En INEGI tiene la responsabilidad de definir la estrategia de seguridad para importantes iniciativas como las encuestas electrónicas y el portal de la institución. Ha sido catedrático y tiene diversos libros publicados relacionados con las IT. Por todo lo anterior, fue seleccionado como el profesional de seguridad del año.

Las tecnologías de información y el arte son las dos pasiones de Cornelio Robledo, CIO de INEGI. Él no encuentra el punto de separación en estos dos grandes campos y se afana, durante sus charlas, en demostrar su concordancia.

“El arte está en los sistemas de IT en su armonía, en su matemática, en el orden, en la relación entre el equipo de trabajo y en que las herramientas sean amigables”, afirma convencido.

Mientras que en la seguridad de información, continua, el arte está, por ejemplo, “en la criptografía de llave pública; en la matemática que hay detrás de algoritmos muy sencillos, pero eficientes; en la ingeniería simple, pero precisa”.

Entre los personajes que admira, Robledo cuenta a Mozart, Sócrates, Jorge Luis Borges y Nelson Mandela, de quien alaba su capacidad para dejar a un lado la venganza e incluir a todos en el proyecto de sacar a África adelante.

Y es que el CIO del INEGI valora por sobre todas las cosas el trabajo en equipo y la buena relación entre sus miembros. Esto, aunado a su inclinación por innovar, el trabajo constante y la disciplina son los factores que lo han llevado a tener una sólida y fructífera trayectoria en el campo de los sistemas y la seguridad de IT.

En estas áreas, Robledo ha lidereado proyectos como el diseño e implementación de la red nacional de datos de Banco de México, la red del sistema financiero nacional que enlaza a todas las instituciones financieras, el sistema integral de seguridad y servicios de apoyo bajo el esquema de edificio inteligente de Banco de México y en los sistemas para encuestas electrónicas del INEGI.

Compartir sus conocimientos es otro de sus grandes puntos de interés, de hecho participó en la capacitación del personal en el uso de software e computadoras personales en el Banco de México y ha sido profesor en diversas instituciones.

Entre sus múltiples ocupaciones se da tiempo para organizar congresos internacionales, con el fin de compartir experiencias con otros colegas, como: el Simposium sobre integración de información en bases de datos, al que el año pasado asistieron representantes de siete países.

Además es autor de libros como: Introducción a la Teoría de las Comunicaciones, editorial”, “Introducción a la transmisión de datos”, y “Redes de Computadoras”.
Concretamente en el campo de la seguridad de la información, Robledo ha hecho contribuciones como:

Por todo lo anterior, los editores y el consejo editorial de la revista b:Secure otorgan a Cornelio Robledo el b:Secure Award 2008, reconocimiento, que, desde 2006, distingue a los profesionales que han desarrollado una sólida trayectoria y han hecho aportaciones valiosas en el campo de la seguridad de la información.

Trayectoria ascendente

Cornelio Robledo estudió Ingeniería Industrial en el Instituto Tecnológico de Chihuahua, tiene una maestría en Ingeniería Eléctrica, por el Centro de Investigación y Estudios Avanzados del Instituto Politécnico Nacional, y un doctorado en Ingeniería Eléctrica, por el New Mexico State University, de Estados Unidos.

Empezó a trabajar como profesor de tiempo completo en el Departamento de Comunicaciones de la ESIME del IPN. “Siempre me gustó estar en contacto con los jóvenes, porque te mantiene intelectualmente activo, te obliga a buscar cuál es el estado del arte de la ingeniería y la seguridad, a encontrar qué es lo novedoso, para poder hacer aportaciones valiosas a tus alumnos”, asegura.

Pero Robledo sabía que podía hacer contribuciones mucho más allá del ámbito de la academia y pronto ingresó como ingeniero en el área de sistemas del Banco de México, donde, después de cuatro de trabajo, consiguió el apoyó de la institución, del CONACYT y del IPN para realizar sus estudios de maestría y doctorado.

A su regreso a México consiguió el cargo de subgerente de cómputo y telecomunicaciones en el Banco de México y cuatro años después el de gerente. En total estuvo 26 años en esta institución, tiempo en el también impartió cátedra en instituciones como el Tec de Monterrey y el CINVESTAV-IPN.

Lo anterior le sirvió para conformar un sólido y capacitado grupo de trabajo. “A mis alumnos más brillantes los invitaba a colaborar conmigo y así fui conformando un equipo técnico, del que varios miembros están todavía hoy en Banco de México, entre ellos: Javier Orduña, gerente de cómputo y comunicaciones”.

Quienes lograban acaparar la atención del profesor Robledo y pasar a formar parte de su equipo de trabajo debían ser gente trabajadora, inquieta intelectualmente y muy brillantes.

“En el 2000 uno de mis exalumnos ocupó el cargo de director general del IPN, Diodoro Guerra y él me invitó a colaborar como director de la Escuela Superior de Ingeniería Mecánica y Eléctrica, Unidad Zacatenco, por eso me retiré de Banco de México”.

