La Seguridad Informática en las universidades

0
2227

Muchas veces pasamos por alto la importancia de tener actualizada la base de datos de virus de nuestro software de seguridad informática. Nos descuidamos. Mientras, crecen a un ritmo cada vez más acelerado las amenazas informáticas capaces de vulnerar nuestra privacidad en la redes. Si bien existen soluciones de lo más diversas para evitar ser víctimas de ataques informáticos, constantemente estamos brindando datos sensibles a organizaciones e instituciones de las cuales participamos pero sin conocer sus políticas destinadas a proteger la información que reciben. En este artículo, Sobre Tiza indagó acerca de cómo las universidades abordan la cuestión de la seguridad de sus redes y qué aspectos tienen en cuenta a la hora de planificar su infraestructura para que esta sea más eficiente y segura.

Es común encontrar informes acerca de las tendencias de potenciales ataques que año a año desafían a las compañías de seguridad informática a armarse de nuevas bases de datos capaces de neutralizar diferentes robots, virus y malware en general. Estos documentos ofrecen estadísticas, proyecciones y estrategias para mejorar la eficiencia de los sistemas de seguridad. Por el contrario, salvo en casos particulares o de gran relevancia, no se observa un seguimiento exhaustivo en el ámbito educativo, en ninguno de sus niveles.

Hoy en Argentina hay más de 4 millones de netbooks en las escuelas secundarias públicas, en muchos casos con acceso a Internet tanto en el establecimiento como en los hogares; las universidades crean sus campus virtuales y censos estudiantiles a través de aplicativos online; en el ámbito privado se ofrecen medios de pago de los aranceles y matrículas a través de plataformas digitales; y se brindan servicios de redes inalámbricas para uso de la comunidad educativa. Estas son solo algunas de las posibles maneras en las que los datos se comparten con las instituciones y, por más que uno cuente en su hogar con la mejor protección, la información que genera está distribuida en múltiples espacios que no siempre son controlados por los usuarios, sino también por las instituciones.

Algunos de los principales usos que las universidades hacen de sus redes son:

  • Ofrecer un canal de acceso a distintos servicios Académicos, de Gestión o recursos de Internet.
  • Conectar las diferentes sedes de las universidades y facultades.
  • Brindar acceso a internet a los estudiantes, tanto de modo controlado (con filtros de contenido) o no.
  • Brindar conectividad inalámbrica para acceso a Internet en aulas, espacios educativos y puntos estratégicos.
  • Ofrecer servicios de transmisión de contenidos audiovisuales vía streaming, videoconferencias, radio y TV.

slide_cableado

Teniendo en cuenta que las redes universitarias deben cumplir con esta multiplicidad de funciones, es necesaria una planificación que asegure la eficiencia del servicio y también su seguridad. En este sentido, Pablo Ramos, Especialista en Seguridad Informática de ESET Latinoamérica, afirma que planificar y diseñar la infraestructura educativa no es para nada una tarea sencilla.

En primer lugar se debe considerar la cantidad de tráfico que se tiene que gestionar como así también el comportamiento de alumnos y profesores, que en la mayoría de los casos, escapa bastante a las buenas prácticas en seguridad informática. Debido a la información que se maneja en una Institución educativa, desde el inicio hay que considerar los segmentos de red que se van a manejar como así también las políticas y software de seguridad”, explicó.

Estas configuraciones de red comienzan a variar en su modo de instalación de una universidad a otra. Por ejemplo, Federico Escalada, Director de Tecnologías de la Información y Comunicaciones de la Universidad Tecnológica Nacional regional Buenos Aires (UTN BA), señaló que su red cableada está diagramada en forma de estrella donde los distintos pisos o edificios se conectan a la Sala de Cómputos. “Se establecieron políticas de seguridad en la forma de acceso y alcances en las conexiones inalámbricas; tomando la red de oficinas como una red confiable y la red de WiFi como una red pública, permitiendo el acceso a los mismos recursos que se encuentran accesibles desde Internet”, explicó a Sobre Tiza.

Por su parte, Manuel Sirtori, responsable de Seguridad Informática a nivel corporativo de la Universidad Austral, señaló que la planificación de la infraestructura no contempla solo a la red, sino que siempre estudian el universo de variables implicado en una planificación, tales como los servicios que se transportaran sobre ella, la cantidad de tráfico, la criticidad futura, protocolos requeridos, rendimiento esperado, entre otras. “Todo esto se acopla a nuestras políticas de seguridad informática institucionales, las cuales se apoyan en procedimientos prácticos que nos permiten trazar un derrotero de implementación adecuado basado en la confidencialidad, disponibilidad e integridad de los datos”, aseguró.

