Seguridad en el Entorno Educativo

Por:  Salatiel Hernández

Uno de los pilares fundamentales de la seguridad de la información es la educación ya que a partir de ahí inicia el proceso de crear una cultura de protección y resguardo de la información en las instituciones.

Si colocáramos en la palestra el tema de seguridad en el entorno educativo y, nos planteáramos preguntas como ¿qué papel cumplen las instituciones educativas en la protección de sus entornos académicos?,¿la administración está enfocando sus objetivos en proteger y ser ejemplo de lo que profesan a lo interno de las aulas?, ¿están plenamente identificadas dentro de las instituciones las debilidades que existen en sus entornos?, podríamos entonces discriminar cuáles aspectos y/o medidas de seguridad se pueden contemplar para mejorar los procesos de formación desde su concepción.

El entorno educativo presenta múltiples escenarios de riesgo para la información que bien merecen ser atendidos, de ahí que, la principal tarea de este escrito consiste en describir los aspectos esenciales para garantizar la disponibilidad, integridad y confidencialidad de la información y que a su vez se contribuya a producir y generar aportes valiosos para quienes realizan un proceso de formación y/o simplemente son parte de él.

Sin importar si la institución se encuentra en el sector privado o público, se necesita considerar la protección de diversos espacios que hacen vulnerable al personal docente, administrativo y estudiantil, y dentro de los cuales destacan los siguientes:

  • Infraestructura física: aspectos como la vigilancia por medio de cámaras, agujas para el control de acceso, puedan ser aprovechados como mecanismos de protección.
  • Componentes y equipos: Para un adecuado uso de las computadoras, switches, routers, se pueden emplear mecanismos como líneas base de seguridad, instalación de parches de seguridad y actualizaciones de software.
  • Configuración de Red: Las redes alámbricas e inalámbricas necesitan una apropiada configuración, por lo que se deben considerar elementos tales como: factor de riesgo y privilegios mínimos, entre otros.
  • Comunicaciones: Utilizar redes privadas virtuales (VPNs), certificados web y trasmisiones seguras basadas en protocolos como SSL/TLS, en las comunicaciones.
  •  Datos e información: Documentación sensible como los expedientes de docentes y estudiantes, deben estar en unidades, equipos o dispositivos cifrados, respaldados periódicamente y con acceso limitado.
  • Videovigilancia: En instituciones educativas que utilizan mecanismos como videovigilancia (CCTV), GPS o herramientas de administración remota, se han conocido varias debilidades y problemas. Ante esto, consideraciones como tapar la cámara web del equipo, utilizar contraseñas robustas y cambiarlas regularmente, entre muchas otras, representan tópicos valiosos para tomar en cuenta.
  • Proceso educativo y formación de la cultura: La labor docente debe estar en función siempre de prevenir, instruir y guiar en el uso correcto de aquello que sea parte de su proceso de enseñanza-aprendizaje y en los peligros que se pueden presentar por una utilización indebida
  • Capacitación de profesionales de la educación: La formación correcta en seguridad (asociada a la tecnología y afines) propicia el uso eficiente y efectivo de los recursos y además fortalece a los actores que la reciben.

 

Bajo lo anterior queda expuesta no solo la necesidad de estar preparados, previniendo y asegurando cualesquiera que sean los entornos en los que nos desarrollemos, sino también la importancia de poder recuperarnos y volver al estado en el que estábamos posterior a la ocurrencia de un incidente.

Las instituciones educativas presentan vulnerabilidades y amenazas asociadas a su contexto, por lo que resulta ideal sensibilizar a las autoridades pertinentes (Ministerios y Direcciones Regionales) y altos mandos de estas instituciones (directores, coordinadores,) para que asuman las medidas necesarias que aseguren a la institución como tal, a sus equipos e instalaciones y a la población.