Sin embargo, Robledo permaneció sólo año y medio en este cargo. A la mitad de su periodo de gestión, Gilberto Calvillo, presidente del INEGI, lo nombró director general de política informática de la institución.

Sus aportaciones

En Banco de México, Robledo lidereó, junto con el gerente de sistemas de la institución, la implementación de toda la red de cómputo y comunicaciones y todo el proyecto de equipamiento de computadoras personales.

“Nos tocó acercar la informática a personas muy brillantes, como Agustín Cartens, hoy Secretario de Hacienda, a quienes les dimos cursos y asesoría en sistemas”, recuerda.
Entre los proyectos importantes que Robledo recuerda de esa época destaca, precisamente, el diseño e instalación de la red que conecta a todo el sistema financiero del país con Banco México. “Ese fue uno de los proyectos más importantes que realizamos, tardó un año, más o menos”.

La principal aportación de esta iniciativa fue que Banco de México se convirtió en un ente fomentador de la modernización tecnológica de bancos y casas de bolsa, quienes gracias a esto debieron desarrollar su conexión a la red digital, “que entonces se llamaba superpuesta, pero en el argot era conocida como supersupuesta, porque nunca se había aterrizado el proyecto”, bromea Robledo.

El cambio en el ambiente financiero se notó de inmediato. Antes, para las subastas de los cetes, por ejemplo, el personal de las instituciones financieras debía acudir a las instalaciones de Banco de México, pero ya con la red en marcha todo eso se hizo en electrónico.

De hecho, todas las transacciones financieras de México corrían por esta red, se instrumentó, por ejemplo, el sistema de pagos electrónicos de uso ampliado, que fue, a principios de los 90, de las primeras aplicaciones de comercio electrónico.

Por supuesto, uno de los aspectos que más debían cuidarse dentro de esta red financiera era la seguridad. “Era necesario asegurar la confidencialidad, integridad y disponibilidad de la información, un solo minuto sin red representaba miles de millones de dólares perdidos”, asegura el CIO del INEGI.

La base principal de esa estrategia, en la que se involucraron tanto el gerente de sistemas como el de cómputo y telecomunicaciones de la institución, fue la protección contra intrusos, aunque con las herramientas disponibles en ese momento, que normalmente eran switches bajo el protocolo TSPIP (que derivarían luego en los conocidos firewall), para dar acceso sólo a los usuarios autorizados.

La faceta INEGI

Cuando Robledo ingresó al INEGI, el área bajo su cargo tenía la responsabilidad de todas las labores informáticas y la de normar e impulsar toda la política informativa de la Administración Pública Federal, aunque esta tarea pasó después a manos de la Secretaría de la Función Pública, bajo la batuta de Abraham Sotelo.

Ya sin esa responsabilidad bajo sus hombros, Robledo se concentró en varias importantes iniciativas ligadas a IT, que han contribuido a mejorar los procesos de la institución.
En 2002, todas las encuestas que levantaba el INEGI eran en base a papel. Pero en 2004 inició la migración a los censos electrónicos, 5% de los ejercicios del conteo del censo agropecuario se hicieron con PDA e Internet. Y ya en 2007 todo ese ejercicio se hizo en electrónico.

“Aquí el reto en seguridad fue desarrollar desde el principio las aplicaciones con la debida protección y considerar todos los factores de riesgo asociados, si una PDA se perdía, la información no podía caer en manos de cualquiera, porque la ciudadanía perdería la confianza en la institución”, asevera Robledo.

Con el fin de hacer frente a esto, se implementaron robustas claves de acceso a las aplicaciones de las PDA. Además, la información que se recaba en estos dispositivos viaja encriptada, bajo protocolos como el SSL.

Otro de los proyectos fuertes desarrollados aquí es el de las encuestas económicas por Internet, que retan en muchas formas al personal de informática y seguridad, porque la red debe estar siempre disponible.

Y es que al ser ejercicios mensuales, los participantes están ingresando constantemente información. Cada industria reporta sus indicadores vía el portal, donde hay un espacio especial para el llenado de los cuestionarios.. Por supuesto, también el portal de la institución genera altas demandas. INEGI se dedica a proveer información, a coordinar la producción de esos datos y a publicarlos, así que el servicio en el sitio Web no puede caerse tampoco. Esta información debe estar disponible a nivel nacional e internacional, porque se tiene establecido un portal para la OCD, dado que ésta debe tener acceso a los datos de los diferentes países.

“En el portal hemos diseñado un datawarehouse, tenemos integrada la información estadística del país, y lo que se pretende es que haya una fuente única de información, que haya una sola base de datos con un solo sistema manejador para generar cubos de información a los que los usuarios pueden acceder desde Internet y jugar con las diferentes variables.

Respecto a la parte específica de seguridad, el objetivo primario es proteger la red y los datos. “La información está encriptada, los sistemas de correo electrónico también. Lo que se usa para esto es un sistema de llave pública,

En cuanto a la disponibilidad, “tenemos triple acceso a Internet, porque como ya se dijo, no podemos quedarnos sin servicio”.

