Diana Baker Freeman
miembros de la junta escolar en una reunión

La sección Soluciones innovadoras incluye contribuciones de patrocinadores corporativos y anunciantes que representan a organizaciones educativas, empresas, organismos de formulación de políticas y otras personas influyentes dedicadas a transformar la educación. Esta entrada de blog fue proporcionada por Diligente.

Antes de 2020, se podía suponer con seguridad que muchos distritos escolares no reconocían el riesgo de las conductas en las que participaban. Los distritos escolares están particularmente interesados ​​en mantener la seguridad de los datos debido al alto nivel de información confidencial que almacenan y la cantidad de aplicaciones que utilizan para compartir datos con los programas del gobierno estatal y federal en relación con los estudiantes y el personal. Las escuelas a menudo utilizan sistemas informáticos obsoletos y los riesgos de seguridad se ven agravados por los miembros del personal que no tienen formación sobre cómo detectar los correos electrónicos infectados. Sin embargo, los distritos tienen el deber fiduciario de salvaguardar los datos que almacenan.

Amenazas de ciberseguridad contra distritos 

La cantidad de datos que manejan las organizaciones educativas ha crecido exponencialmente. Por el contrario, debido a que a menudo operan con un presupuesto reducido, los distritos rara vez tienen expertos en ciberseguridad dedicados. Dependen de sus equipos de TI para garantizar la seguridad, pero ese personal a menudo no tiene la inversión que necesita, por lo que los agujeros en su seguridad los dejan vulnerables a los ataques. Los virus han plagado durante mucho tiempo a los distritos escolares, pero ahora hay cada vez más casos de piratas informáticos y phishing.

Uno de los tipos de ciberataque más frecuentes se ha convertido en los ataques de ransomware. Ransomware es un tipo de software malicioso que obtiene acceso a archivos o sistemas y bloquea el acceso de los usuarios a esos archivos o sistemas. Luego, todos los archivos, o incluso dispositivos completos, se mantienen como rehenes usando cifrado hasta que la víctima pague un rescate a cambio de una clave de descifrado. La clave permite al usuario acceder a los archivos o sistemas encriptados por el programa. Estos ataques a menudo comienzan con un correo electrónico con enlaces o archivos adjuntos que parecen benignos, pero le dan al pirata informático acceso a ese único sistema seguido de la red. Si bien es bastante sencillo en lo que respecta a los delitos cibernéticos, estos pueden apagar servidores, exponer datos e interactuar con los sistemas de gestión. Se han atacado distritos escolares de todos los tamaños; nadie es inmune. Una vez más, sin un personal de TI dedicado y confiando en infraestructuras obsoletas, muchos distritos con problemas de liquidez están listos para ser atacados.

Hubo 408 ciberataques reportados en escuelas en 2020. Si bien los expertos de la industria desalientan el pago de rescates por temor a alentar este tipo de ataque, muchos distritos sin respaldo confiable, o cuyas copias de respaldo están encriptadas como parte del ataque, no tienen otra opción que pagar. el rescate para reanudar las operaciones.
La identificación de atacantes es poco común, por lo que es difícil responsabilizar a alguien. Los investigadores encontraron que uno de cada seis Massachusetts comunidades habían sido infectadas por ransomware. Los ataques de Massachusetts demostraron que lo que alguna vez se pensó que era un problema de la gran ciudad está dejando a todos los distritos escolares vulnerables. Y va en aumento. Las escuelas tradicionales tenían más probabilidades de ser atacadas, y 12% de distritos que sufrieron un ataque fueron alcanzados por segunda vez. 2019 fue calificado como el peor año registrado por infracciones, y luego vino 2020.

El impacto de COVID en la seguridad

2020 no solo nos presentó la pandemia de COVID-19, sino que también provocó lo que muchos denominan ciber pandemia. El primer trimestre de 2020 se desarrolló con bastante frecuencia, pero los ataques aumentaron drásticamente a medida que avanzaba el año y todos, desde administradores hasta estudiantes, comenzaron a trabajar en línea. La cuarentena forzada a raíz de la pandemia de COVID-19 hizo que los distritos trabajaran de forma remota sin acceso a TI ni a parches de seguridad y actualizaciones, mientras preparaban los materiales de la agenda de la junta en línea e incluso tenían reuniones públicas virtuales por primera vez en la historia.

