Seguridad en la nube en la educación: Garantizar la privacidad y la seguridad de los datos sensibles

Las instituciones educativas son enormes minas de datos que contienen información de identificación personal, como los números de la seguridad social, los historiales médicos, los datos de las becas o los datos de pago de numerosos estudiantes, padres y miembros del profesorado. También son repositorios de una amplia gama de datos confidenciales de investigación.

Según un informe de Research and Markets, se espera que el valor del mercado de la computación en la nube para la enseñanza superior crezca hasta USD 8.7791 millones en 2027. Por ello, la seguridad y la privacidad de los datos en la nube son retos persistentes en esta industria. Cualquier compromiso puede acarrear graves consecuencias, como el robo de identidad, pérdidas financieras y el compromiso de investigaciones académicas sensibles. Siguiendo leyes como la Ley de Derechos Educativos y Privacidad Familiar (FERPA) e implementando directivas de privacidad exhaustivas, las instituciones pueden proteger los datos y ganarse la confianza de sus interesados.

Las organizaciones pertenecientes al sector educativo utilizan diferentes tecnologías en la nube, como Microsoft Azure, Amazon Web Services (AWS) y Google Cloud, por diversos motivos; las transferencias de datos que se producen utilizando estas plataformas deben ser monitoreadas continuamente, y los cambios deben quedar registrados. Además de reforzar la seguridad, el monitoreo también ayuda a las organizaciones a cumplir con los mandatos de conformidad.

Uso de la nube en instituciones educativas

El sector educativo utiliza la nube para diversos fines, entre ellos:

1. Almacenamiento de datos: Almacenar los datos en la nube es más seguro y más rentable.
2. Colaboración: Los estudiantes pueden colaborar entre sí, acceder a recursos como vídeos y enviar sus tareas de forma eficiente. El cuerpo docente también puede colaborar para trabajar en proyectos de investigación e interactuar con los estudiantes.
3. Clases virtuales: Con la adopción de la nube, los estudiantes pueden aprender desde lugares remotos de todo el mundo.
4. Análisis de datos: Las plataformas como Google Cloud Smart Analytics han acelerado el proceso de análisis de datos para los investigadores.
5. Sistemas de gestión del contenido o sistemas de gestión del aprendizaje: Existen suites enteras de herramientas en la nube para el aprendizaje, que mejoran la experiencia tanto de profesores como de alumnos.

Las instituciones educativas utilizan múltiples plataformas en la nube para lograr los propósitos mencionados. Sin embargo, Azure, AWS y Google Cloud son los tres principales proveedores de nube. Todos ellos cuentan con una gran base de consumidores y cada uno tiene una oferta única diseñada especialmente para el sector educativo.

Proteger Azure

Es primordial proteger Azure para gestionar recursos, facilitar la colaboración, mejorar el aprendizaje y almacenar datos. Algunos servicios clave como Azure Education Hub, Microsoft Entra, Azure Virtual Machines, Azure Blob Storage, Azure SQL Database y Azure Virtual Network son muy utilizados entre educadores e investigadores. Estos servicios tienen un elemento crítico en común: la seguridad de los datos.

Microsoft Entra ID, anteriormente conocido como Azure Active Directory, es la solución de Azure en la nube para la gestión de accesos e identidades (IAM). Este servicio es esencial para las instituciones educativas, ya que gestiona toda la información del usuario, incluida la de los estudiantes, los miembros del personal y los investigadores. Garantizar la seguridad de Entra ID es crucial, ya que protege los datos confidenciales de identidad frente al acceso no autorizado y posibles infracciones. Azure Virtual Machines también juega un rol importante en la seguridad. Para las empresas que invierten mucho en investigación, proteger los datos de estos equipos virtuales es vital para proteger la propiedad intelectual y los resultados de la investigación.

Otros servicios como Azure Blob Storage, Azure SQL Database y Azure Virtual Network también deben estar protegidos para garantizar la integridad, confidencialidad y disponibilidad de los datos almacenados. Implementar sólidas medidas de seguridad en estos servicios, como el cifrado, los controles de acceso, el monitoreo continuo y los planes de respuesta a incidentes, le ayuda a mantener seguro un entorno de Azure.

Proteger Azure no consiste sólo en proteger los servicios individuales, sino también en garantizar la postura general de seguridad del entorno en la nube, convirtiéndolo en una plataforma segura y fiable para la educación y la investigación.

Proteger AWS

Amazon ofrece a las instituciones educativas una amplia gama de programas adaptados a los diferentes tipos de organizaciones, ya se dediquen a la educación básica, secundaria, superior o EdTech. Algunos servicios populares como Amazon Connect, Amazon Simple Storage Service (S3), Amazon WorkSpaces, Virtual Proctoring y Amazon AppStream 2.0 se utilizan ampliamente para mejorar las experiencias y operaciones educativas.

Garantizar la seguridad de estos servicios es fundamental para proteger los datos sensibles y mantener la integridad de los procesos educativos. Por ejemplo, Amazon S3 es un servicio de almacenamiento muy utilizado que se debe asegurar para proteger las enormes cantidades de datos que manejan las instituciones educativas, incluidos los expedientes del estudiante, los datos de investigación y la información administrativa. Garantizar la seguridad de los datos implica implementar un cifrado robusto, gestionar los permisos de acceso y monitorear continuamente cualquier actividad sospechosa.

