Os principais recursos de Segurança da Informação em instituições de ensino

Dados sobre Segurança da Informação em instituições de ensino mostram que as empresas do setor são as principais vítimas de incidentes de ransomware no mundo. A informação é do relatório “The State of Ransomware in Education 2023”, divulgado pela Sophos.

Se interessou em saber por que isso acontece?

Embora não sejam, necessariamente, ricas e capazes de gerar altos lucros para os criminosos, essas instituições sofrem uma pressão grande para resolver os problemas logo, seguir funcionando e manter os dados de seus estudantes e responsáveis à salvo.

Com isso, apresentam taxas altas de pagamento do “resgate” solicitado pelos criminosos. Algo que resulta em prejuízo financeiro e nem sempre garante que os dados sejam devolvidos e não vazados para terceiros.

Essa vulnerabilidade se torna ainda mais atraente quando a IE não adota medidas adequadas para melhorar sua postura de segurança e evitar ataques. Siga em frente com a leitura para saber mais sobre o assunto!

O que é Segurança da Informação escolar e quais seus três pilares?

A Segurança da Informação em instituições de ensino nada mais é do que o conjunto de técnicas e práticas adotadas para assegurar a proteção de dados, evitar adulterações e garantir o acesso somente a quem tem autorização.

Em suma, algo bastante parecido com o que ocorre em organizações de qualquer outro setor e que nos leva a um conceito que engloba políticas internas, processos e estratégias adotadas para assegurar o controle e a segurança no fluxo e no armazenamento de informações.

Tudo isso faz com que a segurança de dados no setor da educação conte com três pilares fundamentais:

1. Confidencialidade;
2. Integridade;
3. Disponibilidade.

Vejamos cada um deles, em detalhes, para que você os compreenda melhor:

1. Confidencialidade

A confidencialidade é o pilar que evita o acesso de pessoas não autorizadas aos dados coletados e gerados pela instituição de ensino, garantindo a privacidade de alunos, seus responsáveis, professores e outros usuários.

Caso a escola ou universidade ainda se baseie no uso de papéis, precisa contar com arquivos fechados e controles de acesso para que somente pessoas autorizadas manuseiem documentos sensíveis.

Considerando um ambiente digital e o uso de documentos online, a confidencialidade pode ser alcançada a partir da configuração de hierarquias de acesso, do uso de senhas e da criação de um ambiente criptografado, por exemplo.

2. Integridade

Por sua vez, a integridade é o pilar da segurança de dados na área da educação que garante que as informações não sejam alteradas ou adulteradas. Isso é fundamental para que os dados estejam sempre corretos e sejam confiáveis, e não gerem erros de processo.

É importante ter em mente que alterações podem acontecer por simples falha humana ou até de forma mal-intencionada para prejudicar a instituição de ensino, seus alunos e comunidade como um todo. Por isso, é preciso buscar a integridade.

Dados físicos precisam ser protegidos enquanto armazenados e quando manuseados. Isso inclui adotar medidas de autenticação e também cuidados para evitar o desgaste ou destruição dos arquivos em papel, uma vez que podem ser afetados por umidade, mofo e outros problemas.

Considerando o uso de dados digitais, os mesmos recursos que mencionamos antes são úteis para evitar alterações indevidas e até rastrear mudanças e identificar seus autores.

3. Disponibilidade

Por fim, o pilar da disponibilidade é o que facilita o acesso da equipe autorizada aos dados coletados e gerados pela instituição de ensino, garantindo assim o cumprimento das tarefas diárias e o fluxo contínuo de trabalho.

Isso é importante para que a equipe não perca tempo em busca de documentos que foram armazenados no local errado ou que tenham se perdido, atrasando processos diversos.

O acesso à informações deve ocorrer de maneira rápida e simples. Isso exige um bom sistema e disciplina para mantê-lo funcionando em arquivos físicos ou o uso de um software que facilite a categorização de dados e sua busca pelo próprio sistema.

Como a LGPD regula a proteção de dados no setor da educação ?

A Segurança da Informação em instituições de ensino é importante, também, para estar em conformidade com a Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020.

Escolas e universidades colhem dados dos usuários que fazem parte de sua comunidade, comumente formada por estudantes (e seus responsáveis), docentes e outros profissionais contratados.

Todas essas pessoas, segundo a LGPD, são titulares de seus próprios dados e precisam autorizar expressamente que a instituição recolha e armazene essas informações. Por sua vez, a instituição precisa deixar claro como esses dados serão usados em busca de autorização para fazê-lo.

