez.
contra de los resultados que deseamos.
Pensamiento sistémico: Proceso de pensamiento
que considera la interacción entre las restricciones
sociales y técnicas para permitir operaciones
seguras.

Lentes Disciplinares

Representa la disciplina subyacente desde la cual


el programa de ciberseguridad puede ser
desarrollado. Conduce el enfoque, la profundidad
del contenido y los LO. Los Lentes de este modelo
Tal como se ve en el diagrama, cada KU, tiene una serie de Temas, y estos son: ciencias de la computación, ingeniería de la
a su vez determinarán los Resultados de Aprendizaje (LO). Cada tema computación, sistemas de información, tecnologías
está dividido en el currículo en una serie de subtemas organizados en lo de la información e ingeniería de software.
que se conoce como Orientación Curricular.
Contenido del marco
curricular en Ciberseguridad
Principales fuentes utilizadas:
Conceptos Orientación
KA Esenciales KU Temas Curricular LO
Marcos curriculares

La Orientación Curricular provee una guía para los


desarrolladores de cursos en ciberseguridad. Dicha
orientación contiene los subtemas que un programa podría Marcos laborales
incluir. La decisión final de los contenidos específicos que
se incluirán la toma el desarrollador. Es él quien conoce las
metas de la clase y las necesidades de los estudiantes.
Cursos ejemplares existentes

Clase de seguridad en dispositivos móviles: Podría incluirse


el subtema ”Controles de Acceso para Android” (que no está en
la orientación curricular) y omitir “Controles de Acceso basados
en atributos” (que sí está pero que a la fecha en que se escribió
el texto no sería un tema relevante para Android).

Controles de Acceso (KU), Seguridad de los Datos (KA)


Seguridad de los Datos (KA)
Se centra en la protección de datos en reposo,
durante el procesamiento y en tránsito. Requiere
de la aplicación de algoritmos matemáticos y
analíticos para su implementación completa.

Unidades de Conocimiento (KU)

Criptografía
Análisis Forense Digital (SyS)
Integridad y Autenticación de los Datos,
Control de Acceso
Protocolos de comunicación segura
Criptoanálisis
Privacidad de los Datos
Seguridad de almacenamiento de la información
Conceptos Esenciales

- Conceptos criptográficos básicos


- Análisis forense digital
- Comunicaciones seguras de extremo a extremo
- Integridad y autenticación de los datos
- Seguridad del almacenamiento de información.
Seguridad del Software (KA)
Se centra en el desarrollo y uso del software que
preserva de manera confiable las propiedades de
seguridad de la información y los sistemas que
protege.

Unidades de Conocimiento (KU)

Principios fundamentales (ComS)


Diseño
Implementación
Análisis y pruebas (ComS)
Implementación y mantenimiento
Documentación
Ética

Conceptos Esenciales

- Diseño: principio de mínimo privilegio, diseño abierto y abstracción


- Requisitos de seguridad y su papel en el diseño
- Problemas de implementación
- Pruebas estáticas y dinámicas
- Configuración y parcheo
- Ética en desarrollo, pruebas y divulgación de vulnerabilidades.
Seguridad de los Componentes (KA)
Centrado en el diseño, fábrica, adquisición, pruebas,
análisis y mantenimiento de componentes integrados en
sistemas más grandes.

Unidades de Conocimiento (KU)

Diseño de componentes (SofS)


Obtención de componentes
Pruebas de componentes (SofS)
Ingeniería inversa de componentes.

Conceptos Esenciales

- Vulnerabilidades de los componentes del sistema


- Ciclo de vida de los componentes
- Principios de diseño de componentes seguros
- Seguridad en la gestión de la cadena de suministro
- Pruebas de seguridad
- Ingeniería inversa.
Seguridad de las Conexiones (KA)
Se centra en la seguridad de las conexiones entre
componentes, incluyendo conexiones físicas como
lógicas. Las conexiones se refieren a la manera en la
que los componentes interactúan entre sí.

