Experiencias en Seguridad en el uso de las TIC e IT Governance en los centros educativos

Integra Información y Comunicación, S.L. viene desarrollando durante varios años su iniciativa eGovit para promover la seguridad y el correcto uso de las tecnologías en los centros educativos y las instituciones. Como veremos en este artículo, y aunque a lo largo del tiempo hemos detectado algunos avances, la realidad que muchas veces nos encontramos en las auditorías de seguridad nos anima a continuar sensibilizando en la tipología de riesgos que existen en el uso de las TIC.

A modo de resumen, podemos decir que el estado de la seguridad en la mayoría de los centros, a día de hoy, refleja el desconocimiento que existe sobre las graves deficiencias de seguridad relacionadas con el uso de las nuevas tecnologías. Simplemente no se percibe la sensación de riesgo. Aunque, por un lado, la seguridad parece deseable, al mismo tiempo no es un asunto que parezca prioritario a pesar de la creciente dependencia en las TIC… hasta que es demasiado tarde.

De repente, el centro sufre un problema grave. En la gran mayoría de casos, tiene que ver con la usabilidad en sus aplicaciones o porque percibe que no llegan los correos electrónicos. Otras veces, no entienden por qué sus usuarios se quejan de la velocidad de la red a pesar de haber incrementado recientemente los recursos de conectividad. En alguna ocasión, surge aquella llamada que informa al centro que va a ser auditado o, incluso, que algún padre ha contactado con relación a una foto que no debería aparecer publicada en la Web o las Redes Sociales. La casuística es interminable.

Es en este momento, y solo entonces, cuando la organización considera necesario acudir a un profesional para que realice un análisis de sus infraestructuras y de tráfico. Y es así mismo cómo se originan la gran mayoría de solicitudes para que Integra haga una auditoría de seguridad.

Para entonces, normalmente, la acumulación de deficiencias en el diseño, en el equipamiento y electrónica de red, así como en su configuración, hace que el nivel de descontrol técnico-jurídico se haya elevado a su máximo exponente. En consecuencia, el resultado de la Auditoría se traduce en amplias dosis de sorpresa e incalculable decepción.

Y no es para menos. Los datos indican que:

  • Unos pocos usuarios consumen el 90% del tráfico por lo que la sensación es que los tiempos de respuesta de la red son inadecuados.
  • El tipo y tiempos de descargas causan ralentizaciones continuas porque no existe una política de privilegios de uso de la red. Esto significa que todos los usuarios compiten en igualdad de condiciones por los recursos de la red sin que se califiquen las tareas ni se prioricen en el tiempo. Peor, hay cortes y micro-cortes en las comunicaciones que se percibe por parte del centro como que las aplicaciones que utiliza, que no tienen nada que ver, no funcionan.
  • No llegan los correos porque existen problemas de seguridad o virus, la red está continuamente infectada y, en muchos casos, el proveedor de comunicaciones ha cortado el puerto 25 o aparece la IP del centro en listas negras.
  • Las redes y recursos de conectividad se utilizan, sin conocimiento del centro, para la descarga de películas, música y contenidos: unos autorizados por el centro y otros no – en algunas instancias aquellos que están totalmente prohibidos.
  • No hay control de las aplicaciones que pueden instalar los usuarios ni del impacto que puede tener su uso en la red, por lo que muchas veces entidades ajenas al centro están extrayendo o manipulando datos restringidos, de los que el centro es el único responsable.
  • Las líneas de comunicaciones no están balanceadas, por lo que parece que es necesario incrementar periódicamente el ancho de banda – y los costes asociados a la conectividad – mientras que muchas veces existen en el centro enlaces infrautilizados.
  • El desconocimiento del uso de la red no permite definir el escenario tecnológico actual y mucho menos entender cómo planificar su expansión para la incorporación o evolución de las TIC implantadas. Muchas veces, el centro no dispone de esquemas de red o los que existen no reflejan la realidad de las instalaciones, el cableado de red está sin etiquetar, hay equipamiento con distintas velocidades de funcionamiento en red que impide aprovechar los recursos que el centro, no obstante, paga mensualmente, etc.
  • Las infraestructuras WIFI están mal configuradas, muchas veces como redes domésticas, por lo que su rendimiento es muy bajo y se colapsan con facilidad.
  • Las medidas básicas de configuración de los ordenadores en redes de área local tienen graves fallos de seguridad, por lo que los equipos se infectan continuamente y entorpecen el trabajo y el proceso de enseñanza-aprendizaje.
  • Los procedimientos y procesos que, por un lado, pueden figurar perfectamente descritos en Documento de Seguridad de la LOPD, ni se cumplen ni se interiorizan, por lo que existe el riesgo de multa y sanción por parte de la AEPD, en caso de auditoría.