Essa parte legal pode ser cumprida no ato da matrícula, com as devidas cláusulas relativas à LGPD presentes no contrato firmado entre alunos/responsáveis e as escolas ou universidades.

Uma vez que a autorização de coleta, armazenamento e manipulação dos dados for concedida, a instituição de ensino passa a ser responsável por sua segurança. E isso significa que cabe à gestão assegurar que:

• As informações sejam usadas somente para os fins acordados;
• Somente pessoas autorizadas acessem as informações;
• Nenhum documento ou informação seja extraviado ou vazado.

Com tudo isso, é interessante que se conheça a legislação para entender como fazer o tratamento de dados com base na LGPD e quais políticas internas precisam ser desenvolvidas ou aprimoradas para alcançar essa conformidade.

Como proteger instituições de ensino

Já indicamos que o cuidado com a Segurança da Informação nas instituições de ensino também pode ocorrer fora do universo online, exigindo o cuidado com documentos em papel. Porém, vamos focar na cibersegurança e nas estratégias de proteção contra hackers e suas ações.

O ponto de partida é entender que é preciso investir em tecnologia, pessoas e processos para criar um ambiente funcional, eficiente e altamente focado em segurança.

No que diz respeito à parte mais técnica da TI, a ideia é adotar medidas como:

• Contratação de boas soluções de antivírus corporativo e anti-malware;
• Configuração de firewalls (IDS, IPS e WAF as a Service);
• Configuração de WIPS ou Wireless Intrusion Detection System;
• Uso de DLP ou Data Loss Prevention para rede e e-mail;
• Divisão da arquitetura de TI em redes isoladas

Já no que diz respeito ao ajuste ou (re)definição de processos com foco em segurança cibernética em escolas e universidades, é válido realizar:

• Gestão de acessos a rede e sistemas;
• Gestão de incidentes e problemas;
• Gestão de mudanças sistêmicas e de infraestrutura;
• Gestão de backups e continuidade de negócios.

Por último, mas não menos importante, é fundamental dar atenção às pessoas que utilizam os sistemas e redes da instituição de ensino, tendo em mente que o comportamento humano pode criar riscos cibernéticos. Um problema que pode ser prevenido como:

• Realização de treinamentos e campanhas de conscientização sobre Segurança da Informação e privacidade de dados;
• Criação de cartilha ou informes com novas ameaças e boas práticas;
• Incorporação de medidas de cibersegurança na política e na cultura da empresa.

O que vale para qualquer organização que esteja no mundo digital, ou seja, praticamente todas, é o entendimento de que a segurança cibernética é uma estratégia de negócios e deve ser tratada como tal.

Boas práticas de segurança cibernética para instituições de ensino

Definir boas práticas de segurança cibernética não é mera formalidade. Por vezes, medidas básicas deixam de ser adotadas por parecem “detalhes” e acabam se transformando no alcançar de Aquiles de uma organização.

Por isso, vamos te apresentar práticas simples que, sobretudo com a orientação de especialistas de TI, são capazes de elevar a proteção da sua instituição de ensino. Confira:

Mantenha o ambiente atualizado

Atualizações de software não existem somente para o lançamento de novas features, sendo importantes, também, para corrigir falhas de segurança que podem ser exploradas por cibercriminosos.

É por essa razão que as pessoas que utilizam os sistemas e a rede da escola ou universidade precisam ser orientadas a realizar atualizações sempre que novas versões forem apresentadas ou solicitarem apoio da TI para isso.

Exija senhas mais complexas

Outra boa prática de Segurança da Informação em instituições de ensino é orientar a criação de senhas fortes e diferentes para cada acesso para fazer com que:

• Seja mais difícil aos hackers descobrirem as senhas de acesso;
• Uma única senha não garanta acesso a todo o ambiente de TI da empresa, limitando a ação dos criminosos caso uma invasão ocorra.

Crie mecanismos de controle de acesso

Também é importante definir quem pode acessar qual informação para permitir que somente pessoas autorizadas vejam e manipulem informações sensíveis.

Para isso, é importante criar informações individuais de login, criar mecanismos de hierarquia de acesso e contar com ferramentas que permitam verificar quais ações foram executadas por cada usuário; uma forma de rastrear eventuais ações indevidas e manter a segurança de dados.

Automatize os backups e restore de dados

Dizer que é preciso fazer backups é pouco. A Segurança da Informação em instituições de ensino demanda processos automatizados de criação de cópias de segurança para possibilitar que dados gerados e armazenados possam ser recuperados frente a um eventual revés.

