Actualidad sobre Educación

    seguridad techEn el marco de la Ley 25.326 de PROTECCION DE LOS DATOS PERSONALES todas las instituciones educativas (Quienes ya ha quedado determinado que si son sujetos de registro) deben comenzar a pensar en medidas que optimicen la seguridad de la valiosa información que poseen.

     

    Ley 25.326. Capítulo I. ARTICULO 2° (Definiciones).

     

    A los fines de la presente ley se entiende por:

    Datos personales: Información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables.

    Datos sensibles: Datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

     

    Ley 25.326. Capítulo I. ARTICULO 4° (Calidad de los datos).

    1. Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.

    Ley 25.326. Capítulo I. ARTICULO 9° (Seguridad de los datos).

    1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado.
    1. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.

    SITIACION ACTUAL.

    Teniendo en cuenta 30 Instituciones visitadas. La realidad del 100 % de ellas es que tienen redes no seguras, con productos de bajo costo, pero de configuración encapsulada donde en el mejor de los casos, si permiten algo como medida de seguridad es Clave de WiFi y Filtrado MAC.

    Dos técnicas insuficientes en el marco de medidas de seguridad institucional.

    Hemos detectado también que la totalidad de ellas están configuradas como una única red. Osea que la red de WiFi, la sala de computación y las computadoras de Administración están comunicadas dentro del misma grupo. En algunos casos que hemos detectado incluso vecinos a la institución que cuentan con la clave de WiFi.

    En el siguiente video ilustramos la Situación Actual y la Solución Propuesta. https://youtu.be/KVlPAt_guL0

    Una RED profesional está compuesta por dos factores:

    1. Equipos de alta gama administrables que nos permitan aplicar técnicas de seguridad adecuadas a las nuevas técnicas de Hackeo.
    2. Técnico de Redes atento a detectar intrusiones y capacitado en aplicar los Protocolos de configuración de Seguridad.

    Si bien una red profesionalmente segurisada es un poco más costosa, ésta los acercaría a una cantidad de beneficios colaterales con la misma inversión (Conectividad en las aulas, teleconferencias, cámaras de seguridad, etc).

    No olvidarse nunca que la información con la que contamos en nuestras instituciones tiene alto valor en las manos equivocadas. Información Sentible tal como condiciones de Salud u orientación religiosa de los alumnos, Regímenes legales especiales para algún alumno concreto en relación a sus tutores. Información concreta como Medios de pago, tarjetas de crédito, debito, números de cuentas bancarias de los padres o docentes. Etc.

    Si bien la medida más importante a realizar es a nivel de infraestructura,

    BRINDAMOS 11 CONSEJOS SOBRE BUENAS COSTUMBRES EN MATERIA DE SEGURIDAD.

    1. CAPAS DE PROTECCIÓN

    No esperar que un producto de seguridad por sí solo te proteja ante todas las amenazas posibles para tus datos. Contar con un paquete antimalware en todas las partes de la red (no olvides los smartphones, las tabletas Android, los servidores y todas las PCs).

    Pero también deberías tener un firewall en la puerta de enlace de la red escolar. Esto se configura en el Router.

    Algunos antivirus brindan licencias corporativas que por medio de la red permite ver que dispositivo está infectado y limpiarlo.

    1. IMPLEMENTA EL PRINCIPIO DEL MENOR PRIVILEGIO POSIBLE

    El principio del menor privilegio posible simplemente significa que ninguna persona, equipo o sistema debe tener acceso a cosas que no son estrictamente necesarias, de modo que sean inaccesibles para quienes no necesitan trabajar con dichos datos. Por ejemplo: ni los estudiantes en la sala de computación ni los vecinos conectados al WiFi de la escuela deberían tener acceso a la computadora de Administración con la que se acreditan los sueldos.

