En Educando Seguro, hemos entrevistado a Isaac Carreras, experto en Ciberseguridad. Exploramos los desafíos clave, desde la falta de cultura de ciberseguridad hasta la presencia de dispositivos personales en entornos educativos. Asimismo, abordamos las mejores prácticas, enfocándonos en la formación, concienciación y necesidad de una estrategia de ciberseguridad. A través de estas respuestas, se revela la complejidad de asegurar la información sensible en el entorno educativo.

1. ¿Cuáles son los desafíos más importantes en términos de ciberseguridad y protección de datos en las instituciones educativas y cómo pueden abordarse?

El sector educativo posee particularidades propias que definen sus principales riesgos y desafíos. Podríamos destacar la suplantación de identidad, ataques de ransomware y la fuga (robo) de información sensible como los principales.

Pero, ¿Qué provoca que sea uno de los sectores peor preparados y con menor nivel de ciberseguridad?

Por un lado, si visualizamos la evolución del sector y que nivel de digitalización tenían los centros educativos hace sólo un par de décadas, podríamos concluir rápidamente que la falta de cultura de la ciberseguridad, entendiendo como falta de concienciación y responsabilidad antes sus efectos, lleva una falta de preparación e insuficiente asignación presupuestaria para mantener un nivel adecuado de ciberseguridad. Otro factor determinante es el amplio uso de BYOD, es decir, dispositivos no corporativos ni gestionados por la organización que complica la inclusión de medidas y tecnologías de seguridad en dispositivos que son personales o de personal externo y sobre los que no tienen ningún control (léase como riesgo que se puede gestionar y mitigar, pero no como problema sin solución).

Como en cualquier organización, la Ciberseguridad se debe abordar desde una visión holística e implicando a la Alta Dirección, no sólo en la toma de decisiones sino en la responsabilidad que tienen. Es prioritario diseñar un Plan Director (o Estratégico) de Ciberseguridad que alinee las necesidades de la Institución Educativa y sus objetivos, para conseguir plantear medidas de seguridad coherentes, eficientes y óptimas tanto en rendimiento como económicamente.

2. ¿Cuáles son las mejores prácticas para garantizar la seguridad de la información de los alumnos y profesores en un entorno escolar?

En primer lugar y valga la redundancia, la formación y concienciación. Es paradigmático que en un Centro Educativo no se eduque a las nuevas generaciones en los riesgos de la tecnología y en el buen uso que deben hacer de ella; siendo una temeridad en ocasiones las decisiones de poner a disposición de niños y adolescentes tecnologías para las cuales no están preparados, ni formados. Buscando un símil con el mundo físico, ¿deberíamos permitir que los niños pudieran conducir? 

Debemos hacer foco en el concepto de la privacidad y su repercusión tanto en el presente como en el futuro, ya que las acciones de hoy pueden marcarlos mañana de forma muy negativa. Por supuesto, el primer paso sería como comentamos anteriormente disponer de una Estrategia en el ámbito de la Ciberseguridad, de la que emanarían no sólo tecnologías y medidas de seguridad, sino planes de formación y concienciación que levantarían escudos humanos y haría resilientes a los miembros de la comunidad educativa.

3. En el contexto de la educación en línea, ¿Cómo pueden las escuelas proteger la privacidad de los estudiantes y, al mismo tiempo, ofrecer un entorno educativo efectivo?

Aplicando medidas de seguridad efectivas. Una correcta implementación de Ciberseguridad debe ser un facilitador, no un factor limitante. Basarse en un modelo Zero Trust es el camino para abordar un enfoque adecuado, donde se refuerce y haga foco en la gestión de accesos e identidades y, por supuesto, en la protección del dato en toda la extensión del término, no sólo personal, entre otros.

4. ¿Cuáles son los riesgos asociados con la utilización de dispositivos personales por parte de los alumnos y profesores en la escuela y cómo se pueden mitigar?