Luis Calderón, Gerente de Sistemas Universidad de Ciencias Empresariales y Sociales (UCES), especificó que la red fue planeada para obtener la mayor velocidad posible, sin descuidar la seguridad. En este segundo aspecto, separaron la red administrativa de las públicas (alumnos y acceso por WiFi). “La red sigue los principios del menor privilegio posible, para evitar que los usuarios tengan acceso a mas permisos de los necesarios”, añadió.

Por último, Marcelo De Vincenzi, Decano Facultad Tecnología Informática de la Universidad Abierta Interamericana (UAI), también se refirió a la separación de redes de acuerdo a funciones que permitan un acceso discrecional a los recursos compartidos. También señaló que avanzaron en la protección de centros de cómputos a través de redes desmilitarizadas y en la instalación de firewalls y proxies para acceso desde y hacia Internet, con diferentes configuraciones de software y medidas de protección de servidores web para protección de ataques. En lo que refiere al tráfico de red, implementaron un filtro de Información/IP/DNS/URLs para bloqueo de accesos a sitios peligrosos, indebidos, virus y prevención de intrusión, complementado con antivirus y firewalls en servidores y estaciones de trabajo, filtros de anti-spam y anti-phishing en los servidores de correo, y una política de claves más seguras.

Las redes universitarias requieren, como afirman los entrevistados, un diseño complejo y diferentes estrategias para garantizar su eficiencia y seguridad, dado que a través de estas circula una gran cantidad de datos personales de la gestión universitaria, de los docentes y de los estudiantes. “Para los ciberdelincuentes, a quienes no les importa a quiénes les roban los datos, estos grandes repositorios de datos personales constituyen un objetivo atractivo”, afirmó el especialista de ESET.

Asimismo, subrayó la importancia de que, al momento de pensar cómo implementar una red en una institución educativa, se deben tener en cuenta la cantidad de los segmentos de red, las soluciones de seguridad para los Endpoint y las reglas de firewall para bloquear posibles ataques, tanto internos como externos. Todo esto sin perder de vista la definición de los perfiles de los usuarios con la menor cantidad de privilegios posibles, y el establecimiento de una política clara de actualización de software y de back up, según el alcance de la institución y la información que maneje.

Detrás del escudo

Entre las amenazas a las que se ven expuestas las universidades y los miembros de su comunidad en general, los responsables de las casas de estudio mencionados acuerdan en que el phishing es una de las principales. El phishing es la suplantación de identidad con la intención de adquirir información confidencial de forma fraudulenta. Pero también la fuga de información es otra de las preocupaciones, afirmó Ramos.

Para brindar algunos ejemplos, podemos citar el caso de la Universidad de Maryland, que en febrero resultó víctima de un ataque de seguridad informática que dejó al descubierto registros con información personal identificable. Una semana más tarde, la Universidad de Indiana anunció que un error del personal había dejado expuesta información sobre 146.000 estudiantes por un lapso de 11 meses. Luego, también a una semana de distancia el Sistema de Universidades de Dakota del Norte informó que habían atacado un servidor con los nombres y números de seguro social de más de 290.000 alumnos y ex alumnos, y alrededor de 780 profesores y empleados.

Si tomamos en cuenta estos sucesos, las redes de las instituciones educativas son objetivos potenciales para los cibercriminales quienes no siempre deben realizar estos ataques desde el exterior. En muchas ocasiones los incidentes de seguridad en este tipo de instituciones provienen de los mismos alumnos ya sea intencionalmente o por no saber que un pendrive en el que llevan su información puede estar infectado”, subrayó el especialista

Siguiendo con sus recomendaciones, Ramos entiende que la mejor manera de protegerse es prevenir, gestionar y monitorizar. En otras palabras, el área de Sistemas de cualquier institución educativa sabe que será objetivo de ataques externos e internos. Teniendo en cuenta esta premisa se pueden y deben implementar diferentes controles que permitan saber qué es lo que está pasando en su red.

