Dados sobre Segurança da Informação em instituições de ensino mostram que as empresas do setor são as principais vítimas de incidentes de ransomware no mundo. A informação é do relatório “The State of Ransomware in Education 2023”, divulgado pela Sophos.
Se interessou em saber por que isso acontece?
Embora não sejam, necessariamente, ricas e capazes de gerar altos lucros para os criminosos, essas instituições sofrem uma pressão grande para resolver os problemas logo, seguir funcionando e manter os dados de seus estudantes e responsáveis à salvo.
Com isso, apresentam taxas altas de pagamento do “resgate” solicitado pelos criminosos. Algo que resulta em prejuízo financeiro e nem sempre garante que os dados sejam devolvidos e não vazados para terceiros.
Essa vulnerabilidade se torna ainda mais atraente quando a IE não adota medidas adequadas para melhorar sua postura de segurança e evitar ataques. Siga em frente com a leitura para saber mais sobre o assunto!
O que é Segurança da Informação escolar e quais seus três pilares?
A Segurança da Informação em instituições de ensino nada mais é do que o conjunto de técnicas e práticas adotadas para assegurar a proteção de dados, evitar adulterações e garantir o acesso somente a quem tem autorização.
Em suma, algo bastante parecido com o que ocorre em organizações de qualquer outro setor e que nos leva a um conceito que engloba políticas internas, processos e estratégias adotadas para assegurar o controle e a segurança no fluxo e no armazenamento de informações.
Tudo isso faz com que a segurança de dados no setor da educação conte com três pilares fundamentais:
- Confidencialidade;
- Integridade;
- Disponibilidade.
Vejamos cada um deles, em detalhes, para que você os compreenda melhor:
1. Confidencialidade
A confidencialidade é o pilar que evita o acesso de pessoas não autorizadas aos dados coletados e gerados pela instituição de ensino, garantindo a privacidade de alunos, seus responsáveis, professores e outros usuários.
Caso a escola ou universidade ainda se baseie no uso de papéis, precisa contar com arquivos fechados e controles de acesso para que somente pessoas autorizadas manuseiem documentos sensíveis.
Considerando um ambiente digital e o uso de documentos online, a confidencialidade pode ser alcançada a partir da configuração de hierarquias de acesso, do uso de senhas e da criação de um ambiente criptografado, por exemplo.
2. Integridade
Por sua vez, a integridade é o pilar da segurança de dados na área da educação que garante que as informações não sejam alteradas ou adulteradas. Isso é fundamental para que os dados estejam sempre corretos e sejam confiáveis, e não gerem erros de processo.
É importante ter em mente que alterações podem acontecer por simples falha humana ou até de forma mal-intencionada para prejudicar a instituição de ensino, seus alunos e comunidade como um todo. Por isso, é preciso buscar a integridade.
Dados físicos precisam ser protegidos enquanto armazenados e quando manuseados. Isso inclui adotar medidas de autenticação e também cuidados para evitar o desgaste ou destruição dos arquivos em papel, uma vez que podem ser afetados por umidade, mofo e outros problemas.
Considerando o uso de dados digitais, os mesmos recursos que mencionamos antes são úteis para evitar alterações indevidas e até rastrear mudanças e identificar seus autores.
3. Disponibilidade
Por fim, o pilar da disponibilidade é o que facilita o acesso da equipe autorizada aos dados coletados e gerados pela instituição de ensino, garantindo assim o cumprimento das tarefas diárias e o fluxo contínuo de trabalho.
Isso é importante para que a equipe não perca tempo em busca de documentos que foram armazenados no local errado ou que tenham se perdido, atrasando processos diversos.
O acesso à informações deve ocorrer de maneira rápida e simples. Isso exige um bom sistema e disciplina para mantê-lo funcionando em arquivos físicos ou o uso de um software que facilite a categorização de dados e sua busca pelo próprio sistema.
Como a LGPD regula a proteção de dados no setor da educação ?
A Segurança da Informação em instituições de ensino é importante, também, para estar em conformidade com a Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020.
Escolas e universidades colhem dados dos usuários que fazem parte de sua comunidade, comumente formada por estudantes (e seus responsáveis), docentes e outros profissionais contratados.
Todas essas pessoas, segundo a LGPD, são titulares de seus próprios dados e precisam autorizar expressamente que a instituição recolha e armazene essas informações. Por sua vez, a instituição precisa deixar claro como esses dados serão usados em busca de autorização para fazê-lo.