Además, dadas las encuestas mensuales económicas, la industria maquiladora de exportación, por ejemplo, envía datos sobre sus exportaciones, ahí entra otro aspecto de seguridad, el INEGI debe reportar a la Secretaría de Economía si todas las empresas mandaron su información, así que manejamos el esquema de Webservice, de esta forma se actualiza el centro de computo del INEGI y el centro de la Secretaría de Economía.

Sobre el punto de la integridad de la información, se maneja un almacenamiento en forma duplicada, con espejos en los centros de datos de  ciudad de México y dos centros de respaldo en Aguascalientes.

Como parte de la estrategia de seguridad, Robledo ha implementado también en la institución lo que se conoce como GRP. “Un empleado tiene acceso a ciertos recursos en base a su rol y funciones, pero cuando es despedido o renuncia, recursos humanos lo da de baja en un proceso que está ligado al directorio activo, así que de inmediato se le revierten todos sus derechos”.

Estrategia en tres pilares

Para Robledo aquello de que la seguridad descansa sobre tres pilares: tecnología, gente y procesos, no es mera teoría, él ha trabajo por llevar esto a la práctica todos los días.
El INEGI cuenta con una robusta infraestructura de seguridad tanto a nivel de su red como de cada una de las computadoras de los usuarios. Sin embargo, el CIO no se pierde en la marejada de la simple tecnología. Robledo está conciente de la importancia de los procesos y la capacitación y culturización al personal.

A los empleados se les enseña, por ejemplo, la importancia de manejar llaves de acceso únicas, y de resguardarlas de forma adecuada. Estas claves se manejan bajo los estándares internacionales, cada una tiene al menos ocho caracteres con letras mayúsculas y minúsculas, números, y se cambia cada dos meses.

Otro aspecto al que se le da mucha importancia es al de la salvaguarda del correo, “antes se podían tener correos de dos o tres años, ahora cada seis meses se borran los correos que están en el servidor, y pronto ese periodo se va a reducir a tres meses”, apunta.

Una estrategia que le ha resultado provechosa a Robledo en esto de la capacitación al personal en materia de seguridad es organizar, La semana de la seguridad.

Cada año, desde hace tres, se organiza este maratón de capacitación. Todo el personal del instituto debe tomar tres horas de platicas de seguridad, cuyos temas abarcan aspectos como, qué virus nuevo hay, en qué deben poner atención para protegerse forma adecuada, etc.

Lecciones aprendidas

Los años de trabajo continuo, involucrado en proyectos críticos le han dejado a Robledo una serie de buenas enseñanzas. Una de las más importantes es la de trabajar por concretar los proyectos en tiempo y forma. “Hay que enrolarse menos en el bla, bla, y concretar. Para esto se debe utilizar una cultura tipo Pancho Villa en la toma de Zacatecas, el quería resultados, así que cada persona de su equipo debía cumplir con sus funciones. Esa cultura es la que ayuda a concretar los proyectos en tiempos razonables”.

Otra lección más que Robledo tiene siempre presente es la importancia de jerarquizar cuáles son los aspectos más críticos para el negocio, si es que la red esté disponible o que la información se transmita en forma confiable o ambas, para responder con precisión a las necesidades.

“Jerarquizar prioridades es algo fundamental antes de implementar una estrategia. Pero también lo es balancear de forma justa el nivel de seguridad sin entorpecer la operación de las organizaciones”, subraya.

Y hablando de balances, Robledo destaca que a lo largo de sus años en las áreas de sistemas y seguridad también ha aprendido a implementar el nivel de seguridad adecuado con el presupuesto disponible. “Hay que ver cómo se puede ahorrar, nosotros, por ejemplo, tenemos lo que necesitamos en el centro de respaldo, sin implementar nada ostentoso, lo que hacemos es proyectar el peor de los escenarios en caso de una contingencia y respondemos a eso, pero vamos midiendo”.

En control de acceso a los centros de datos, por ejemplo, agrega, “sabemos que una opción es contar con reconocimiento de pupila, pero no vamos a implementarlo por presupuesto, así que hemos elegido un mecanismo de proximidad y detección de huella digital”.

Finalmente Robledo dice que lo que no se debe olvidar nunca es buscar la innovación. De hecho ha organizado con los miembros de su equipo eventos para que expongan las ideas innovadoras que han aplicado en los diferentes proyectos e iniciativas y después con eso se edita una publicación, “para que todajaja esa creatividad quedé en papel”, afirma. Como queda en quienes han conocido y trabajado con Robledo la admiración por sus aportaciones a las diversas instituciones donde ha trabajado y a su labor incluyente y continua.

• Diseño e implantación de la Red Nacional de Datos de Banco de México
• Instalación y mantenimiento del sistema operativo de computador central de Banco de México
• Estudio, selección e implantación de computadoras personas en Banco de México
• Rede de Datos interna de Banco de México
• Rede de Sistemas Financiero Nacional que enlaza a todas las instituciones financieras con Banco de México
• Sistema Integral de Seguridad y Servicios de Apoyo bajo el esquema de edificio inteligente del Banco de México
• Construcción de la Red Virtual de Datos de la Comisión Nacional Bancaria y de Valores