El principal riesgo es que los dispositivos personales se convierten en puertas de entrada y facilitadores para los ciberatacantes. Por desgracia, los dispositivos personales no suelen tener una correcta postura de seguridad, lo que los convierte en muy vulnerables y fáciles de usar para lanzar multitud de ataques; no sólo están expuestos las personas propietarias de los mismos, sino que al conectarlos a redes de los centros, así como a sus servicios, pone en peligro a toda la institución.

Para mitigar este riesgo, los centros deberían disponer de una Política BYOD, siglas en ingles que significan “Trae tu propio dispositivo”, mediante la cual se hayan gestionado los riesgos y propuesto acciones y medidas de mitigación para los usuarios que quieran utilizarlos. Igualmente, es fundamental disponer de un buen diseño de arquitectura de redes y sistemas, donde existan redes segmentadas y una correcta protección de todos los activos corporativos.

5. En un entorno escolar, ¿Cómo pueden los padres estar mejor informados y participar en la protección de datos y la ciberseguridad de sus hijos?

Tomando conciencia de la importancia de este asunto. El primer paso sería dar un paso adelante y aprender e informarse del impacto tan desastroso que puede tener para con sus hijos la inacción o, peor aún, subestimar la criticidad de los riesgos asociados a la privacidad y ciberseguridad en sus hijos y con ellos mismos, pues dar ejemplo es imprescindible; por esto, un enfoque desde arriba hacia abajo es la base, ya que nuestros hijos nos imitan y si no nos tomamos en serio la Ciberseguridad y pensamos que no es para tanto, ellos lo percibirán y actuarán así por más que le formen de lo contrario.

Existen entidades y empresas que pueden colaborar en la educación y concienciación y de hecho, una simple propuesta que debería ser de obligado cumplimiento sería que los centros organizaran jornadas para toda la comunidad educativa y padres en las que se tratara la Ciberseguridad de forma práctica y atractiva; estos pasos construirían una conciencia e implicación general que ayudaría tremendamente. Y, que en el día a día, todos hiciéramos autocrítica sobre si somos responsables y llevamos a la práctica las recomendaciones de seguridad: esto tendría un efecto multiplicador en positivo, si nos convertimos en un ejemplo a seguir como adultos (padres y profesores).

7. ¿Qué consejos o capacitación en ciberseguridad consideras esencial para que los profesores estén preparados para enfrentar amenazas cibernéticas y enseñar a los alumnos sobre seguridad en línea?

Asumir la importancia de la privacidad y de cómo los datos, en especial la información personal, es monetizada.

Entender el modelo de negocio de las grandes compañías tecnológicas, la eternidad e indestructibilidad de la información que se genera y se comparte, por qué son gratuitas tantas aplicaciones y servicios, los efectos perniciosos del excesivo uso de los teléfonos móviles (computadores, videoconsolas, etc), el daño que está ocasionando la sobrexposición a pantallas a los niños pequeños y el impacto que está teniendo en su salud y desarrollo (existen estudios científicos muy preocupantes sobre ello), cómo los algoritmos de las Redes Sociales nos hacen adictos y están diseñados para usarnos en pro de un beneficio económico a costa de nuestra propia salud incluso, los riesgos asociados a la Inteligencia Artificial: fraude, desinformación y discriminación…

A partir del conocimiento de los riesgos y amenazas, se pueden construir modelos de seguridad efectivos. Esto es aplicable a las personas en el ámbito digital igualmente, por ello una vez entendido, asimilado y explicado los temas anteriores será fácil ser proactivo y precavido, no exponer datos personales, identificar estafas, ser consciente de su privacidad y del ejercicio de sus derechos.

Como objetivo de mínimos, sí que propondría que ningún profesor pudiera usar medios digitales con sus alumnos ni en clases, sin haber obtenido una formación que certificara sus aptitudes en Ciberseguridad. 

Sobre el autor: Isaac Carreras, licenciado en Ingeniería Técnica Informática de Sistemas, Ingeniería en sistemas. Co-Founder & CEO en Solutia Cybersecurity, Solutia Cybersecurity (SCS), empresa del Grupo Solutia, centrada en la protección de las organizaciones.