La transformación digital amplió las oportunidades para la educación superior, pero en paralelo también incrementó la exposición de las universidades a nuevos riesgos vinculados con la protección de la información, la privacidad de los datos y la continuidad de los servicios tecnológicos.
En un entorno donde conviven grandes volúmenes de información académica, administrativa y personal, la seguridad de la información dejó de ser una preocupación exclusivamente técnica para convertirse en una responsabilidad institucional estratégica y transversal.
En esta entrevista, Daniel Villanueva, Subdirector de Planeación y Desarrollo de la Dirección General de Bibliotecas y Servicios Digitales de Información de la Universidad Nacional Autónoma de México (UNAM) y profesor del curso online ‘Fundamentos y Buenas Prácticas de Seguridad de la Información en Entornos Universitarios‘, que se imparte desde el Consorcio Iberoamericano para Educación en Ciencia y Tecnología (ISTEC), analiza los principales desafíos que enfrentan actualmente las instituciones de educación superior, las amenazas más frecuentes, el rol del factor humano y las buenas prácticas necesarias para fortalecer la protección de datos y la gestión de accesos.
Además, comparte recomendaciones para desarrollar una cultura organizacional orientada a la prevención, la respuesta ante incidentes y la adopción de estándares internacionales que permitan construir entornos universitarios más seguros, resilientes y preparados para los desafíos de la transformación digital.
En un contexto de creciente digitalización, ¿cuáles son hoy los principales desafíos de seguridad de la información que enfrentan las universidades y por qué se han vuelto tan relevantes?
Desde el punto de vista de la Seguridad de la Información, para las universidades, existen muchos desafíos, pero destaco tres fundamentales:
1.- La ausencia de marcos normativos institucionales y hegemónicos para el manejo de la información en las universidades lo que genera vacíos en la protección de datos personales y en la claridad de responsabilidades.
2.- Falta de inversión y profesionalización de los recursos humanos dedicados a la seguridad de la información, junto con una escasa cultura institucional de prevención.
3.- Los ciberataques son cada día más frecuentes y sofisticados, lo que permite a los ciberdelincuentes crear «bots» o estrategias de intrusión que permiten de manera masivas localizar las vulnerabilidades de los sistemas.
4.- Debemos de saber que existen brechas digitales y desigualdades de acceso en nuestra población, que exponen a estudiantes y personal con menos recursos o habilidades a mayores riesgos al depender de dispositivos compartidos, desactualizados o uso de redes públicas.
5.- También no nos hemos dado a la labor de elaborar “planes de continuidad académica y resiliencia institucional”, que garanticen la operación de plataformas educativas y repositorios digitales durante incidentes.
Lo anterior aunado a que en muchos países no hay una legislación clara que permita perseguir a los delincuentes.
Las universidades deben evaluar los activos digitales que poseen, y tener medidas de seguridad para contrarrestar ataques, preservar activos y prever que los activos digitales puedan ser migrados a formatos que sean más flexibles para evitar pérdidas de información por cambio tecnológico.
En pocas palabras, se debe crear una “gobernanza en TI (incluye la seguridad de la información), que prevenga, eduque, forme diseñe, adquiera y tome decisiones sobre la vida digital de las universidades con base en criterios claros y las mejores prácticas.
Cuando hablamos de seguridad de la información en entornos universitarios, ¿qué principios fundamentales deberían comprender tanto autoridades como docentes, administrativos y estudiantes?
En el entorno de la “gobernanza que se menciona anteriormente”, en lo relativo a las autoridades, coadyuvar en el desarrollo de campañas y una cultura de seguridad personal informática, donde se proporcionen cursos de detección de correos o mensajes maliciosos, y se vean las modalidades más conocidas de intrusión, como el phishing, la ingeniería social, los ataques de fuerza bruta, etc.
Desde las áreas informáticas, adoptar una cultura de Seguridad de la Información, como son la confidencialidad, la integridad de los datos, la disponibilidad de los mismos y la autenticación, entre otros.
Es importante elaborar programas de respuesta ante incidentes donde cada miembro del área de TI sepa qué hacer en caso de ser vulnerados.
