Reflexiones del Master

Como algunos sabéis (si es que alguien lee esto), durante unos días mis compañeros de trabajo y yo hemos participado como profesores en el Master de Seguridad de la Información de la universidad de Deusto. A pesar que el año que viene vamos a continuar la experiencia, creo que es necesario hacer un alto y reflexionar como ha ido todo y en qué podríamos mejorar para futuras clases. Pero sobre todo, reflexionar sobre las necesidades de formación de los futuros profesionales de la seguridad de la información y qué podemos aportar.

Lo primero es decir que para todos nosotros ha sido una experiencia sensacional. No tiene otra palabra. Compartir tantos años de experiencia con 15 estudiantes ávidos de conocimientos es algo de lo mejor que le puede pasar a todo profesional. Lo malo es que siempre te quedas con ganas de contar más cosas, y comprimirlo todo en tan pocas horas es muy complicado.

Lo que hemos intentado ha sido no quedarnos en la teoría. Es decir, chapa siempre tiene que haber, es inevitable. Sobre todo en algunas asignaturas que dábamos como es la de la ISO 27001. Pero como se aprende no es hincando los codos, sino compartiendo experiencias. No queríamos que se aprendieran todos los dominios de la ISO, ni todas las opciones del aircrack de memoria. Lo importante es que entiendan los conceptos, que sepan qué existen ciertas cosas, los fundamentos, de forma que cuando tengan que aplicarlos puedan acudir a la información de consulta y comprenderla.

Por ejemplo, yo consideraba muy importante que entendieran la importancia de un SGSI y de gestionar la información. Pero era consciente que con una chapa típica de la norma, así en crudo, perdería su atención, no aprenderían nada y pasarían por la clase sin pena ni gloria, en espera de los temas más divertidos: los técnicos. Por lo tanto, el enfoque que escogimos todos para nuestras clases fue la de basarnos en ejemplos reales. Dábamos la teoría, y después cómo lo habíamos aplicado en algún proyecto real. Y creo que, a pesar de la dureza de fondo de algunas clases, logramos mantener su atención.

Esto fue algo que eché muy en falta en la carrera. Tuve asignaturas que podían haber sido muy interesantes, pero los profesores se limitaban a leer el libro y no veíamos la aplicación práctica. Esto hacía que perdiéramos interés, y que no aprendieramos casi nada. En base a esta experiencia, es como yo siempre oriento los cursos de formación que doy. Y lo mismo hicimos todos en el master. Por lo tanto, el objetivo número 1 para el año que viene, es mejorar el dinamismo de las clases (pues aún así a veces nos liamos algo con la teoría).

¿Cómo vimos a los estudiantes? Es una pregunta que me hago ahora, intentando situarlos en un entorno laboral relacionado con la seguridad. La verdad es que casi todos tenían experiencia en diversas áreas (sistemas, desarrollo, bases de datos, seguridad…). Y eran personas MUY técnicas. Es lo que veo en la nueva remesa de profesionales: hay que ir metiéndoles en la cabeza lo que es la gestión de la seguridad, para qué sirve, etc. El aspecto técnico lo entienden mejor. Todos saben más o menos de qué va eso de la “seguridad en redes”, y estoy convencido que la asignatura que tienen la van a entender a la primera y le van a ver una utilidad inmediata. Pero han de intentar evitar la problemática que afecta hoy a las empresas: falta de control. Muchos controles técnicos pero realmente no saben qué es lo que tienen. O, como comentamos en la clase, no saben medir su nivel de seguridad.

Para ilustrar la teoría de la gestión de la seguridad, me basé en dos proyectos Open-Source: Babel y OSSIM. Además, comentamos algunos de los estándares que tiene el NIST y conforman SCAP (por ejemplo, ¿os suena CVE?), y cómo uniendo todo se puede automatizar la gestión de la seguridad: gestión de vulnerabilidades, correlación de eventos, detección de anomalías, gestión de cumplimientos de políticas mediante la ejecución de comprobaciones técnicas (les gustó ver que en realidad se puede basar en scripts), etc. Y todo ello orientado a la gestión del riesgo, conociendo el riesgo que tiene mi información en base a los datos recogidos anteriormente.

Lo dicho en el párrafo de arriba es duro de explicar en una clase donde tienes que dar la teoría. Por eso, poner aplicaciones reales, ejemplos prácticos y muestras de scripts y políticas ayuda mucho. Y hablando después con los alumnos es lo que más les gustó. Espero que para el año que viene podamos mejorar el entorno de pruebas y basar toda la clase en un ejemplo en vivo; creo que molaría mucho y yo me lo pasaría como un enano