Las herramientas digitales educativas se han multiplicado exponencialmente en los últimos años. No se trata solo del uso de distintos dispositivos (ordenadores, tablets, móviles, smartwatches, etc.), sino también de software y aplicaciones tanto en almacenamiento local como en la nube privada o pública.
Todas estas herramientas manejan datos personales de profesores y alumnos, menores de edad en muchos casos, lo que aumenta las necesidades en materia de ciberseguridad. Desde almacenamiento de datos sobre desempeño a colaboraciones de estudiantes, los colegios y universidades son cada vez más dependientes de ordenadores y conectividad para poder funcionar correctamente. Mientras nos preparamos para la vuelta al cole, ¿cómo pueden las instituciones educativas garantizar la seguridad y la privacidad de los datos?
El riesgo de suspender en ciberseguridad
De acuerdo con el 2017 Data Breach Investigations Report de Verizon, se registraron 455 incidentes de seguridad en el sector educativo en Estados Unidos el año pasado. Este sector tiene una exposición mayor y una responsabilidad crucial ya que los centros educativos manejan una gran cantidad de información personal identificable, incluso datos financieros y de tarjetas de crédito. Según el informe, más de la mitad de estos incidentes resultó en la divulgación de datos personales – tanto de estudiantes como de empleados – mientras poco más de una cuarta parte resultó en la publicación de obras sujetas a propiedad intelectual.
En enero de este año, un ataque de phishing por correo electrónico al distrito escolar del condado de Manatee (Estados Unidos) llevó a que los atacantes se hicieran con los nombres, direcciones, salarios y números de seguridad social de más de 7.700 empleados. Más recientemente, el ransomware WannaCry afectó a colegios y universidades en China, repercutiendo negativamente en cientos de instituciones, incluyendo la Universidad de Pekín y la Universidad de Tsinghua, dos de los centros de estudios superiores principales. Según medios de comunicación chinos, algunos estudiantes encontraron encriptada o perdida información importante para su carrera, incluyendo archivos de tesis que podrían perjudicar su graduación.
Sin embargo, el riesgo va más allá de poner en peligro información académica o financiera, hay otras áreas vinculadas a estas instituciones que pueden ser objeto de ataque por parte de cibercriminales. En ocasiones, los colegios y las universidades tienen sus propios centros médicos y hospitales afiliados, lo que pone también en peligro historiales médicos e información confidencial de los pacientes. Incluso los servicios académicos externos, como exámenes de nivel de idiomas, pueden recibir ataques y comprometer la legitimidad de los procesos de admisión universitarios.
En términos de seguridad, las instituciones educativas (colegios públicos, por ejemplo) se enfrentan a problemas tan básicos como la falta de presupuesto. Implementar programas avanzados de ciberseguridad puede ser muy costoso, tomando en cuenta el proceso constante de mantenimiento y actualización que requieren estos sistemas. Sin embargo, hoy en día es de vital importancia considerar la inversión en IT como una prioridad, aunque en un principio pueda resultar costoso.
Vuelta al cole: ¿Cómo aprobar esta asignatura pendiente?
En la actualidad, los riesgos de exposición de datos no parecen detenerse, y es primordial que cualquier tipo de institución tenga un plan detallado para abordar los peligros a los que podría tener que enfrentarse. Para elaborar este plan, colegios y universidades deberían consultar a compañías prestadoras de servicios de ciberseguridad y monitorización que aseguren la privacidad de estudiantes, profesores y empleados. Los profesionales de ciberseguridad ayudarán a idear políticas preventivas y métodos de respuesta para paliar los efectos de un posible ciberataque a la institución.
En esta línea, Panda Security recomienda implementar esta serie de medidas:
- Educar a empleados y estudiantes para concienciar sobre seguridad y alentarlos a reportar actividades sospechosas como el Entrenar e informar es un primer paso muy relevante, y a menudo ignorado.
- Crear mecanismos de control de información especialmente sensible para la institución. Limitar el acceso y sharing de ciertas carpetas.
- Imponer actualizaciones constantes para contraseñas de usuario, y combinar esta medida con autenticaciones multifactor para los datos más importantes de la institución.
- Gran parte de los ataques a ordenadores en China ocurrió por utilizar versiones pirateadas de Microsoft Windows. Estas versiones no reciben los patches de actualización de Microsoft, por lo tanto, son vulnerables a este tipo de ataques. Se recomienda utilizar siempre versiones seguras y oficiales.
- Implementar soluciones de ciberseguridad avanzada, adaptadas a las necesidades específicas del sector educativo, con funcionalidades de detección y remediación rápida.
- Desarrollar un plan de respuesta y ponerlo a prueba recurrentemente para asegurar que institución está preparada para cualquier tipo de ataque, de la misma forma en que en dichas instituciones educativas se suele hacer simulacros ante amenazas físicas: catástrofes naturales (terremotos, tornados, etc.), incendios, etc.