Las instituciones educativas suelen manejar grandes volúmenes de información sensible. ¿Cuáles son las amenazas, vulnerabilidades o riesgos más frecuentes que suelen observarse en este tipo de organizaciones?
En seguridad de la información existe un modelo que describe siete capas a prever para garantizar la seguridad de la información. Algunos autores agregan un octavo elemento denominado «Factor humano», el cual suele ser el elemento más vulnerable de la ecuación al ser quien en ocasiones omite controles, abre accesos, omite controles, etc.
En general, las universidades deben reconocer que la seguridad de la información no es solo un asunto meramente técnico, sino un eje estratégico que involucra a toda la comunidad.
La combinación de amenazas externas, vulnerabilidades internas y riesgos institucionales exige una respuesta integral que abarque infraestructura tecnológica, políticas claras, capacitación transversal y una cultura de seguridad empezando por las comunidades.
Para el caso de los datos personales, si se adoptan estándares universales respecto a la protección de datos personales como los de la Unión Europea RGPD/GDPR (Reglamento General de Protección de Datos), Normas ISO 27000 o la normatividad local, se podrá tener una estrategia para garantizar el resguardo de los datos.
Además de generar políticas institucionales de protección de datos personales, donde la comunidad conozca cuáles son sus derechos y cuál es la obligación de la universidad respecto al resguardo de este tipo de información.
¿Qué buenas prácticas considera indispensables para fortalecer la protección de datos, la gestión de accesos y el uso seguro de tecnologías dentro de una universidad?
Desde la gobernanza de TI y Seguridad de la Información, crear un ecosistema institucional de seguridad informática que involucre a autoridades y comunidad:
- Adoptando buenas prácticas en el acceso y uso de la información disponible.
- Incorporando normas de protección de datos personales, como la ISO 27000, el RGPD/GDPR, gestión de accesos, actualización constante de programas y sistemas informáticos.
- Creando planes de contingencia y respaldo de información.
- Preservando aquella información que sea muy importante preservar (adopción de un modelo OAIS ISO 14721:2012), por ejemplo para tesis y trabajos recepcionales, crear planes de contingencia en caso de incidentes, entre otros.
Muchas veces los incidentes comienzan con señales pequeñas. ¿Cómo puede una institución reconocer situaciones de riesgo y qué procedimientos básicos deberían activarse ante un incidente de seguridad?
La prevención es lo más importante, las señales de alerta se detectan por medio del análisis de la información que los sistemas proporcionan como actividades que salen «de la normalidad» en cuentas de correo, accesos inusuales, intentos de inicio de sesión fallidos, accesos desde ubicaciones no habituales, bloqueos de acceso, detección de archivos sospechosos, envío o cosecha de grandes volúmenes de información.
Es decir, todo aquello que rompa con el uso habitual de los sistemas debe ser monitoreado para conocer el origen de la acción y reportada.
También es deseable que la misma institución difunda por medio de sus canales de comunicación a su comunidad algunas recomendaciones sobre el uso de los sistemas y servicios dentro de la universidad.
Más allá de la tecnología, ¿cómo se construye una cultura organizacional orientada a la prevención y protección de la información y qué podrán llevarse los participantes del curso “Fundamentos y Buenas Prácticas de Seguridad de la Información en Entornos Universitarios”?
Se construye a partir de la adopción de buenas prácticas en los distintos niveles de usuarios y comunidades. También haciendo análisis de riesgo respecto a los activos que permita identificar las áreas de oportunidad respecto a software, infraestructura, repositorios, redes, usuarios. Pero, sobre todo, sensibilizar a cada usuario respecto a las medidas mínimas que debe adoptar para el uso de las tecnologías, conocer de manera práctica los diferentes medios por los cuales pueden ser vulnerados y adoptar medidas de seguridad respecto a cuentas de correo y otros sitios.
Además, hacer énfasis que respecto a la tecnología «NADA ES GRATUITO», todo conlleva una contraprestación, incluso el uso de aplicaciones de redes sociales, conocer e identificar sitios seguros. Todo esto a manera de prevención.