 

salatielMsc. Salatiel Hernández Porras

Estudiante: Maestría Ciberseguridad

Certificaciones: ISO 27001

LinkedIn

Las opiniones expresadas en este comentario son de exclusiva responsabilidad del autor y pueden no coincidir con las de la Universidad Cenfotec.

Cenfotec Software House beneficiará a Pymes y asociaciones sin fines de lucro

Programa de UCenfotec desarrollará y diseñará prototipos, web, apps, bases de datos

http://www.cenfotecsoftwarehouse.com

Prototipos, desarrollo y diseño de webs, apps, pruebas de calidad de software; entre otros, forman parte de los servicios que brindará la UCenfotec desde su proyecto.

Se trata de Cenfotec Software House emprendimiento académico y profesional de la UCenfotec que brindará a sus estudiantes la oportunidad de brindar servicios a la comunidad, supervisados por docentes expertos en distintas áreas, todas vinculadas con la tecnología, a precios muy asequibles.

Cenfotec Software House nace como complemento de formación que permitirá a los estudiantes vivir experiencias de trabajos reales con un cliente final, alineado con la metodología de proyectos característicos de la Universidad Cenfotec y también como respuesta a la necesidad de dar atención a las múltiples solicites del desarrollo de proyectos de tecnologías de la información”; señaló René Pierre Bondu, Gerente de UCenfotec.

Bondu, agregó que los estudiantes que participan del Cenfotec Software House son estudiantes que han demostrado durante el curso de su carrera un nivel de excelencia mayor y que a su vez cuentan con altas habilidades, tanto técnicas como blandas y con el deseo de ser parte del equipo, además los estudiantes que trabajan en los proyectos, reciben becas como remuneración a su participación.

Desde Cenfotec Software House se ofrecerán servicios como desarrollo y diseño de prototipos, desarrollo y diseño web, desarrollo de apps, pruebas de calidad de software, confección de requerimientos, diseño de bases de datos y apoyo en proyectos de emprendimiento el Programa Semilla.

Durante su etapa inicial de ejecución Cenfotec Software House atenderá únicamente a pequeñas y medianas empresas –PYMES-,  asociaciones u organizaciones sin fines de lucro.

 

COMO FUNCIONA CENFOTEC SOFTWARE HOUSE:

Los interesados en recibir servicios del Cenfotec Software House deben:

  • Solicitar el servicio llenando el formulario. Esta solicitud será evaluada por el comité director del Cenfotec Software House.
  • Cenfotec Software House concertará una cita entre el solicitante y el equipo de expertos, para analizar la solicitud.
  • El comité director del Cenfotec Software House estudia la factibilidad técnica, operativa y académica de participar en proyecto.
  • Si el proyecto es factible, se envía al cliente una oferta económica.
  • Una vez que el cliente acepta las condiciones, se procede a la firma del contrato y a la conformación del equipo del proyecto, e inicia el proyecto.
  • Finalmente, el equipo del proyecto entrega, en el tiempo acordado y según lo pactado, el producto final.

Cada equipo de trabajo del Cenfotec Software House, cumple con las etapas y las mejores prácticas, según cada caso. Además, se mantendrá en periódica comunicación con el interesado para validar diferentes aspectos del proyecto.

Si usted desea conocer más sobre Cenfotec Software House puede visitar http://www.cenfotecsoftwarehouse.com UCenfotec y su programa Software House puede visitar www.ucenfotec.ac.cr su perfil en  Facebook como Universidad CENFOTEC,  llamando al número de teléfono 2281-1555 o escribiendo un correo electrónico a cenfotecsoftwarehouse@ucenfotec.ac.cr.

 

whatsapp-image-2016-09-22-at-18-54-37

Foto del equipo inicial y el profesor supervisor

Estudiantes: Paula Segura, Mauricio Araica, Maureen León. Profesores: Gerardo Parajeles y Álvaro Cordero

¿Por qué es importante saber el valor de la información que se desea proteger?