Unidades de Conocimiento (KU)

Medios físicos
Interfaces y conectores físicos
Arquitectura de hardware
Arquitectura de sistemas distribuidos
Arquitectura de redes (SyS)
Implementación de redes
Servicios de red
Defensa de redes
Conceptos Esenciales

- Sistemas
- Arquitectura
- Modelos y estándares
- Interfaces de componentes físicos
- Interfaces de componentes de software
- Ataques de conexión
- Ataques de transmisión.
Seguridad del Sistema (KA)
Se centra en los aspectos de seguridad de los
sistemas que se componen de componentes y
conexiones, y utilizan software. Comprender la
seguridad de un sistema requiere verlo no solo como
un conjunto de componentes y conexiones, sino
también como una unidad completa en sí misma.
Unidades de Conocimiento (KU)

Pensamiento sistémico (SofS)


Gestión de sistemas (SofS)
Conceptos Esenciales
Acceso al sistema (HS)
- Enfoque holístico Control del sistema (DS)
Retiro del sistema
- Política de seguridad
Prueba del sistema
- Autenticación
Arquitecturas de sistemas comunes
- Control de acceso
(ConnS)
- Monitoreo
- Recuperación
- Pruebas
- Documentación.
Seguridad de las Personas (KA)
Se centra en proteger los datos y la privacidad de las
personas en el contexto de las organizaciones y la vida
personal. Estudia el comportamiento humano en relación con
la ciberseguridad. Su fin es garantizar la confidencialidad,
integridad y disponibilidad (CIA) de los sistemas informáticos
organizativos y personales
Unidades de Conocimiento (KU)

Gestión de identidad
Ingeniería social
Cumplimiento de las normas/políticas/ética de
ciberseguridad (SocS)
Conciencia y comprensión (OS)
Privacidad social y del comportamiento (SocS)
Privacidad y seguridad de los datos personales
Seguridad y privacidad utilizable

Conceptos Esenciales

- Gestión de identidad
- Ingeniería social
- Conciencia y comprensión
- Privacidad y seguridad del comportamiento social
- Privacidad y seguridad de los datos personales
Seguridad Organizacional (KA)
Se centra en proteger a las organizaciones de las amenazas
de seguridad cibernética y en administrar los riesgos para
respaldar el éxito de la misión de la organización. Identificar
los tipos de leyes de seguridad, regulaciones y estándares
dentro de los cuales opera una organización. Una política de
seguridad debe adaptarse a la organización actual y ser
capaz de crecer con la organización.
Unidades de Conocimiento (KU)

Gestión del riesgo


Seguridad, gobernanza y política
Herramientas analíticas, administración de
sistemas
Planeación de la ciberseguridad
Continuidad del negocio
Recuperación ante desastres y gestión de incidentes
Gestión del programa de seguridad
Seguridad del personal
Conceptos Esenciales
Operaciones de seguridad
- Gestión de riesgos
- Gobernanza y política
- Leyes
- Ética y cumplimiento
- Estrategia y planificación
Seguridad de la Sociedad (KA)
Se centra en aspectos de la seguridad cibernética que
afectan ampliamente a la sociedad en su conjunto para
bien o para mal. El ciberdelito, la ley, la ética, la
política, la privacidad y su relación entre sí son los
conceptos clave de esta KA.

Unidades de Conocimiento (KU)

Delito cibernético
Derecho cibernético
Ética cibernética
Política cibernética (OS)
Privacidad

Conceptos Esenciales

- Delito cibernético
- Derecho cibernético
- Ética cibernética
- Política cibernética
- Privacidad
Los estudiantes requieren demostrar
Temas, Orientación Curricular y proficiencia en cada uno de los conceptos
Resultados de Aprendizaje (LO) esenciales a través del logro de los resultados
de aprendizaje. Normalmente los resultados
de aprendizaje se encuentran dentro de los
niveles: Entender y Aplicar de Bloom’s
Revised Taxonomy