Esta es la realidad en la mayoría de los centros que auditamos. No es de extrañar, ya que la gran mayoría carece de las herramientas necesarias para así conocer el uso que se está haciendo de su red y, mucho menos, de aquellas que les permitan ejercer algún tipo de control sobre la misma.

Es cierto que estas herramientas no eran necesarias. Sin embargo, ahora no es posible mantener los mismos requerimientos de seguridad que antes de la implantación y el uso intensivo de plataformas educativas y de formación online en el centro.

La auditoría se convierte, por tanto, en un aprendizaje en seguridad y, acto seguido, en una prioridad para el centro y la organización. Este es un primer – y necesario – paso en la hoja de ruta de calidad a través de una implantación coherente y segura de las TIC, que permite al centro garantizar la seguridad en tres aspectos clave:

  • Prevención: Tener un plan de implantación TIC en el centro viable e interiorizar la implantación de la LOPD
  • Detección: Implantar un plan técnico-jurídico y disponer del equipamiento de seguridad acorde a la tecnología implantada en el centro, tal que permita conocer y controlar todos los aspectos relacionados con la seguridad técnico-jurídica
  • Reacción: Disponer de un procedimiento, una aplicación y un equipo de monitorización de la red que permita, en caso de incidencia, ejecutar y posteriormente actualizar el plan de seguridad y de contingencia

Solamente una vez que se implanta este marco de seguridad en el centro, podemos hablar de calidad. No puede darse un escenario de calidad en el uso de las TIC sin abordar seriamente la seguridad.

En breve: Calidad = TIC “+” Seguridad (TIC)

Dicho esto, y ya en un sentido más amplio, para conseguir una implantación TIC de calidad es necesario:

  • A nivel centro: Medición basada en indicadores que están asociados a los objetivos de consecución de Líneas Estratégicas del modelo de calidad ya implantado en los centros
  • A nivel Equipo de Titularidad: Procesos de control y monitorización que ha de elevar los informes, en lenguaje claro e inteligible, a la Alta Dirección para la toma de decisiones.
  • A nivel Sector e Institución: Procedimientos automatizados que ayuden a las instituciones que representan a los centros a liderar a través del conocimiento en todo lo relativo al cumplimiento o mejora de los objetivos estratégicos para el sector, con independencia de la plataforma educativa que utilice cada uno de los centros asociados.

Experiencias_en_Seguridad
Con la intención de sensibilizar y apoyar a los centros e instituciones, Integra ha desarrollado un Portal y una herramienta para potenciar el correcto uso de la tecnología y el gobierno a través de las TIC (www.egovit.es) y ofrece las siguientes soluciones:

  • Auditoría de Red permanente (incluye equipamiento de Control de Red)
  • Auditoría Técnica (incluye revisión y mantenimiento de la LOPD)
  • Implantación del Plan Técnico-Jurídico del centro
  • Implantación de la solución Integral de Seguridad y de Gobierno del centro

Integra ha auditado en distintas modalidades a más de 130 centros e instituciones, e implanta en distintos clientes las recomendaciones de la auditoría Técnica y el Plan Técnico-Jurídico. A día de hoy, la empresa mantiene múltiples acuerdos con distintas instituciones y Equipos de Titularidad, entre los que figura un contrato para la implantación de la solución Integral de Seguridad y de Gobierno en todos los centros de una fundación de ámbito educativo.

 

Diego Echeverri Uribe
Director Tecnológico
Integra Información y Comunicación, S.L.

Enrique Laborde Malo de Molina
Director Gerente
Integra Información y Comunicación, S.L.

Madrid, 4 de Noviembre de 2013