Proteger Google Cloud

Google es un nombre consolidado en el sector educativo, que ofrece un conjunto de productos que mejoran los procesos de enseñanza y aprendizaje tanto para los educadores como para los alumnos. Algunas herramientas populares como Chromebooks, Google Sheets, Google Meet, Google Slides, Google Docs y Google Forms se utilizan ampliamente en entornos educativos.

Garantizar la seguridad de estas herramientas es esencial para proteger los datos sensibles y mantener la integridad de las actividades educativas. Por ejemplo, Google Meet, muy utilizado para aulas y reuniones virtuales, se debe proteger contra el acceso no autorizado y la interceptación. Utilizar funciones como los códigos de reunión seguros, los controles de gestión de los participantes y el cifrado de los datos en tránsito garantizan un entorno de reunión virtual seguro.

Esta mayor dependencia de la nube sólo va a crecer en los próximos años debido a su escalabilidad, rentabilidad y eficiencia. Pero al igual que se ha disparado la dependencia de la nube, también lo ha hecho el valor de los datos que residen en ella. Por tanto, proteger la nube es una prioridad.

La necesidad de proteger la nube en el sector educativo

Un ataque cibernético puede tener secuelas masivas en una institución educativa, incluyendo:

• Confianza perdida: Toda institución educativa tiene un pacto implícito con los estudiantes o sus directores para proteger su información. Este pacto es el que les da confianza para revelar su información personal. Por lo tanto, si se produce una violación de la seguridad de los datos, también se produce una violación de la confianza.
• Pérdidas financieras: Las organizaciones tienen que pagar fuertes sanciones por incumplimiento, multas compensatorias y honorarios legales en caso de violación de la seguridad de los datos.
• Daño a la reputación: Esto resulta de la pérdida de confianza entre las partes interesadas. La confianza es sinónimo de lealtad, por lo que una pérdida de confianza significa una pérdida de lealtad a la marca.

La seguridad en la nube, también llamada seguridad de la computación en la nube, implica un conjunto de prácticas de seguridad que ayudan a su infraestructura en la nube a permanecer a salvo de los ataques cibernéticos. Estas prácticas incluyen monitorear continuamente los entornos de la nube, proteger las directivas de control de acceso y formular planes efectivos de respuesta a incidentes.

Casos reales de infracciones

Estos son algunos ejemplos reales de infracciones en el sector de la educación:

• En 2022, los expedientes de un millón de estudiantes de Nueva York se vieron comprometidos debido a una importante violación de la seguridad de los datos en uno de los proveedores del Departamento de Educación de la ciudad de Nueva York.
• Un actor de amenaza llamado Kimsuky utilizó técnicas de puerta trasera y ejecuciones de comandos para robar información de los institutos de investigación de Corea del Sur en 2023.
• En 2023, casi 250.000 registros de usuarios de la Universidad de Indiana quedaron expuestos debido a un error de configuración de un proveedor externo.
• En 2023, un atacante obtuvo acceso no autorizado a la base de datos de la Universidad de Minnesota y publicó en Internet información personal de los estudiantes, profesores y otras personas.

Las herramientas de ciberseguridad, como las soluciones de SIEM o IAM, pueden ayudar a las universidades y escuelas superiores a detectar las amenazas en una etapa temprana. Consideremos un par de escenarios.

Escenarios de ataque en instituciones educativas

Escenario 1: Un ataque a equipos virtuales de Azure en una instalación de investigación

• Sin una solución de ciberseguridad: Esta instalación de investigación tiene varios VM establecidos en Azure, donde se almacenan datos de investigación confidenciales, expedientes de estudiantes y otra información sensible. Un atacante obtiene acceso no autorizado al entorno de Azure de la instalación a través de un correo electrónico de phishing. Explotando las vulnerabilidades del sistema, obtiene acceso a las credenciales de administrador, que utiliza para gestionar los distintos recursos, incluyendo los VM de Azure. Implementa muchos más VM maliciosos que inician diferentes tipos de ataques, como la inyección de SQL o los ataques de scripting entre sitios, dirigidos a estudiantes y profesores. Una vez que compromete todo el sistema, transfiere todos los datos sensibles a un servidor externo que está bajo su control.
• Con una solución de ciberseguridad: Esta instalación de investigación tiene varios VM establecidos en Azure, donde se almacenan datos de investigación confidenciales, expedientes de estudiantes y otra información sensible. Un atacante obtiene acceso no autorizado al entorno de Azure de la instalación a través de un correo electrónico de phishing. En el momento en que se recibe el correo electrónico de phishing, la herramienta de ciberseguridad notifica a los administradores que una fuente maliciosa está intentando infiltrarse en el sistema. Si la solución es más avanzada, los administradores pueden aprovechar diferentes fuentes contra amenazas para detectar interacciones con IP maliciosas. Si el atacante se hace pasar por un estudiante y utiliza una IP conocida, el módulo de detección de anomalías de la herramienta puede detectar la actividad anómala del usuario, enviando alertas a los administradores debido a la desviación del comportamiento. De este modo, el ataque puede detenerse allí mismo.