Elaborado por el profesor: Rodrigo Calvo, Linkedin

El Encargado de Seguridad de la Información (CISO) es muchas veces calificado en la empresa como el Sr./Sra. NO; “No se debe instalar aquel software, no se debe exponer la información, no se puede abrir el acceso a tal sistema”. Lo anterior es natural ya que se le ha contratado para garantizar que todos los procesos y sistemas de información en la empresa buscan minimizar la pérdida de la información ya sea en términos de disponibilidad, confidencialidad o integridad.
A manera de ejercicio, quiero proponer la lectura del siguiente caso, analice que haría usted como CISO, tómese su tiempo y compare con las observaciones que hago al final del artículo. ¿Estaría usted de acuerdo con lo propuesto?

Caso: Entrega a Domicilio de Tarjetas de Crédito

Actualmente los clientes de productos de tarjetas de crédito de la mayoría de instituciones financieras del país tienen la “ventaja” de que es posible ahorrarse varios minutos haciendo fila en una sucursal mediante un servicio de entrega a domicilio de su producto.
Dicha entrega ha variado a lo largo del tiempo: primero el cliente debía entregar una copia en papel de ambas caras de su documento de identificación (incluye nombre completo, fecha de vencimiento del documento, fecha de nacimiento y firma), luego bajo un espíritu ecológico se volvió usual ver al mensajero del banco llegar con una cámara digital y en su mano capturaba dos fotografías de ambas caras del documento. Más recientemente el proceso varió por medio del uso de un Smartphone (muchas veces con Sistema Operativo Android).

La información que se le ha brindado al mensajero puede ser robada físicamente o copiada sin autorización para luego hacer uso ilícito.

cuadro_1

 

 

 

 

 

 

Se puede inferir entonces que alguien que quiera obtener información personal de manera no autorizada, lo puede hacer a través de los documentos que porta el mensajero, para ello tiene varias opciones.
Si pensamos en términos de protección podríamos rápidamente encontrar opciones en el mercado de tecnología tales como:
– Cámaras inteligentes con encripción de memoria.
– Teléfonos inteligentes con aplicaciones compradas a terceros de: encripción, antivirus y almacenamiento seguro en la nube.

cuadro_22

 

 

 

 

A simple vista de acuerdo a la tabla anterior parece que un teléfono inteligente al que se le haya provisto de las aplicaciones necesarias ayudará a minimizar el riesgo de la pérdida de la información que fue recibida por el mensajero. Lo anterior no fue gratis, los costos de hardware, licenciamiento, administración y entrenamiento de recurso humano deberán ser absorbidos por el Banco.

Valoración del Riesgo Real para el caso de estudio

Ya usted analizó el Caso de Estudio y quizás está a favor o bien recomendaría otros niveles de protección, sin embargo, le adelanto que las medidas de protección para esta situación en específico fácilmente van a generar un riesgo residual menor a cero.

cuadro_3

 

 

 

Cuando el Riesgo Residual es menor a cero significa de manera sencilla que siempre será más caro proteger que aceptar el riesgo.

Como CISO del Banco ¿Debo sugerir la protección de la información desde el momento de entrega al mensajero con mayores alcances que lo expuesto anteriormente? Para responder a lo anterior es importante analizar el entorno de algunos de los elementos siguientes: En Costa Rica, por ejemplo, el número de cédula, estado civil, nombre del cónyuge, fecha de matrimonio, nombre de los hijos, fecha de nacimiento, entre otros, se consideran datos de acceso público general. Quizás lo único limitado legalmente del documento es el acceso a la firma impresa en la cédula y los elementos que dan autenticidad a la misma.

Por otra parte, La Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales (N°8969 del 5 de septiembre del 2011), garantiza a todas las personas el derecho a la privacidad, a la autodeterminación informativa de sus actividades privadas y la libertad respecto a sus datos personales o de sus bienes. Los datos personales a los que se refiere la ley son aquellos que se encuentran en bases de datos públicas y privadas, pero no aplica para las bases de personas físicas o jurídicas cuando los datos: Se usan para fines internos, y No son vendidos ni comercializados. Continuando con el caso de ejemplo, el documento se requiere para verificación interna de la entrega del instrumento de crédito.