En el caso de la UTN Buenos Aires, Federico Escalada, señaló que se realizan actualizaciones de firmware de los dispositivos de red como así también de los Sistemas Operativos que soportan las aplicaciones, y también de las aplicaciones críticas, como Servidores Web, Servidores SQL y se utilizan las versiones LTS. En lo que refiere a las bases de datos de los estudiantes y docentes las mismas se encuentran protegidas a través de firewalls y listas de control de acceso que permiten la lectura de los datos en forma parcial y controlada dependiendo el nivel de una aplicación determinada.

La Universidad Austral está adoptando políticas se seguridad informáticas heredadas en gran medida de su par en el área de la salud, el Hospital Austral. Las mismas enfatizan fuertemente en protocolos y procedimientos apuntados a mejorar la seguridad de la información, tales como una política de back ups y alta disponibilidad para preservar la disponibilidad de datos.

También enfoca parte de su esfuerzo en escaneos constantes de red y equipos en busca de virus, malware y cualquier otra amenaza que comprometa la integridad de los datos manejados y, por supuesto, la capacitación a los usuarios en temas de seguridad. Todo esto apoyado en herramientas y equipos de primer nivel, además de un área de seguridad informática que constantemente investiga las diversas formas de reforzar la seguridad de la información, auditando y velando por la aplicación de los procedimientos establecidos que minimizan las vulnerabilidades”, afirmó Sirtori.

Además, cada año la Austral declara las bases de datos que contienen datos de estudiantes ante el Registro Nacional de Protección de Datos Personales de la República  Argentina. Y en lo que respecta a la operación y manejo de la información relacionada a los alumnos, la universidad cuenta con un sistema propio que sirve como repositorio único de información del alumnado (datos personales, notas, analíticos y demás), el cual se encuentra fuertemente auditado y en actualización constante. “Esto quiere decir que cada acción realizada en el sistema queda registrada, los servidores en los que se aloja este sistema están instalados y mantenidos por nuestro propio data center y cobijados por nuestras políticas de seguridad informática”, destacó.

En el caso de la UCES, afirman mantener siempre actualizados los distintos sistemas operativos y aplicaciones, y hacer un seguimiento del tráfico de red que llega a sus sistemas. También complementan con políticas de filtrado y una actualización constante de la información en cuanto a noticias de seguridad.

Sus bases de datos se encuentran protegidas mediante firewall, y sus sistemas restringen el listado de esa información de tipo personal, mediante módulos de gestión de permisos de usuarios. “También recientemente hemos implementado un sistema que permite a la diferentes áreas de la Universidad cursar mails a los alumnos y docentes, sin necesidad de conocer las direcciones de éstos”, señaló Calderón.

Y entre las medidas de la UAI, De Vincenzi enumera algunos de los recaudos para mantener una infraestructura estable y segura son; implementar una política de seguridad en toda la organización;  buscar la máxima automatización de instalación de actualizaciones de Sistemas Operativos y sus componentes, para servidores, estaciones de trabajo y equipos de red; establecer políticas de monitoreo que permitan evaluar el nivel de actualización acorde a las políticas establecidas; aislar puntos de acceso públicos del resto de la red; y armar un plan de contingencias (DRP) actualizado y probado.

Entre los principales puntos para proteger la información de los estudiantes afirmó que no guardan claves de acceso de alumnos en la base de datos, sino que utilizan algún algoritmo de hash, que la información crítica, el file system y la base de datos están encriptadas, y que se extreman las pruebas de seguridad sobre los sistemas para evitar prácticas de programación que favorezcan la utilización de vulnerabilidades, asegurando la validación de los datos ingresados por el usuario con parámetros estrictos.

Juntos estamos más seguros

En diálogo con Sobre Tiza, Jorge Cella, miembro de la Comisión Directiva de la Cámara Argentina de Empresas de Software y Servicios Informáticos de la República Argentina (CESSI), destacó que la seguridad informática en cualquier organización tiene tres pilares: la tecnología, los procesos y las personas. Usualmente, se hace hincapié en que contar con una tecnología determinada ya es suficiente para estar protegidos, no obstante, para el ejecutivo, se debe profundizar en la documentación de los procesos para disminuir el riesgo de vulnerar los sistemas de seguridad. Además, subrayó la importancia de que las personas deben tomar conciencia de los usos de las diferentes tecnologías y de los procesos de cada organización. “Es también una ingeniería social”, afirmó.

