Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

SECtoriza2 Educación

El sector de la educación engloba todo tipo de organizaciones que se dedican a la enseñanza o a actividades culturales y deportivas, como centros educativos o academias. La implantación de las nuevas tecnologías es importante en este tipo de instituciones y empresas, tanto para su actividad didáctica y sus procesos internos como para la comunicación con otros centros, alumnos, profesores, etc. Además, se hace un uso intensivo de equipos informáticos y redes cableadas e inalámbricas. Por último, cabe resaltar que en estas organizaciones, por su propia actividad, se tratan datos de las personas que se matriculan para aprender, y en ocasiones estos datos pueden ser de los especialmente protegidos, como es el caso de los datos de menores o de salud.

Si perteneces a este sector y quieres evitar situaciones que puedan afectar a la continuidad de los servicios que ofreces o comprometer la imagen y reputación de tu negocio, te mostraremos los pasos que debes tener en cuenta para proteger la información y los sistemas que la gestionan.

Lo que no se mide no se puede mejorar. Por ello, el primer paso que debes dar para proteger tu negocio es identificar los riesgos a los que está expuesto. Seguramente seas consciente de algunos, pero quizá existen otros que no conozcas y que, en caso de materializarse, pondría en graves aprietos a tu empresa.

Para ayudarte a evaluar los riesgos a los que se enfrenta tu organización, te recomendamos utilizar nuestra Herramienta de Autodiagnóstico. A través de una serie de preguntas esta herramienta te guiará para que puedas determinar cómo es el estado actual de ciberseguridad en tu negocio, qué riesgos lo amenazan y qué aspectos debes mejorar.


Algunas de las amenazas que afectan a las empresas de este sector son ataques de ransomware, fugas de información, denegaciones de servicio, suplantaciones de identidad o ataques contra la página web corporativa. Ser conscientes de su existencia y conocerlas a fondo es esencial para poder evitarlas. Por este motivo, te recomendamos suscribirte a nuestro servicio de boletines, y así, recibirás un mensaje en tu correo electrónico cada vez que se publique algún aviso de seguridad.

Los ciberataques más comunes llegan a las empresas a través del correo electrónico. Los siguientes avisos de seguridad son un recopilatorio de ejemplos de correos que se utilizan para atacar a organizaciones de este y otros sectores.

Además de detectar las amenazas que llegan a través del correo electrónico, se deben mantener todos los sistemas actualizados con independencia de que sean los utilizados internamente, como el correo electrónico, los navegadores o los propios sistemas operativos, así como los necesarios para dar cualquier servicio desde Internet, como por ejemplo, la página web del centro. Algunas muestras de este tipo de avisos son:

Avisos

Avisos de seguridad

Actualizaciones

Actualizaciones de seguridad

La formación y la concienciación en ciberseguridad son siempre una apuesta segura. Conocer cómo se debe tratar la información y los sistemas que la gestionan de forma segura es clave para que tu centro no se vea afectado por un incidente de seguridad. Desde INCIBE hemos desarrollado dos servicios que te ayudarán durante el proceso.

En primer lugar, te recomendamos que eches un vistazo a la formación sectorial. Consiste en una serie de cortos vídeos interactivos en los que dos empresarios de tu sector, Laura y Miguel, te mostrarán todo lo que tienes que saber para proteger tu empresa. Obtendrás formación específica y personalizada para empresas dedicadas a la educación.

 

Después puedes probar a entrenar a tu equipo en la respuesta a incidentes con un juego de rol. En él te proponemos diferentes escenarios que afectan comúnmente a los centros educativos. Con estos retos tú y los miembros de tu equipo deberéis gestionar distintas situaciones de crisis. Mediante la práctica deliberada sentarás las bases para dar una respuesta ordenada y coordinada ante cualquier incidente de seguridad. Aunque tu sector profesional podría tener que hacer frente a los cinco escenarios, puedes empezar por:

 

Infección por ransomware

Fuga de información

Ataque por ingenieria social

Los centros educativos se caracterizan por una alta implementación de las nuevas tecnologías en los procesos internos, además de para fomentar su uso entre los alumnos. También hacen, en muchos casos, un uso intensivo de los sistemas de comunicación, en particular a través de dispositivos móviles. Por ello, el primer paso será proteger la red privada de la organización de accesos no autorizados, en caso de disponer de conexión wifi se deberá proteger adecuadamente. Se establecerá una contraseña robusta y se desactivará la función WPS. Si la organización ofrece conexión wifi a los clientes esta será una subred distinta a la utilizada por la organización de forma interna. El acceso al router también se protegerá por medio de credenciales robustas. Por último, las tomas que dan acceso a la red por medio de cable Ethernet también se deberán proteger, evitando que estas se encuentren en lugares públicos o con poco control.

No hay que olvidar también implementar una política de copias de seguridad. De esta forma, se salvaguardará la información ante cualquier clase de error o ataque informático como puede ser un ransomware. No menos importante es verificar que todos los sistemas utilizados en la organización están actualizados a la última versión disponible. Así, se corregirán las vulnerabilidades descubiertas y se contará con las últimas funciones implementadas por los desarrolladores.

Al gestionar datos personales de los usuarios, donde puede haber información sobre menores o salud, se seguirán las pautas indicadas en la LOPDGDD y el RGPD. Mantener su privacidad y accesibilidad, además de un derecho de los alumnos, es fundamental para asegurar la continuidad del centro educativo. Tener identificados todos los procesos en los que intervienen este tipo de datos, verificar quién los puede tratar y utilizar el cifrado cuando sea necesario, son algunas medidas que tendremos que tomar y que además de proteger la privacidad de nuestros alumnos nos evitará algunas sanciones y daños de imagen en caso de que ocurra algún incidente.

Por eso, estos datos, y en general toda la información del centro, se deben proteger de accesos no autorizados. Los miembros de la organización únicamente tendrán los permisos necesarios para desempeñar su labor. El cifrado de los datos es otra forma de protegerlos ya que únicamente serán accesibles por quien conozca la contraseña de descifrado. Además, esta deberá ser lo más robusta posible.

Nuestra actividad también puede verse comprometida si las herramientas utilizadas para la gestión de nuestros procesos quedaran, por alguna causa, inaccesibles o inactivas. Por ello, se debe contar un plan de contingencia y continuidad de negocio que abarque todos los sistemas necesarios para el desarrollo de la docencia.

Con motivo de la crisis sanitaria provocada por el COVID-19, la forma de educar ha cambiado implantándose la docencia a distancia. Esta circunstancia conlleva la utilización de tecnologías, como las herramientas de trabajo colaborativo en la nube, las aplicaciones de videollamada y otras necesarias para el teletrabajo. Todas ellas deben protegerse y utilizarse adecuadamente siguiendo estándares de seguridad para evitar que los ciberdelincuentes puedan acceder a información confidencial de nuestros alumnos, en ocasiones menores, o interrumpir las clases o alterar de alguna otra forma nuestros sistemas.

Los docentes, administrativos y otras personas en la organización también deben estar formados en materia de ciberseguridad, de manera que conozcan las prácticas que pueden suponer riesgos para la seguridad del centro.

Si te has decidido a implantar soluciones profesionales o has sido víctima de un incidente y necesitas ayuda, en Protege tu empresa disponemos de un Catálogo de empresas y soluciones de ciberseguridad donde encontrarás las soluciones y servicios que más se adaptan a tus necesidades. Podrás aplicar distintos filtros para que la búsqueda sea más exacta según los requisitos de tu organización.


Reporte de incidentes y ayuda al empresario

Reporte de incidentes y ayuda al empresario