Essa parte legal pode ser cumprida no ato da matrícula, com as devidas cláusulas relativas à LGPD presentes no contrato firmado entre alunos/responsáveis e as escolas ou universidades.
Uma vez que a autorização de coleta, armazenamento e manipulação dos dados for concedida, a instituição de ensino passa a ser responsável por sua segurança. E isso significa que cabe à gestão assegurar que:
- As informações sejam usadas somente para os fins acordados;
- Somente pessoas autorizadas acessem as informações;
- Nenhum documento ou informação seja extraviado ou vazado.
Com tudo isso, é interessante que se conheça a legislação para entender como fazer o tratamento de dados com base na LGPD e quais políticas internas precisam ser desenvolvidas ou aprimoradas para alcançar essa conformidade.
Como proteger instituições de ensino
Já indicamos que o cuidado com a Segurança da Informação nas instituições de ensino também pode ocorrer fora do universo online, exigindo o cuidado com documentos em papel. Porém, vamos focar na cibersegurança e nas estratégias de proteção contra hackers e suas ações.
O ponto de partida é entender que é preciso investir em tecnologia, pessoas e processos para criar um ambiente funcional, eficiente e altamente focado em segurança.
No que diz respeito à parte mais técnica da TI, a ideia é adotar medidas como:
- Contratação de boas soluções de antivírus corporativo e anti-malware;
- Configuração de firewalls (IDS, IPS e WAF as a Service);
- Configuração de WIPS ou Wireless Intrusion Detection System;
- Uso de DLP ou Data Loss Prevention para rede e e-mail;
- Divisão da arquitetura de TI em redes isoladas
Já no que diz respeito ao ajuste ou (re)definição de processos com foco em segurança cibernética em escolas e universidades, é válido realizar:
- Gestão de acessos a rede e sistemas;
- Gestão de incidentes e problemas;
- Gestão de mudanças sistêmicas e de infraestrutura;
- Gestão de backups e continuidade de negócios.
Por último, mas não menos importante, é fundamental dar atenção às pessoas que utilizam os sistemas e redes da instituição de ensino, tendo em mente que o comportamento humano pode criar riscos cibernéticos. Um problema que pode ser prevenido como:
- Realização de treinamentos e campanhas de conscientização sobre Segurança da Informação e privacidade de dados;
- Criação de cartilha ou informes com novas ameaças e boas práticas;
- Incorporação de medidas de cibersegurança na política e na cultura da empresa.
O que vale para qualquer organização que esteja no mundo digital, ou seja, praticamente todas, é o entendimento de que a segurança cibernética é uma estratégia de negócios e deve ser tratada como tal.
Boas práticas de segurança cibernética para instituições de ensino
Definir boas práticas de segurança cibernética não é mera formalidade. Por vezes, medidas básicas deixam de ser adotadas por parecem “detalhes” e acabam se transformando no alcançar de Aquiles de uma organização.
Por isso, vamos te apresentar práticas simples que, sobretudo com a orientação de especialistas de TI, são capazes de elevar a proteção da sua instituição de ensino. Confira:
Mantenha o ambiente atualizado
Atualizações de software não existem somente para o lançamento de novas features, sendo importantes, também, para corrigir falhas de segurança que podem ser exploradas por cibercriminosos.
É por essa razão que as pessoas que utilizam os sistemas e a rede da escola ou universidade precisam ser orientadas a realizar atualizações sempre que novas versões forem apresentadas ou solicitarem apoio da TI para isso.
Exija senhas mais complexas
Outra boa prática de Segurança da Informação em instituições de ensino é orientar a criação de senhas fortes e diferentes para cada acesso para fazer com que:
- Seja mais difícil aos hackers descobrirem as senhas de acesso;
- Uma única senha não garanta acesso a todo o ambiente de TI da empresa, limitando a ação dos criminosos caso uma invasão ocorra.
Crie mecanismos de controle de acesso
Também é importante definir quem pode acessar qual informação para permitir que somente pessoas autorizadas vejam e manipulem informações sensíveis.
Para isso, é importante criar informações individuais de login, criar mecanismos de hierarquia de acesso e contar com ferramentas que permitam verificar quais ações foram executadas por cada usuário; uma forma de rastrear eventuais ações indevidas e manter a segurança de dados.
Automatize os backups e restore de dados
Dizer que é preciso fazer backups é pouco. A Segurança da Informação em instituições de ensino demanda processos automatizados de criação de cópias de segurança para possibilitar que dados gerados e armazenados possam ser recuperados frente a um eventual revés.