Escenario 2: Un ataque de fuerza bruta a Google Workspace en una escuela

• Sin una solución de ciberseguridad: Consideremos un ejemplo en el que un atacante consigue acceder a la cuenta de un educador mediante fuerza bruta. Al utilizar la cuenta, el atacante compromete los sistemas de otros profesores y estudiantes mediante ataques de ingeniería social. De este modo, puede ingresar en Google Workspace y tomar el control de la información confidencial, numerosas contraseñas y otros datos relacionados con el entorno.
• Con una solución de ciberseguridad: Cuando se lanza un ataque de fuerza bruta, se producen una serie de eventos: instalaciones de software malicioso, actividad anómala de inicio de sesión, borrado del log de eventos y fallos sucesivos de inicio de sesión. Una herramienta de ciberseguridad busca estos eventos de seguridad, alerta al equipo de administración y ejecuta automáticamente los flujos de trabajo de respuesta.

Cumplimiento de la seguridad en la nube en el sector educativo

El cumplimiento es esencial, independientemente del tipo de institución. El cumplimiento en la nube se refiere al proceso de adherirse a las leyes, normas, directrices y reglamentos establecidos por su industria, nación, gobierno federal u otros organismos jurisdiccionales.

Cumplir las normas no sólo ayuda a su institución a ahorrar dinero, sino que también aumenta la confianza de las partes interesadas en su institución:

• Mejorar la gestión del riesgo: Las normas de cumplimiento, como el Reglamento General de Protección de Datos (GDPR) y la Ley de Responsabilidad y Portabilidad del Seguro de Salud (HIPAA), exigen que su organización sea proactiva y le ayudan a identificar y mitigar las amenazas relacionadas con la violación de la seguridad de los datos.
• Reforzar los contratos: Por ejemplo, un contrato con una institución educativa es más fiable cuando dicha institución cumple la FERPA.
• Mantener distintas normas: La adhesión a la norma ISO/IEC 27001 en materia de seguridad demuestra el compromiso de su institución educativa con la protección de datos.
• Garantizar que las auditorías sean fáciles: Ser conforme significa que ya dispone de todos los documentos y evidencias para demostrar el cumplimiento de la ley, lo que facilita las auditorías.

Algunos de los mandatos de cumplimiento más comunes en el sector educativo son la FERPA, la HIPAA (si guarda los historiales médicos de los estudiantes), el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS) (si guarda la información de las tarjetas de los padres o estudiantes), el GDPR (para todos los institutos de la Unión Europea) e ISO/IEC 27001.

Mejores prácticas para la seguridad en la nube en el sector educativo

Aquí hay siete cosas que puede hacer para garantizar que su infraestructura en la nube siga siendo segura:

1. Eduque al personal y a los alumnos sobre el phishing y otros ataques cibernéticos.
2. Establezca directivas estrictas de seguridad en la nube y disponga de planes adecuados de respuesta a incidentes.
3. Utilice las pruebas de penetración para escanear continuamente su sistema en busca de vulnerabilidades con el fin de detectar y reducir los problemas de seguridad.
4. Comprenda de qué es responsable en su entorno en la nube. Conozca bien los riesgos asociados al uso de proveedores de servicios en la nube y otros proveedores. Mantenga una conversación transparente sobre las mejores prácticas a seguir, el proceso de revisión del código y las estrategias para mitigar y prevenir las vulnerabilidades durante el desarrollo del software.
5. Considere la posibilidad de utilizar herramientas de seguridad de confianza, como la IAM, la SIEM o soluciones de SIEM integradas en el CASB, para monitorear su entorno en la nube.
6. Imponga la autenticación multifactor para todos los usuarios de su sistema o siga un modelo de confianza cero para minimizar las posibles amenazas.
7. Proteja los datos con encriptación.

Soluciones de seguridad en la nube para el sector educativo

Es posible que una única solución no logre resolver todos los problemas de sus distintos servicios. Pero puede optimizar una solución para resolver la mayoría de sus problemas.

Independientemente de la solución de seguridad que elija, algunas funciones permanecen constantes: monitoreo del log, análisis de seguridad, detección de amenazas, respuesta automatizada a incidentes, alertas y gestión del cumplimiento.

Log360 es el destino único para todas sus necesidades de seguridad. Esta solución de SIEM unificada con funciones de DLP y CASB integradas está diseñada para procesar, auditar y monitorear logs de Azure, AWS y Google Cloud y garantizar la seguridad. La solución también proporciona informes de cumplimiento con plantillas predefinidas para una amplia gama de directivas, como FERPA, HIPAA, PCI DSS y FISMA. Aquí hay un ejemplo del informe de la FERPA ofrecido por Log360:

No cabe duda de que la nube ha llegado para quedarse. Al dar prioridad a la seguridad en la nube, las instituciones educativas pueden asegurarse de crear un entorno digital seguro para los estudiantes, el personal y otras partes interesadas.