Desde las escuelas privadas hasta los distritos escolares K-12 y desde los centros de aprendizaje hasta las universidades, los atacantes cibernéticos han ampliado sus objetivos para incluir las numerosas entidades que componen el sector educativo. Sus objetivos finales siguen siendo los mismos: obtener información confidencial, mantener a estas instituciones (personal, profesores, estudiantes) como rehenes del ransomware y/o robar registros financieros para revenderlos en el mercado negro.
No es de extrañar que los ciberatacantes hayan optado por alimentarse de este sector. Este objetivo suele ser visto por los ciberatacantes como un "camino de menor resistencia" en comparación con las empresas globales.
Los atacantes cibernéticos son muy conscientes de que los centros educativos no suelen contar con el personal adecuado para abordar táctica y estratégicamente un plan integral de mitigación de amenazas cibernéticas. Además, muchas de las herramientas de ataque utilizadas recientemente para atacar el sector de la educación fueron diseñadas originalmente para perseguir a las grandes corporaciones. Como resultado de soportar la agonizante experiencia de una violación u otro ataque cibernético, estas entidades más grandes reforzaron su seguridad cibernética a través de dispositivos, personal, políticas y procedimientos. Sus controles cibernéticos mejorados han hecho que esos primeros métodos de ataque no sean tan efectivos, hasta ahora. Los atacantes cibernéticos están reutilizando sus herramientas de ataque, a menudo sin la necesidad de crear nada nuevo, para cazar al sector educativo que carece de recursos.
A continuación se presentan varios pasos clave para ayudar al sector educativo a combatir el cibercrimen:
- Lleve a cabo sesiones periódicas de "Capacitación en concientización sobre seguridad" para todo su personal, incluidos los profesores, entrenadores, personal administrativo y otros. A menudo, sus empleados pueden ser la primera línea de defensa. Educarlos sobre las violaciones cibernéticas, las estafas de phishing, etc., fortalecerá su capacidad para detectar y prevenir futuros ataques cibernéticos.
- Realizar una evaluación integral de amenazas, vulnerabilidades y riesgos (TVRA, por sus siglas en inglés) en contexto con su entorno (ya sea un distrito escolar K-12 o una institución de educación superior). Este proceso identifica, cuantifica y documenta la probabilidad de varios tipos de amenazas relacionadas con una instalación de aprendizaje específica que pueden causar una interrupción en las operaciones.
- Desarrollar un "Manual de estrategias de gestión de incidentes" general para cubrir los incidentes reportados (enfatizados en la sesión de capacitación de concientización sobre seguridad anterior) y cómo abordar adecuadamente esos incidentes. Esto incluye los procedimientos de comunicación a las partes afectadas.
- Cree una lista priorizada de riesgos (basada en el TVRA anterior) y asocie esos riesgos con controles adecuados (por ejemplo, tecnología, servicios o procedimientos adicionales) para mitigar el riesgo. Dependiendo de la postura de seguridad actual, es posible que sea necesario desarrollar o mejorar estos controles. Identificar los riesgos de alto nivel ahora puede servir como catalizador para controles o defensas adicionales en el futuro.
- Reevalúe su entorno de riesgo, continuamente, a través del proceso TVRA. De este modo, se pondrá fin a los riesgos encontrados anteriormente, asegurándose de que se han mitigado a un nivel aceptable, y se determinará si han evolucionado nuevos riesgos desde la evaluación anterior.
Dado que la mayoría de los centros educativos no cuentan con los recursos internos para desarrollar, implementar y monitorear continuamente un plan de defensa cibernética, será fundamental encontrar una empresa de seguridad objetiva.
Al examinar las empresas de seguridad, tenga en cuenta las siguientes sugerencias para asegurarse de que su empresa de seguridad proporciona las mejores estrategias disponibles:
1. Elija una empresa que no venda productos de seguridad. Estas empresas pueden presionarlo para que compre herramientas que pueden no ser ideales para sus problemas de seguridad o entorno específicos. Su enfoque tiende a estar en los productos y no en las evaluaciones y la planificación de la seguridad.
2. Considere una empresa de seguridad con experiencia específica en el sector educativo. Sus profesionales comprenden las necesidades de seguridad operativa y física para proteger a los empleados, profesores y estudiantes, y cómo esos aspectos se relacionan con el componente cibernético de un plan de seguridad general.
3. Revise los antecedentes del equipo del proyecto que trabajará con usted. Asegúrese de que sus credenciales y experiencia incluyan la realización de evaluaciones generales de seguridad, el desarrollo y la implementación de planes, así como consultoría específica de ciberseguridad.
Tenga en cuenta que el plan de mitigación cibernética que implemente en última instancia solo será tan bueno como el personal que utilice sus sistemas. Como se ha destacado anteriormente, todo el personal debe recibir formación específica en ciberseguridad. Al elegir un programa con capacitación práctica y pruebas, es más probable que sus empleados retengan información vital.