La taxonomía fundamental de
los objetivos educativos: una
clasificación de los objetivos
educativos fue establecida en
1956 por el Dr. Benjamin
Bloom, un psicólogo educativo,
y es a menudo referido como la
taxonomía de Bloom.
Perspectivas de la industria sobre Hoy en día, existe un consenso general de
que abordar los desafíos de la ciberseguridad
ciberseguridad debe ser una prioridad para las naciones y las
empresas por igual, y la necesidad de una
disciplina estructurada es clara.
Es difícil encontrar personas calificadas para los puestos en
ciberseguridad. Carecen de las habilidades para adaptarse a la
industria o les falta fundamentación computacional
Habilidades blandas:
El profesional en Resolución de problemas, análisis,
Responsabilidad
ciberseguridad necesita de y las actividades de gestión de
Atención al detalle,
una combinación de proyectos necesarias para
Resiliencia
habilidades técnicas como de implementar soluciones de Manejo de conflictos
la visión empresarial. ciberseguridad. Razonamiento
Comunicación verbal y escrita,
Es difícil la transición al entorno al laboral si no se ha recibido la Trabajo en equipo.
combinación adecuada de exposición técnica y de habilidades
sociales relacionadas con la ciberseguridad durante su carrera
académica.

Otras habilidades o "Es una ironía horrible que en el momento en que el mundo se haya vuelto
aptitudes más complejo, alentamos a nuestros jóvenes a que se especialicen en una
tarea. Estamos haciendo un mal servicio a los jóvenes al decirles que la vida
- Adaptabilidad al cambio es un camino recto. Las artes liberales siguen siendo relevantes porque
- Manejo de entrevistas preparan a los estudiantes para que sean flexibles y se adapten a las
- Diseño de hojas de vida circunstancias cambiantes ”
- Experiencia en pasantías
- Contactos profesionales
Georgia Nugent, interim president of the College of Wooster in Wooster, Ohio
Vinculación del currículo con la práctica profesional
Existen siete áreas de aplicación en la disciplina de la ciberseguridad que sirven de puente entre el
modelo de pensamiento y un marco de trabajo específico. Son las áreas profesionales en las que un
estudiante puede iniciar su práctica, antes de vincularse al campo laboral.

Política Pública: Entender cómo las leyes, regulaciones y requisitos públicos en materia de
ciberseguridad afectan a las empresas, las personas y los sistemas. Concebir el diseño de sistemas bajo
el marco de dichas normas.

Adquisición y contratación: Comprender cómo cómo los sistemas y las contrataciones se ajustan a los
objetivos de la organización. Reconocer los requisitos de los sistemas, personas, infraestructura, etc.

Administración: Comprender cómo afectan las políticas internas como externas a la gestión de la
ciberseguridad en la organización. Saber cómo actuar ante ataques o incidentes y recuperarse de ellos.

Investigación: Aplicar el conocimiento más técnico sea a nivel académico, industrial o gubernamental.
Conocer los detalles específicos de su área de investigación.

Desarrollo de software: Cumplimiento de requisitos al diseñar el software. Manejar excepciones y


errores. Elaborar guías o documentación de uso e instalación.

Arquitectura empresarial: Los arquitectos empresariales deben comprender las áreas de aplicación de
políticas, compras, gestión y operaciones, así como los elementos del área de desarrollo de software.

Formación: Los desarrolladores de programas académicos, o aquellos que se dedicarán a la enseñanza


de la disciplina como tal. Conectarse con proveedores que brinden certificaciones en cursos es importante
aquí también.
Integración del modelo curricular a un marco laboral
o de trabajo.
Una institución puede diseñar su programa en ciberseguridad de manera que satisfaga las
necesidades de un marco laboral en específico. El informe CSEC2017 propone una hoja de
ruta para integrar el modelo con el U.S. National Initiative for Cybersecurity Education
(NICE) Cybersecurity Workforce Framework (NCWF)

Los marcos laborales o de trabajo son


generalmente elaborados por los entes
gubernamentales para definir los requisitos que
debe cumplir cierto profesional.

El marco NCWF define varias áreas de


especialización, que a su vez se dividen en
roles de trabajo, que a su vez cuentan con un
compendio de KSA (Conocimientos,
Habilidades y Aptitudes.

En la hoja de ruta propuesta en el informe, se aconseja plantear la visión


general de la articulación (relación formación - rol de trabajo), definir cuáles
son los cursos relevantes, definir las estrategias de adquisición de KSA
(cómo se aprenderá) y finalmente los retos que habrá que superar.