LITIGATION DISCOVERY POLICY 1 Policy Statement.

260 el Real Decreto 1393/2007 [194], de 29 de octubre, por el que se establece la ordenación de las enseñanzas universitarias oficiales en el país, adecuando a las universidades de España al denominado Espacio Europeo de Educación Superior EEES, también conocido como Plan Bolonia.

Sin entrar en las simpatías y/o antipatías que este nuevo proceso recibió y que sigue recibiendo por parte de la comunidad universitaria española, lo que sí es cierto es que permitió aplicar un cambio radical y en muy corto tiempo, a lo largo y ancho de todo el territorio nacional, en cuanto a la inclusión de asignaturas de seguridad, especialmente en los nuevos Grados de las Ingenierías en Informática así como de las Ingenierías en Telecomunicaciones, con todas las variantes posibles de títulos en ambos casos.

Y esto es así porque en tanto el calendario de implantación del EEES indicaba que en el curso 2008/2009 podrían comenzar a impartirse los primeros nuevos títulos de grado en España, y que en el curso 2010/2011 las titulaciones universitarias de todas las universidades de Europa debían estar ya adaptadas a este nuevo espacio de enseñanza superior, a finales de esa década todas las universidades se encontraban inmersas de manera ya obligada a la elaboración de esos nuevos títulos de grado y, por tanto, era el momento oportuno para incluir la seguridad como una asignatura nueva o reforzar aquellas que se estaban impartiendo, si éste fuera el caso.

En la confección de los nuevos planes estudio de las ingenierías en informática, algunas universidades españolas tomaron como referencia, entre otras, las recomendaciones para el currículum en computación o informática del documento "Computing Curricula 2005: The Overview Report" [195] publicado en septiembre de 2005 por instituciones de prestigio como la Association for Computing Machinery ACM, el Institute of Electrical and Electronics Engineers IEEE y la Association for Information Systems AIS, para las carreras de Computer Engineering, Computer Science, Information Systems, Information Technology y Software Engineering. En dicho documento aparecen de manera significada los temas de seguridad como materia obligatoria.

Aunque hay ediciones actualizadas de estas recomendaciones para algunos títulos, como por ejemplo "Information Technology 2008. Curriculum Guidelines for Undergraduate Degree Programs in Information Technology" [196], "Information Systems 2010. Curriculum Guidelines for Undergraduate Degree Programs in Information Systems" [197] y "Computer Science Curricula 2013 (CS2013) ACM/IEEE-CS Joint Task Force" [198], en el documento inicial del año 2005 Overview Report [195] se abordan de forman conjunta las 5 titulaciones oficiales en informática que pueden impartirse en universidades españolas, lo que permite compararlas de una manera conjunta.

La figura 5.2 recoge la tabla 3.1 de dicho documento de la ACM [195] en el que se muestra una comparativa ponderada con niveles que van de 0 a 5 sobre la intensidad de enseñanza en las áreas de conocimiento que deben ser tratadas en estos cinco títulos.

Figura 5.2. Tabla comparativa y ponderada de las áreas de conocimiento en las cinco titulaciones del informe de la ACM (tabla tomada de [195]).

Se han destacado en un recuadro las dos áreas de conocimiento relacionadas con la seguridad de la información, Security: issues and principles y Security: implementation and management, y marcadas con un punto rojo aquellas áreas que presentan una puntuación igual a cero en alguna titulación.

De la tabla se extrae que en dicho informe se recomiendan unos pesos mínimos y máximos en seguridad, en función de la titulación, que van desde el rango mínimo 1-2 en el caso del área de conocimiento Implantación y Gestión de la Seguridad para CE (Computer Engineering), hasta el rango máximo 3-5 precisamente en la misma área pero ahora para IT (Information Technology). Es decir, para las 2 áreas de conocimiento relacionadas con la seguridad de entre las 40 áreas marcadas por la ACM, en ninguna de las 5 titulaciones se ha propuesto un peso igual a 0, valor que sin embargo sí aparece en muchas otras zonas de la tabla para otras tantas áreas de conocimiento y en diversas titulaciones; en particular para 17 áreas de conocimiento, algunas de ellas incluso muy conocidas, e.g. Embedded Systems, Scientific Computing e Intelligent Systems.

Por tanto, la primera conclusión que puede extraerse de estos datos es muy clara: estas dos áreas de conocimiento propias de la seguridad son importantes y necesarias. Además, por el nivel otorgado en la ponderación, puede deducirse que también son obligatorias en cualquier titulación de informática, una situación de privilegio que la seguridad comparte con otras 21 de las 40 áreas destacadas por la ACM.

Otra recomendación tenida en cuenta en los nuevos planes de estudio de la informática es el proyecto EA2004-0009 "Las demandas sociales y su influencia en la planificación de las titulaciones en España en el marco del proceso de convergencia europea en educación superior" [199], de la Dirección General de Universidades del Ministerio de Educación y Ciencia coordinado por la Fundación Universidad-Empresa, en el que se realiza una encuesta en el año 2004 a diversos profesionales con el objeto de analizar el nivel de formación que mostraban en informática, comparándolo con las necesidades reales de la empresa.

