Seguridad de la Información y Privacidad

Tomando inspiración

Con los objetivos de propiciar el intercambio de experiencias e identificar retos, intenciones y oportunidades compartidas alrededor de seguridad de la información y privacidad en las IES del país, se realizó el quinto encuentro virtual del Laboratorio de Innovación Educativa para la Educación Superior Co-Lab.

Este encuentro contó con cuatro momentos que permitieron recoger referentes, experiencias y aprendizajes que servirán de insumo para poner en marcha procesos relacionados con seguridad de la información y la privacidad. Además, se delinearon los próximos pasos que darán las IES a partir de su participación en el encuentro.

3 Grandes
momentos

Momento 1: reconocimiento

Se realizó un ejercicio de reconocimiento entre los asistentes con el fin de establecer posibles conexiones y puntos de encuentro. Para desarrollarlo, los asistentes participaron de una conversación en grupos pequeños, en la que cada integrante compartió su nombre, la IES que representa, el cargo y el aporte que realizaría durante el encuentro.

Momento 2: Reconocimiento de referentes

Los asistentes reconocieron y compartieron referentes relacionados con el bienestar universitario no presencial (expertos, documentos, enlaces). A continuación, se presentan las referencias obtenidas durante el encuentro.

Documentos y referentes

Conpes 3995: Seguridad digital.

Red de CIO’s de IES llamada Metared. Allí hay un grupo liderado por la Universidad Pontifica Bolivariana de Medellín, que se encarga únicamente de temas de Seguridad Informática.

Doctor Hugo Vecino Pico hugo.vecini@gmail.com: Experto en seguridad informática y consultor de varias organizaciones ITAE: Objetivos de Desarrollo Sostenible – ODS, planes de obierno, nacional, departamental y municipal.

Kit de concienciación en ciberseguridad

Marco Arquitectura de TI de Mintic.

Modelo de seguridad.

Momento 3. Acciones, factores clave y desafíos

Esta actividad se enfocó en el reconocimiento de las acciones que vienen desarrollando las IES. Esto permitió identificar barreras, desafíos y factores clave sobre el bienestar universitario no presencial en las instituciones asistentes. Las conversaciones que tuvieron lugar en esta actividad estuvieron orientadas por tres preguntas.

Acciones que vienen emprendiendo las IES frente a los laboratorios o unidades de innovación educativa.

Seguridad: Plan de contingencia tecnológica a raíz de la coyuntura actual = Plan padrino con asistencia pedagógica y tecnológica desde la IES Padrina.
INFO+PRIVACIDAD: Habeas data, ISO (Funcional no certificado).

ISO 9000
Aislamiento de la red
Protección capa aplicación
Protección avanzada de DNS
Supervisión del tráfico

Implementación de sistemas de correlación de eventos
Controles de Acceso
Autenticación/Autorización
Adaptación
Pentesting

Hardering
Análisis mensuales de vulnerabilidades
Concientización

Es una acción a cargo de la Dirección de TIC, actualmente ellos realizan revisión de sus protocolos, toda vez que la contingencia trajo nuevas exigencias.

Definición de indicadores, hacer mediciones para establecer planes de mejora.
Capacitación para conocer la sensibilidad e importancia de los datos en todos los niveles aun cuando parezca que es minúsculo.
ISO 9001, sistemas de gestión, definición de procesos, tener en cuenta el tema de riesgos.

Política de seguridad y uso de firewall de seguridad capa 7.

Diagnóstico actual y proyección a futuro.
Conformación del comité de protección de datos personales, con un oficial de seguridad, un representante de la academia, con un secretario, directora de admisiones, y otras personas.
Alianzas con terceros para soluciones de seguridad.

Sincronización de los sistemas de información.

Implementación de la política de gobierno y seguridad de la información
Cambio del sistema de información académico

Elementos clave para iniciar laboratorios de innovación académica

Vinculación y capacitación efectiva del Talento Humano
Constituir un departamento estratégico que intervenga en las decisiones que se toman en la institución.
Además de las acciones pedagógicas en pro de la cultura y la concientización, son importantes todas las acciones en relación a la implementación de sistemas, protocolos e infraestructura que respalde la seguridad en la información.
Que las iniciativas de seguridad se integren a las políticas, lineamientos y planes institucionales.

Participación efectiva de la alta gerencia (rectores, directivos). Se requiere su voluntad y compromiso para poner en marcha iniciativas de seguridad.
Contar con un sistema de clasificación de la información objeto de seguridad o protección.
Implementar sistemas de gestión de riesgos en la institución.
El departamento de tecnología debe ser parte del plan estratégico de la institución.
Tener claro dónde están las oportunidades de mejora, contar con el apoyo de la alta dirección.

Asegurar los recursos financieros necesarios para la implementación de las iniciativas.
Tener claro cuáles son los riesgos que tenemos en nuestras instituciones y que corre nuestra institución.
Encontrar equilibrio entre seguridad, usabilidad, y funcionalidad a la hora de implementar políticas y mecanismos de seguridad.
Ser consciente que estamos en un riesgo, y que debemos navegar en entornos o sitios seguros. –
Tener en cuenta la seguridad del usuario protección de los datos

Profesionales certificados internacionalmente.
Equipos de trabajo con formaciones y competencias para afrontar estos retos
Hacer un diagnóstico de la información y los niveles de seguridad que se deben realizar
Realizar campañas comunicativas, acerca del consentimiento para proteger nuestra información en lo digital y reducir los robos o fraudes de datos.

Reconociendo obstáculos percibidos por las IES en Colombia

Alinear a los proveedores internos y externos.
Fortalecimiento del manejo de contraseñas para ingreso a plataformas tecnológicas.

Concientizar a las personas en el buen uso de las herramientas tecnológicas.
Falta de cultura de la comunidad universitaria para la aplicación de las políticas de seguridad.
Se debe realizar campañas para concientizar los usuarios, los desarrollos internos y externos deben de seguir buenas prácticas en el desarrollo de software.
Forzar cambio de contraseña cada cierto tiempo
Identificar situaciones/ problemáticas frecuentes alrededor de la seguridad de la información para generar acciones de respaldo o prevención

El ritmo acelerado y cambiante de la tecnología y sus herramientas, y por tanto de las interacciones, implica constante actualización
La barrera de acceso y uso a internet en las zonas rurales hace vulnerables a las personas a los ciber ataques por desconocimiento de la tecnología
Seguimiento, aplicación y actualización de la política de seguridad.
Establecer herramientas de eProctoring en los procesos evaluativos
Generar alertas y enseñar a los usuarios los riesgos

Preparar material de sensibilización para diferentes tipos de poblaciones que permita concientizarlos temas de la seguridad de la información
La sensibilización en el usuario no basta solo con las herramientas, es necesaria la educación y capacitación Escuela Nacional del Deporte.
Gestión del cambio, consciencia en los usuarios.
El uso de la virtualidad ha generado inseguridad e incertidumbre en sus procesos de evaluación.
Acceso a recursos de Infraestructura tecnológica.

La cultura de Docentes y estudiantes en la seguridad de la información.
Cultura de Ciberseguridad
El pensar que el tema de Seguridad Informática es un tema exclusivo de TI y no un tema transversal a toda la institución.
Entender los límites entre la seguridad de la información y la seguridad informática.
No disponer del apoyo de la alta Dirección ni la disponibilidad de recursos humanos y financieros para iniciativas de seguridad.

Voluntad de la alta gerencia, determinar recursos humanos, financieros y otros