Esto implica una clara inversión tanto económica como de tiempo de trabajo para ofrecer capacitaciones, actualizaciones respecto de nuevas amenazas, etcétera. “En lo que refiere a seguridad informática, los resultados se ven cuando algo sale mal. Por el contrario, cuando existen políticas claras para evitar que esas amenazas impacten en nuestros sistemas de seguridad no se visibiliza porque parece que nada sucede”, explicó.

Si bien la región y el país están avanzados en materia legal respecto a la protección de datos personales, Cella afirma que no se trata de un tema que dependa de un solo sector, sino que la concientización acerca de estas cuestiones requiere del trabajo conjunto del Estado, el sector privado y también del ámbito educativo.

En este sentido, Daniel Rojas, especialista en Seguridad Informática de Symantec, señaló que en diferentes países de la región, los Estados han establecido alianzas con los grupos empresarios e instituciones educativas a fin de mejorar la formación de profesionales especializados en la materia, pero con acciones de diferente alcance y objetivo.

Asimismo, coincide en que todos estos temas inician en la educación de las personas. “Si no hay políticas claras de manejo, administración y acceso a la información en una organización, es muy difícil empezar a pensar en cómo podemos asegurarla frente a posibles ataques”, subrayó.

¿Ahora quién podrá defendernos?

En Argentina existen ofertas de grado y posgrado que apuntan a la formación y especialización de profesionales en materia de Seguridad Informática. Una de estas es la Maestría impulsada desde 2009 por las facultades de Ciencias Exactas y Naturales, Ingeniería y Económicas de la Universidad de Buenos Aires. En diálogo con Sobre Tiza, Hugo Sclonik, director de Maestría, afirmó que recientemente fue reconocida entre las mejores 50 del mundo. Esta oferta llamó la atención de profesionales de toda la región (en menor medida argentinos), quienes han venido al país a estudiar y también comenzado a trabajar en diferentes áreas relacionadas a su especialización en el mercado local.

Hugo Sclonik
Hugo Sclonik

Según Scolnik, en los ambientes universitarios existe un consenso en que deben comenzar a ampliarse la oferta en torno a la seguridad informática, pero esto aún no se ha materializado en acciones concretas. Esto también se dificulta por cuestiones de diversa índole, pero en algunos casos vinculado a la cuestión presupuestaria, según las inversiones que deban hacer en materia de infraestructura.

En cuanto al presupuesto, el reporte de Seguridad en América Latina de ESET publicado este año, señala que la inversión en seguridad informática por parte de las empresas también es un tema delicado. Si bien en el relevamiento se puede ver que las empresas suelen ver al área de IT como la más adecuada para contener a la de Seguridad de la Información, no siempre consideran que los presupuestos son suficientes para cubrir todas las necesidades. No obstante, durante 2013 en el sector privado se observó un mayor crecimiento en el segmento de empresas que aumentó de inversión entre el 10% y 20%, respecto de 2012.

Scolink señaló que el lento avance de las instituciones en relación a las medidas de seguridad tiene que ver, en parte, con una cuestión cultural, además de la económica antes mencionada. La previsión de las infraestructuras y los sistemas de seguridad no siempre se contemplan como una protección contra riesgos potenciales, sino como un gasto, incluso aun cuando cada vez son más las políticas que buscan informatizar la gestión académica y pública, y la investigación científica vinculada a las universidades.

En muchos casos, desde la formación, Scolnik afirmó que gran parte de los cursos de seguridad informática en las universidades tienden a ser de carácter optativo, lo que también dificulta instalar el tema dentro del desarrollo académico y profesional de los estudiantes de grado.

En lo que respecta a la formación de profesionales y a la administración de la seguridad informática en general, las condiciones están dadas para que, además de las discusiones académicas, comiencen a materializarse en acciones concretas para mejorar la calidad de la enseñanza y de eficiencia.

Por un lado, sabemos que la salida laboral de estos perfiles es inmediata y, si bien se da en un escenario propicio para pensar en nuevos modos de entender la seguridad de la información, deben superarse ciertas barreras vinculadas a la prevención y la anticipación tanto en la administración de redes de las instituciones de enseñanza superior como también en el sector privado y el Estado en general. Por otro, la toma de decisiones de las instituciones educativas respecto de la seguridad de sus redes y de los datos de su comunidad, deberían ser una de las prioridades tanto de los responsables de sistemas como también una exigencia de los miembros de la comunidad académica.

Informe realizado por Lucas Esteban Delgado, Director de Sobre Tiza.

Deja un comentario