O ideal, para tanto, é ter uma política de backup e contratar uma solução de backup em nuvem que permita que uma rotina de backups seja facilmente estabelecida, garantindo mais segurança diante de problemas simples, como uma queda de luz, e complexos, como um ataque de ransomware.
Avalie vulnerabilidades no hardware
A infraestrutura de TI de instituições de ensino pode ser complexa, contando com um hardware que desempenha um papel crítico e que, uma vez mal configurado ou protegido, pode ser uma porta de entrada para ameaças cibernéticas.
Assim, é fundamental investigar a existência de eventuais problemas para eliminar riscos, manter dados a salvo e garantir a continuidade das operações. Para tanto, vale:
- Realizar um inventário de hardware para elencar todos os dispositivos em uso pela instituição;
- Avaliar as configurações de segurança para se certificar de que seguem as melhores práticas, o que inclui atualizar o firmware, configurar senhas fortes e segmentar redes;
- Conduzir uma análise de vulnerabilidades usando ferramentas como scanners e softwares de detecção de ameaças;
- Realizar testes de intrusão (Pentests) para identificar vulnerabilidades que podem passar despercebidos por scanners automáticos;
- Definir políticas de segurança robustas que englobem a segurança do hardware;
- Implementar o monitoramento contínuo para identificar e mitigar novas vulnerabilidades;
- Criar um plano de resposta a incidentes e outro de recuperação de desastres para saber como lidar com situações de violação de segurança que envolvam o hardware.
Estabeleça uma política de segurança de informação
Como mencionado, é fundamental que instituições da área da educação desenvolvam suas próprias políticas de Segurança da Informação. A ideia é criar diretrizes de uso e compartilhamento de dados a fim de evitar que informações sensíveis sejam compartilhadas inadvertidamente e garantir um melhor controle acerca das normas estabelecidas.
Além disso, cabe dizer, esse documento pode ser incorporado ao onboarding de cada pessoa contratada pela instituição para que todas entendam o que pode ou não ser feito em relação aos dados, sistemas e o uso da rede corporativa. Algo que contribui, ainda, para que a cultura de segurança cibernética se fortaleça e se dissemine.
Faça um plano de recuperação de desastres
Também é importante que a instituição conte com um plano de recuperação de desastres, ou seja, com um documento que reúne todas as políticas, medidas a serem seguidas para recuperar a infraestrutura de TI e os sistemas caso algum problema ocorra, e os responsáveis por executá-las.
Fique por dentro das tendências da área
Por fim, outra boa prática de Segurança da Informação para instituições de ensino é acompanhar as tendências relativas a ameaças e estratégias de proteção. Assim, é possível se preparar para lidar com novos riscos e manter uma postura de segurança robusta.
É interessante saber, por exemplo, que o relatório IBM Security X-Force Threat Intelligence Index, de 2021, mapeou os tipos mais comuns de ataques sofridos por empresas do setor de educação, destacando:
- Ataques tipo phishing (comumente ocorrem por meio de e-mails falsos);
- Adware (propagandas e anúncios que abrem em sites pouco seguros);
- Ransomware (o “malware sequestrador” que criptografa arquivos importantes e exige o pagamento de resgate para sua devolução);
- Ataque BEC (que ocorre quando alguém se passa por um funcionário da instituição de ensino para roubar informações confidenciais);
- RATs (um tipo de software que permite que sistemas da instituição sejam acessados remotamente).
Além disso, no passado, fraudes e ataques de acesso ao servidor ocorriam com frequência em instituições de ensino. O que serve de alerta para acompanhar a dinâmica da atuação dos agentes mal-intencionados que atuam no ambiente cibernético.
Conte com a Prolinx e proteja sua instituição de ensino
De forma resumida, o que vimos neste artigo foi que escolas e universidades podem ser vulneráveis a riscos cibernéticos por falta de estratégias de proteção e por serem um alvo “rentável” para os criminosos.
Assim, não há dúvidas de que é preciso mudar esse cenário e melhorar a postura de segurança. E também não é difícil entender que pode ser complexo adotar todas as medidas e escolher as tecnologias adequadas para alcançar esse objetivo.
Sobretudo quando entendemos que novas vulnerabilidades vão surgir e que é preciso realizar um monitoramento contínuo de toda infraestrutura de TI para mitigar riscos. O que fazer? Contar com ajuda terceirizada e especializada.
Saiba mais sobre nosso serviço de gestão de vulnerabilidades e entenda como sua instituição pode contar com a Prolinx para manter-se sempre segura!