Es decir, potencialmente el riesgo que produce el trámite de entrega a domicilio con la copia de la cédula no se traduciría en una pérdida por multas de regulaciones o demandas.

Para finalizar, no siempre las medidas de protección que queremos implementar van de la mano con las necesidades del negocio, pero para llegar a esa conclusión se debe hacer un análisis de riesgo bien hecho.

profesor

Rodrigo Calvo
Master en Administración de Recursos Informáticos.
Profesor Universidad Cenfotec.
Sr. Security Engineer, infoLock Technologies, VA, US.
Certificados:
CISSP, CEH, PCIP, CCSK
ITILv3, MCTS

 

 

UCenfotec e Intercultura establecen alianza

Estudiantes podrán acceder a programas que internacionalizarán su currículo

Beneficio permitirá a jóvenes realizar programas de intercambios, prácticas profesionales y trabajo en el extranjero y perfeccionar manejo de idioma

San José, 02 de setiembre del 2016.

intercultura-logo

 

 

 

UCenfotec e Intercultura anunciaron la firma de un convenio que permitirá a jóvenes estudiantes internacionalizar su hoja de vida gracias al acceso a programas internacionales.

Los interesados podrán acceder a programas como:
– Programa de Work & Travel Estados Unidos
– Programa de clases de inglés English in Chester, Inglaterra
– Programa de práctica profesional en Curitiba, Brasil
– Talleres de inglés en Costa Rica
“La firma que hoy establecemos nos permite fortalecer la relación entre ambas organizaciones y la oportunidad de ofrecer programas internacionales que agreguen suman un gran valor al currículo del estudiante”; recalcó René Pierre, Gerente de UCenfotec.
Intercultura trabaja desde el 2001 en la promoción de programas de intercambios, idioma, prácticas profesionales y trabajo en el extranjero, como una alternativa regional de calidad. Su trayectoria se destaca por ofrecer diferentes alternativas de internacionalización para estudiantes y jóvenes profesionales.

PROGRAMAS:
  1. Programa Work & Travel Estados Unidos: este es un programa laboral temporal diseñado y regulado por el gobierno de Estados Unidos para jóvenes universitarios entre 18 y 28 años que tiene una duración de 4 meses. Permite al estudiante vivir una experiencia de trabajo durante sus vacaciones universitarias de fin e inicio de año, mientras recibe un salario para cubrir los costos de su estadía.
  2. Programa English in Chester: programa diseñado para que el estudiante reciba clases de inglés impartidas por un staff altamente calificado, en la escuela que ocupa el segundo mejor lugar en Inglaterra, certificada por UK Council, y que se especializa en enseñar inglés para extranjeros. Incluye el hospedaje y la alimentación con una familia anfitriona inglesa, asegurando de esta manera su inmersión total con la cultura británica, incluso en las prácticas cotidianas fuera del aula.
  3. Programa de prácticas profesionales en Brasil: el programa está diseñado para que el estudiante participe en calidad de pasante en una compañía brasileña, con la intención de afianzar sus conocimientos en su área de estudio, adquirir experiencia laboral internacional, completar su plan de estudios universitarios, conocer y compartir con pasantes de otros países y practicar el idioma inglés y el portugués.
  4. Talleres de inglés en Costa Rica: estos talleres de inglés se elaboran a la medida, según la temática o enfoque que la universidad solicite, para estudiantes, docentes y funcionarios. Son impartidos por docentes profesionales traídos de Inglaterra, cuyas metodologías y currículo destacan por su innovación y máximo aprovechamiento del tiempo y los recursos.

Si desea conocer más información sobre Intercultura puede visitar la página www.intercultura.com, en Facebook como intercultura.ca  o llamando a al 2290-3141.

convenio1