O ideal, para tanto, é ter uma política de backup e contratar uma solução de backup em nuvem que permita que uma rotina de backups seja facilmente estabelecida, garantindo mais segurança diante de problemas simples, como uma queda de luz, e complexos, como um ataque de ransomware.

Avalie vulnerabilidades no hardware

A infraestrutura de TI de instituições de ensino pode ser complexa, contando com um hardware que desempenha um papel crítico e que, uma vez mal configurado ou protegido, pode ser uma porta de entrada para ameaças cibernéticas.

Assim, é fundamental investigar a existência de eventuais problemas para eliminar riscos, manter dados a salvo e garantir a continuidade das operações. Para tanto, vale:

• Realizar um inventário de hardware para elencar todos os dispositivos em uso pela instituição;
• Avaliar as configurações de segurança para se certificar de que seguem as melhores práticas, o que inclui atualizar o firmware, configurar senhas fortes e segmentar redes;
• Conduzir uma análise de vulnerabilidades usando ferramentas como scanners e softwares de detecção de ameaças;
• Realizar testes de intrusão (Pentests) para identificar vulnerabilidades que podem passar despercebidos por scanners automáticos;
• Definir políticas de segurança robustas que englobem a segurança do hardware;
• Implementar o monitoramento contínuo para identificar e mitigar novas vulnerabilidades;
• Criar um plano de resposta a incidentes e outro de recuperação de desastres para saber como lidar com situações de violação de segurança que envolvam o hardware.

Estabeleça uma política de segurança de informação

Como mencionado, é  fundamental que instituições da área da educação desenvolvam suas próprias políticas de Segurança da Informação. A ideia é criar diretrizes de uso e compartilhamento de dados a fim de evitar que informações sensíveis sejam compartilhadas inadvertidamente e garantir um melhor controle acerca das normas estabelecidas.

Além disso, cabe dizer, esse documento pode ser incorporado ao onboarding de cada pessoa contratada pela instituição para que todas entendam o que pode ou não ser feito em relação aos dados, sistemas e o uso da rede corporativa. Algo que contribui, ainda, para que a cultura de segurança cibernética se fortaleça e se dissemine.

Faça um plano de recuperação de desastres

Também é importante que a instituição conte com um plano de recuperação de desastres, ou seja, com um documento que reúne todas as políticas, medidas a serem seguidas para recuperar a infraestrutura de TI e os sistemas caso algum problema ocorra, e os responsáveis por executá-las.

Fique por dentro das tendências da área

Por fim, outra boa prática de Segurança da Informação para instituições de ensino é acompanhar as tendências relativas a ameaças e estratégias de proteção. Assim, é possível se preparar para lidar com novos riscos e manter uma postura de segurança robusta.

É interessante saber, por exemplo, que o relatório IBM Security X-Force Threat Intelligence Index, de 2021, mapeou os tipos mais comuns de ataques sofridos por empresas do setor de educação, destacando:

• Ataques tipo phishing (comumente ocorrem por meio de e-mails falsos);
• Adware (propagandas e anúncios que abrem em sites pouco seguros);
• Ransomware (o “malware sequestrador” que criptografa arquivos importantes e exige o pagamento de resgate para sua devolução);
• Ataque BEC (que ocorre quando alguém se passa por um funcionário da instituição de ensino para roubar informações confidenciais);
• RATs (um tipo de software que permite que sistemas da instituição sejam acessados remotamente).

Além disso, no passado, fraudes e ataques de acesso ao servidor ocorriam com frequência em instituições de ensino. O que serve de alerta para acompanhar a dinâmica da atuação dos agentes mal-intencionados que atuam no ambiente cibernético.

Conte com a Prolinx e proteja sua instituição de ensino

De forma resumida, o que vimos neste artigo foi que escolas e universidades podem ser vulneráveis a riscos cibernéticos por falta de estratégias de proteção e por serem um alvo “rentável” para os criminosos.

Assim, não há dúvidas de que é preciso mudar esse cenário e melhorar a postura de segurança. E também não é difícil entender que pode ser complexo adotar todas as medidas e escolher as tecnologias adequadas para alcançar esse objetivo.

Sobretudo quando entendemos que novas vulnerabilidades vão surgir e que é preciso realizar um monitoramento contínuo de toda infraestrutura de TI para mitigar riscos. O que fazer? Contar com ajuda terceirizada e especializada.

Saiba mais sobre nosso serviço de gestão de vulnerabilidades e entenda como sua instituição pode contar com a Prolinx para manter-se sempre segura!