    1. ACTUALIZAR, ACTUALIZAR, ACTUALIZAR

    Aplicar actualizaciones y revisiones a todo el software es una de las cosas más importantes que puedes hacer para minimizar las vulnerabilidades. Cuando se administran sistemas complejos, muchas veces se prueban las actualizaciones antes de implementarlas; sin embargo, tener cuidado de mantener las demoras que este proceso implica en un mínimo.

    1. LAS CONTRASEÑAS NO SON SUFICIENTES

    Si estás protegiendo una cantidad muy grande de datos personales identificables, una sola contraseña puede no ser suficiente. Considera implementar la doble autenticación (2FA). Esto puede ser un control biométrico, como una huella digital, o una clave de un solo uso provista a los usuarios mediante una pequeña tarjeta de claves digitales o un token de hardware.

    1. ASEGÚRATE DE QUE TODOS LOS PROFESORES, ALUMNOS Y PERSONAL ESTÉN ELIGIENDO BUENAS CONTRASEÑAS

    Una buena contraseña es única, fuerte, fácil de recordar para el usuario, pero difícil de adivinar para otros. Eso significa que debería ser larga, incluso puede ser una frase en lugar de una o dos palabras. Debería contener letras en minúsculas y mayúsculas, números y caracteres especiales.

    Ejecutar un programa descifrador de contraseñas durante los inicios de sesión en la red para asegurarte de que nadie esté usando cosas como “qwerty” o “87654321″

    1. PROHIBIR QUE SE COMPARTAN LAS CREDENCIALES

    estudiar2Las escuelas suelen ser lugares amigables donde las personas colaboran estrechamente en sus trabajos, por lo que para muchos es natural compartir nombres de usuario y contraseñas con compañeros o dejar los equipos abiertos conectados a la red con su propio usuario. Lamentablemente, esta conducta puede perjudicar totalmente una de las mejores armas que tenemos para proteger los equipos: el análisis de registros.

    Si los sucesos guardados en los registros no se pueden atribuir con certeza a la persona que los ejecutó, resultará muy difícil descubrir lo que realmente ocurrió cuando algo salga mal. 

    1. CIFRA LOS DATOS EN TODAS PARTES

    Cuando tenemos algo valioso, lo cerramos bajo llave mientras no se usa. Lo mismo ocurre con los datos: si tienes información valiosa, debe estar cifrada mientras no se usa directamente. Es decir, “Si está almacenado, cífrarlo.” Cuando se necesita acceder a los datos o se envían a través de la red, deben enviarse mediante una conexión cifrada.

    Con técnicas como DoS (Deny of Service: Denegación de Servicio) y MitM (Man in the Middle: Hombre en el Medio) atrapar información mientras va por los cables, antes de que llegue a destino son tácticas de robo de información.

    1. REALIZA COPIAS DE SEGURIDAD

    Las copias de seguridad de los datos y los sistemas constituyen la última línea de defensa (y la mejor). Aunque no evita que nos roben la información, sino que no la perdamos nosotros.

    1. CAPACITACIÓN DE SEGURIDAD Y TOMA DE CONCIENCIA

    Las capacitaciones de seguridad y la toma de conciencia de empleados y alumnos es imprescindible, además de explicar cómo funcionan y por qué son necesarias.

    1. ROMPER DEFINITIVAMENTE CON EL PASADO

    Cuando los empleados rotan de empleo y los alumnos dejan la institución, es necesario cerrar sus accesos a los sistemas de la escuela. El uso de credenciales “persistentes” que tendrían que haberse suspendido es una de las formas más comunes del abuso “interno” de sistemas.

     

    1. CONFIABILIDAD DEL EXTERIOR

    Preocupaciones por el encargado de la tecnología y seguridad de la información, por los datos a los que tiene acceso o porque en el último desacuerdo se notó que temblaron las redes.

    Buscar alguien de confianza, externo a la institución que realice Auditoria y Backups de toda la información necesaria para seguir funcionando sin problema en el caso que sea necesario, es una medida de prevención no menor a tener en cuenta.