Evaluación de riesgos de ciberseguridad en infraestructuras universitarias

Evaluación de riesgos de ciberseguridad en infraestructuras universitarias

En el último año se han incrementado los ciberataques en las escuelas y universidades, pero pocos de ellos han sido de conocimiento público. Esto, se acompaña por el alto índice de percepción de riesgos ya que, el 80% de las universidades considera que están expuestas a un alto riesgo por ciberamenazas. Por si fuera poco, sabías que, de acuerdo con IBM, el coste medio de una brecha de datos en una institución de este tipo ronda los ¡$3.86 millones de dólares!

¿Cómo revertir esta situación que vulnera la integridad digital de instituciones educativas, personal administrativo, docente y de estudiantes? La respuesta está en una evaluación de riesgos informáticos. En este artículo, te lo explicaremos a detalle y te proporcionaremos algunos consejos útiles para proteger información esencialmente valiosa.

Una evaluación de riesgos de ciberseguridad es un proceso que identifica y evalúa los riesgos informáticos que enfrenta una organización. En el caso de una universidad, esto incluiría la identificación de riesgos en la red, servidores, aplicaciones, dispositivos de usuario y cualquier otra tecnología utilizada por la institución.

Existen varias formas de llevar a cabo una evaluación de riesgos de ciberseguridad en una universidad; lo ideal y una de las más comunes es contratar a un experto u organización de ciberseguridad para que realice una auditoría de seguridad. Las fases suelen variar, pero, en síntesis, podemos hablar de 6 estadios:

• Definición de un marco de evaluación: : Se definen las herramientas o los modelos de evaluación a utilizar. Con esto definido, los profesionales del área de gestión de riesgos de seguridad de la información están listos para avanzar en el inventario de los activos de información.
• Identificación de activos: Se debe identificar toda la infraestructura de la red, incluyendo servidores, equipos de red, sistemas de almacenamiento, archivos en papel y bases de datos. También se deben identificar los datos y la información que se manejan en la universidad, como información de los estudiantes, datos financieros, información de investigación y propiedad intelectual.
• Identificación de amenazas: Es importante identificar todas las amenazas a las que la red de la universidad puede estar expuesta. Esto incluye amenazas internas, como errores humanos o mala configuración de la red, y amenazas externas, como ataques cibernéticos, malware y phishing.
• Evaluación de vulnerabilidades: Es necesario llevar a cabo una evaluación de vulnerabilidades para identificar posibles debilidades en la infraestructura de la red y en los sistemas y aplicaciones que puedan ser explotados por atacantes.
• Determinación el impacto de un ciberataque: Ahora que se tiene una lista de activos y una lista de riesgos que los amenazan. Es el momento en que se entiende que esas amenazas no revisten la misma gravedad y, por ende, la misma importancia. En este paso se califican los riesgos en función de la probabilidad de ocurrencia y la capacidad para causar daño, pero también con sus implicaciones comerciales, legales, contractuales y regulatorias.
• Creación de un plan de gestión de riesgos: Además de indicar los ejes de acción y los indicadores de efectividad en el performance de la estrategia de seguridad, es necesario definir cuáles serán los controles de seguridad adecuados para proteger los activos de la universidad antes de que un ataque suceda (preferentemente), pero también se deben considerar acciones durante o después de un siniestro para el peor de los casos.

Con este tipo de evaluaciones, se podrá tener una visión precisa de todos los activos relacionados con la información, lo que permitirá conocer los riesgos a los que se exponen. Además, se podrán priorizar aquellos riesgos que tengan mayor probabilidad de producirse para poder invertir mayores recursos en evitarlos.

De optar por este tipo de análisis, se podrá medir el impacto que producirá cualquier riesgo en caso de producirse, lo que facilitará la toma de decisiones a la hora de invertir en ciberseguridad y reducirá los tiempos de actuación ante posibles incidentes de seguridad.

Además de llevar a cabo una evaluación de riesgos de ciberseguridad, hay varios pasos que los estudiantes y el personal universitario pueden tomar para proteger su información personal y académica. Así se puede reforzar aún más la defensa digital:

• Uso de contraseñas seguras.
• Actualización de software.
• Uso de software antivirus y antimalware.
• Uso de una red privada virtual (VPN) para proteger tu conexión a Internet.
• Educación y conocimiento actualizado de las nuevas modalidades de ataque

Si eres el CIO o líde del departamento TI y de ciberseguridad de una universidad considera también lo siguiente: El uso de tecnologías como firealls, soluciones de prevención de pérdida de datos y filtrado del sistema de nombres de dominio (DNS). Implementación de sistemas de seguridad en la nube automatizados y planes de Disaster Recovery. Añadir protocolos de seguridad para reforzar la seguridad de las contraseñas. Revisión de los roles y privilegios de los usuarios (con especial cuidado en la asignación de los roles con mayores privilegios, como los administradores). Contratación de un seguro que cubra los daños ocasionados. Implementación de sistemas alternativos o duplicados para asegurar la disponibilidad del sistema (high availability).

La ciberseguridad debe formar parte de la cultura de cualquier institución educativa, que permee desde el personal administrativo, docente hasta el cuerpo estudiantil. Para este punto, ¡Buena noticias! ya sabes qué es una evaluación de riesgos, cómo se lleva a cabo y las múltiples bondades que ofrece.

Recuerda, los datos son un activo fundamental y de mucho valor dentro de una sociedad cada vez más “digitalizada”. Protejamos los entornos educativos y seamos más conscientes de los riesgos informáticos actuales.