La población encuestada para dicho proyecto fue de 968 profesionales tanto españoles como comunitarios, que estaban en posesión de un título universitario oficial u homologado de Licenciado, Arquitecto, Arquitecto Técnico, Ingeniero o Ingeniero Técnico, obtenido en los últimos cuatro años. De ellos, 125 encuestados (un 13%) pertenecían a titulaciones de enseñanzas técnicas, por lo que cabe esperar en dicho grupo a unas cuantas decenas de ingenieros en informática y otras tantas de ingenieros en telecomunicación; esto último simplemente teniendo en cuenta la oferta de plazas y su cuota de mercado en estas titulaciones de ingeniería en nuestro país en aquellos años. En dicho documento, destacan 3 gráficas resultado de la encuesta anterior, que se incluyen a continuación y que representan, de alguna manera, la extraña situación que se estaba dando en las universidades españolas en cuanto a la inclusión de temas de seguridad en los planes de estudio de ingeniería, principalmente los de informática.

En los gráficos originales que se recogen en las figuras 5.3, 5.4 y 5.5, se ha remarcado en color azul el apartado "seguridad".

Figura 5.3. Conocimientos de informática de los titulados (Seguridad 0%). Gráfica correspondiente a la referencia indicada [199].

Figura 5.4. Conocimientos de informática que requieren las empresas de los titulados (Seguridad 34%). Gráfica correspondiente a la referencia indicada [199].

Figura 5.5. Respuestas recibidas: titulados universitarios y empleadores encuestados. Gráfica correspondiente a la referencia indicada [199].

Aunque hay otros apartados en los que también resulta muy significativa la diferencia entre la formación ofrecida y la formación demandada a los profesionales por la empresa, lo cierto es que la interpretación de los datos en dichas figuras respecto a la seguridad, que es lo que aquí nos interesa, no deja lugar a dudas: un 0% de formación universitaria en seguridad ante un 34% de necesidad de estos conocimientos por parte de las empresas en el mercado de trabajo en el año 2004.

Llama la atención los resultados que se observan en las figuras 5.3 y 5.4, en tanto que ya en el año 2000 se contaba con más de 40 asignaturas de seguridad en nuestras universidades. Por tanto, a la luz de estos datos la conclusión es bastante obvia: a pesar del espectacular crecimiento en la oferta de asignaturas de seguridad hacia finales de los años noventa en las universidades españolas, se detecta una formación deficiente de nuestros ingenieros en estas temáticas. Una situación claramente anómala que tiene una posible respuesta en que el 90% de las asignaturas de seguridad en aquellos años tenían carácter de optativas, aunque el mercado laboral ya insinuaba que debían ser enseñanzas obligatorias. Y otra peor; que, a pesar de ello, no se estaba enseñando en la universidad lo que el mercado demandaba.

Y esto es aún más preocupante si se tiene en cuenta que esta formación en seguridad que se pide en la encuesta es solamente básica. La situación anómala a la que se refería el párrafo anterior, con un exagerado porcentaje asignaturas optativas y una casi nula presencia de obligatoriedad en seguridad, se analizará en el párrafo siguiente.

El gran desarrollo de las TIC desde finales del siglo pasado hasta comienzos de este siglo XXI, hace que la seguridad no sea ya un elemento más del sistema sino una parte muy fundamental del mismo y que, por tanto, requiera que los ingenieros que se forman en las universidades conozcan de manera teórica y práctica esta temática y, más aún, en varios de sus ámbitos como, por ejemplo, la protección de datos, la securización de redes, el cifrado y firmado de la información, las infraestructuras de clave pública, el análisis y la gestión de los riesgos, los sistemas de gestión de la seguridad de la información SGSI, legislación en seguridad, normativas internacionales, etc. Pero ello no se veía reflejado en las universidades españolas, por mucho que existiese un boom en la oferta de asignaturas optativas de seguridad en los años noventa.

Aunque las recomendaciones curriculares internacionales de 2005 citadas [183] ya sugieren claramente la importancia de incluir de forma obligatoria la seguridad en los planes de estudios de las ingenierías en informática, la universidad española no logra en aquellos años dar ese salto cualitativo introduciendo nuevas asignaturas de seguridad obligatorias. En primer lugar, porque no es capaz de responder de forma dinámica a esta necesidad del mercado para reformar sus planes de estudio y, en segundo lugar, debido a la negativa y a la presión ejercida por grupos de profesores de otras asignaturas obligatorias, que veían en la inclusión de una asignatura de seguridad obligatoria la posibilidad de relegar la suya a un carácter optativo, situación que no deseaban se diese. Este absurdo ciclo sin fin, que atentaba contra la calidad de la formación de nuestros ingenieros y licenciados, se logra romper definitivamente con la entrada del Plan Boloña como ya se ha comentado. Y la razón es que, partiendo ahora desde cero en la generación de nuevos planes de estudio, las recomendaciones de la ACM [195] del año 2005 ya no pueden pasarse por alto, lo que finalmente se traducirá en un espectacular cambio de la influencia e importancia de la seguridad en los nuevos títulos de graduados universitarios, como se pondrá de manifiesto más adelante en este capítulo.

Seguramente, algo similar habrá ocurrido con las titulaciones de telecomunicaciones en los aspectos de seguridad en redes y telemática, pero lo analizado aquí para informática es lo suficientemente válido como para comprender la situación expuesta.