Con decenas de miles de pequeños distritos escolares, el ransomware, una vez en declive, se ha convertido en una fruta madura para los ciberdelincuentes. Muchos distritos escolares están transfiriendo documentos confidenciales por correo electrónico. Con la amenaza de ataques cibernéticos, no es juicioso usar el correo electrónico para preparar o enviar materiales de reuniones. Cuando los miembros de la junta y el personal están acostumbrados a recibir documentos y actualizaciones por correo electrónico, es menos probable que tengan cuidado al recibir enlaces o archivos adjuntos infectados.

La prevalencia de dispositivos portátiles vuelve a exacerbar los riesgos cibernéticos. La mayoría de los miembros de la junta (y del personal) utilizan sus dispositivos para obtener información, pero también para entretenimiento y redes sociales. Los distritos escolares son ahora lo mas probable agencias a sufrir un ataque de rescate, por lo que está claro que los grupos que llevan a cabo este tipo de ataques han descubierto que las escuelas son un blanco fácil.

Mitigar los riesgos

En el área de la ciberseguridad, en general, no parece que los distritos escolares estén haciendo lo suficiente para mitigar los riesgos. El uso del correo electrónico para comunicarse y / o preparar y transmitir materiales de la reunión está generando niveles de riesgo innecesarios. Es muy probable que los miembros de la junta electos no estén al tanto de los riesgos ni de su responsabilidad personal. De las infracciones que provienen del interior de una organización, El 67% no son maliciosos, sino por errores..

La defensa eficaz de los ciberataques depende en última instancia de la educación y de anular la posibilidad de error humano siempre que sea posible. El software basado en la nube que es reconocible y confiable es una de las mejores formas de eliminar las conjeturas y los errores humanos del proceso de creación de la agenda. Cuando el El distrito escolar de Newhall en California fue afectado por un ataque de ransomware, los únicos dos procesos que pudieron continuar en el transcurso de ocho días fueron lápiz y papel y los que utilizaron software basado en la nube.

Recomendaciones:

  • Utilice software basado en la nube como BoardDocs tanto para la creación de agendas como para la distribución de materiales a la junta. Iniciar sesión en un portal seguro elimina la posibilidad de que los usuarios hagan clic en un correo electrónico o un archivo adjunto corruptos.
  • Todos los involucrados en la creación, entrega o uso de la agenda deben estar capacitados en ciberseguridad. La ciberseguridad debe verse como una responsabilidad compartida en lugar de ser relegada a los equipos de TI.
  • Los distritos escolares deben desarrollar un plan de ciberseguridad. Si ya tienen uno, debe revisarse anualmente. A estas alturas, los administradores se están dando cuenta de que son un objetivo, pero este hecho también debe enfatizarse a los miembros de la junta.
  • Los distritos deben adoptar una mentalidad de seguridad digital, con planes de contingencia y desastres en su lugar. Trabajar en estrecha colaboración con otras entidades puede ayudar a minimizar las amenazas. Las cuadrículas de datos que están interconectadas pueden causar rápidamente problemas en cascada. Cualquier dispositivo con datos o aplicaciones debe borrarse de forma remota en caso de pérdida, robo u otra amenaza. Solo las aplicaciones aprobadas deben abrirse con dispositivos pertenecientes al distrito.
  • Cuando sea posible, es mejor tener hardware dedicado. Una tableta o computadora portátil que se pueda actualizar y parchear por completo con todas las actualizaciones de seguridad fácilmente es una necesidad. El uso de un portal seguro para preparar y alojar materiales de la agenda que está protegido con contraseña es el vehículo preferido para transmitir documentos de la junta.
     

Diana Baker Freeman es especialista en gobernanza de Diligent Corporation. Tiene una maestría en Liderazgo Educativo y ha enseñado tanto en escuelas públicas como a nivel universitario. Se convirtió en Consultora de Desarrollo de la Junta Directiva de la Asociación de Juntas Escolares de Texas y luego como consultora independiente. Ha dirigido juntas directivas a través de la planificación estratégica, el establecimiento de objetivos, así como la capacitación en ética y el examen de las funciones y responsabilidades de los miembros de la junta.