Modelo IT Governance/IT Security en Ámbitos Educativos

Durante muchos años, se ha identificado un apalancamiento indiscutible entre uso de las TIC y el aumento de la productividad y rentabilidad de la empresa y, crecientemente, se percibe de manera muy similar con respecto a la mejora en la calidad educativa. Un futuro ya no muy lejano apunta en esta dirección: educación inseparable de las TIC implica calidad, y a la necesidad de un proceso o un modelo que gobierne, gestione y apoye los objetivos a cumplir.

Un plan educativo de calidad que depende del uso de las TIC exige asegurar que se llevan a cabo las medidas necesarias para proteger a todos los usuarios – y de manera prioritaria al menor – de los riesgos latentes, sin fronteras, ni horarios, ni aviso previo, propios de Internet. Y no solamente eso, sino además disponer de los medios necesarios para que dentro del perímetro del Centro no sea posible cometer delitos informáticos.

De hecho, a día de hoy, la complejidad tecnológica de las infraestructuras ya instaladas en el centro, que nos sirven de apoyo para el uso de las TIC, requiere muchas veces de medidas suplementarias y revisiones constantes de su estado. Ante todo, la eficacia de las medidas instaladas en el centro dependen del conocimiento de todos los usuarios para utilizar la tecnología que ponemos en sus manos – y que por cierto – les afecta por la responsabilidad “in vigilando” a todos los que estén involucrados en el tratamiento de la información: padres, profesores, alumnos, administradores…

Por lo tanto, es ya una necesidad fundamental disponer de un modelo de integración de las TIC, con el concepto de seguridad como base, que nos permita operar correctamente.

Más allá de la seguridad, lo deseable sería que este modelo incorpore a su vez los fundamentos para la evolución de la educación concertada contando, además, con el suficiente grado de elasticidad para incorporar a la gran mayoría de los centros y a sus asociaciones. Esto significa incorporar al modelo, además del centro y a la familia, al centro dentro de su agrupación de centros – fundaciones, equipos de titularidad y congregaciones. Significa además, integrar a las instituciones que conforman a las agrupaciones de centros y los representan.

Suena como un proceso complicado… hasta que se perciben las bondades y sinergias que se podrían realmente devengar con la capacidad de plantear objetivos educativos y mejoras a largo plazo, pautar requerimientos tecnológicos a gran escala con el resultante ahorro de coste, y educar en total sintonía con la gestión y gobierno necesarios para crear escenarios de creciente calidad educativa, inseparablemente de las TIC.

Esto implica reflexionar y derivar aquellos objetivos clave para que el modelo permita la evolución de la enseñanza concertada, y por tanto, que el modelo incorpore las necesidades especificas de información – en tiempos y datos – para así agilizar la toma de decisiones tanto a nivel de gestión como de gobierno en el colectivo y en cada uno de los centros asociados.

La integración de estas dos perspectivas – seguridad y gobierno – para la correcta y ordenada integración de las TIC, y su evolución, conforman la base de nuestro modelo de IT-Security & IT-Governance para la Educación. Esta iniciativa es un esfuerzo que se ha iniciado por Integra Información y Comunicación y en el que colaboran el Institute of Audit & IT Governance (IAITG), en conjunto con CIPDI y otros partners.

Debido a los distintos grados de implantación de seguridad en los centros, la piedra angular del modelo consiste en el cumplimiento de los requerimientos jurídicos y, en una creciente y ordenada integración de medidas de seguridad. De esta manera, la implantación progresiva de la base del modelo implica un avance hacia un proceso de calidad en la implantación de las TIC, y por tanto en la educación, y tiene las siguientes características:

  • Es incremental “de abajo hacia arriba”
  • Su piedra angular es el cumplimiento de las normativas y leyes vigentes que afectan al entorno educativo
  • La creciente implantación aumenta la seguridad y la calidad
  • Culmina con una fase de Certificación que así lo verifica

La presentación gráfica del modelo se aprecia en la siguiente figura.

SolucionesAvanzadasSeguridad_2

La cadena de valor de cada una de las franjas está asociada con servicios existentes, y otros nuevos, que en un principio son:

  1. Elaboración del Documento de LOPD
  2. Elaboración del Documento Interno de Seguridad
  3. Implantación del RIS
  4. Integración de equipos, formación, tutorización y defensa legal
  5. Instalación de equipamiento y servicios de Monitorización
  6. Auditoría de Seguridad
  7. Certificación

Los puntos del 1 al 4 incluyen, casi en su globalidad, el segmento técnico-jurídico que ya está en marcha en Integra y para el cual existen distintos servicios ya disponibles. La importancia de crear nuevos servicios de Monitorización, Auditoria y Certificación – puntos 5 a 7 – no solo incrementan el nivel de seguridad sino que garantizan el funcionamiento idóneo del centro dentro de un modelo de calidad de la integración de las TIC en la enseñanza, y que además se pueda certificar.

Modelo de IT-Security & IT-Governance para la Educación: Vista de Pájaro

Habiendo definido la base de nuestro modelo de IT-Governace y establecido los procesos de seguridad para el segmento familia–comunidad educativa–centro, procedemos a integrar la perspectiva de las instituciones que conforman o agrupan los centros y a sus objetivos.

Partiendo de la Pirámide de Maslow, esbozamos el modelo y nuestras soluciones TIC de seguridad y de IT Governance.

basemodeloIT

A día de hoy, estamos trabajando en la capa superior de “auto-superación” o de IT Governance. Este nivel engloba un modelo de Corporate Governance que incluye los objetivos y necesidades específicas de información de las instituciones que representan a los centros – a nivel nacional, autonómico y a las fundaciones/equipos de titularidad. Cabe resaltar que los objetivos y necesidades de las instituciones se proyectan a un futuro previsible, donde el nivel de conocimiento de las TIC y la ubicuidad de medios y aplicaciones posibiliten la generación de datos clave en tiempos muy cortos – lo cual se espera con la incorporación al colectivo de profesores y administradores de la denominada “generación Internet”.

Una vez desarrollada la capa de IT-Governance, será posible evaluar el modelo de IT-Security & IT-Governance para la Educación en su conjunto y validar cada una de las franjas, de arriba para abajo, hasta llegar al nivel físico, según la figura. Esta primera iteración resultará en cambios que permitirán la optimización del modelo, y similarmente, distintas necesidades y nuevos objetivos resultarán en futuras iteraciones del modelo, lo que permitirá su evolución a futuro.

Existen distintos niveles de certificación en IT-Security & IT-Governance que se pueden integrar para los Centros educativos:

  1. LOPD – Código Tipo
  2. RIS
  3. Sistema de Gestión de la Seguridad (ISO 27000 parcial)
  4. Monitorización
  5. Gestión de Servicios TIC (ISO 20000 parcial)
  6. Gestión de calidad (ISO 9000 parcial)

Para que el Modelo de IT-Security & IT-Governance para la Educación sea efectivo y tenga éxito sería necesario contar con alguna facultad que tenga experiencia y que ofrezca formación/cursos en el ámbito de IT-Governance, además de contar en algún órgano regulador de renombre. Esto permitirá, por un lado, desarrollar un Código Tipo para la Escuela Concertada y un ISO (UNE) certificable que sirva como referencia (best practices) y guía de la implantación del modelo.

 

 

Antoni Bosch Pujol
Institute of Audit & IT-Governance
Director General

Enrique Laborde Malo de Molina
Integra Información y Comunicación, S.L
Director Gerente

26 de Septiembre de 2011