Puntos clave:
Las auditorías de ciberseguridad en las escuelas no tienen por qué ser estresantes. Si sabes qué esperar, puedes estar bien preparado y prepararte para el éxito futuro. El esfuerzo invertido en la primera auditoría también dará dividendos en el futuro: una vez que se ha completado la primera auditoría, las siguientes son mucho más fáciles. Podrás reciclar información y hacer ajustes leves para cualquier sistema o proceso que haya cambiado en el último año. Lo más importante es que las auditorías exitosas permiten a una escuela obtener un seguro de ciberseguridad, una necesidad creciente y que podría ser obligatoria en el futuro.
Entonces, ¿qué buscan exactamente los auditores? Por lo general, hay algunas cosas principales que examinan: autenticación multifactor (MFA), copias de seguridad seguras, protección de vulnerabilidades/endpoint y capacitación en concienciación de ciberseguridad.
El auditor proporcionará una lista de preguntas y subpreguntas relacionadas, y es probable que incluyan estas indagaciones:
Nuevos recursos de seguridad escolar
¿Tu escuela tiene antivirus en tus computadoras, y proporciona protección y detección avanzada de vulnerabilidades? ¿Tienes protecciones similares en tu servidor de correo electrónico?
¿Tus copias de seguridad están “air-gapped”? ¿Existen separadas de tu entorno de producción o en la nube? Esto es fundamental para la protección contra ransomware.
¿Está activado el MFA en todos los lugares donde tiene sentido? El MFA puede detener a la mayoría de los hackers, especialmente en caso de contraseñas comprometidas.
¿Estás capacitando a tu personal docente y empleados en buena higiene cibernética? El elemento humano es el eslabón más débil en la cadena de seguridad, por lo que mantener a las personas conscientes de las amenazas y de cómo lucen es fundamental para una buena seguridad.
Ampliando sobre estas preguntas principales, es probable que las preguntas adicionales incluyan aquellas sobre tecnología específica. Por ejemplo, ¿qué tipo de autenticación Wi-Fi se utiliza? ¿Utilizas una plataforma de gestión de identidades o un servidor RADIUS? ¿Qué tan segura es tu configuración de VPN? ¿La VPN utiliza MFA? ¿Qué tipo de MFA se utiliza para la VPN? ¿Quién tiene acceso físico a los servidores y copias de seguridad? ¿Tienes un plan de recuperación de copias de seguridad y datos? ¿Con qué frecuencia pruebas tus copias de seguridad?
Cuando el auditor evalúa la capacitación en concienciación de ciberseguridad de tu escuela, a menudo preguntará tanto por la cadencia o frecuencia de estas sesiones de entrenamiento, incluyendo si son obligatorias para todos los empleados o personal. Por lo general, se espera que los entrenamientos se realicen al menos una vez al año y que todos los empleados estén obligados a asistir, pero los entrenamientos más frecuentes siempre son mejores. A veces las escuelas programan estos entrenamientos de ciberseguridad junto con el entrenamiento contra el acoso. Dependiendo de la cultura de tu escuela, puede ser mejor llevar a cabo el entrenamiento a través de seminarios web para permitir que todo el personal de la escuela participe convenientemente y haga preguntas para ayudar a reforzar el material.
Casi todas estas preguntas de auditoría de ciberseguridad pueden ser abordadas con una explicación simple junto con una fotografía, captura de pantalla o un documento oficial que muestre procedimientos, políticas o pruebas de entrenamiento. Además, las respuestas pueden incluir registros de tu dispositivo de copias de seguridad detallando copias de seguridad y/o recuperación exitosas. También puedes adjuntar tu plan de recuperación de copias de seguridad o continuidad junto con la auditoría. Si tienes evidencia adicional para probar una pregunta en la auditoría, agrégala.
Sin embargo, ten en cuenta que cada auditor es diferente y cada hoja de auditoría hará preguntas de manera diferente. En algunos casos, las preguntas pueden estar redactadas de manera extraña o abiertas a cierta interpretación. En estas situaciones, no te preocupes, simplemente responde y proporciona evidencia lo mejor que puedas, y los auditores te dirán si se requiere más claridad o detalle.
Una auditoría puede volverse bastante difícil si tu personal de TI actual tiene menos inclinación técnica, o si simplemente carece de documentación y conocimiento para explicar cómo funcionan los sistemas actuales. No es raro que las cosas se pierdan en el camino, especialmente si tu departamento de TI ha cambiado de manos varias veces. Si sabes que este es el caso, entonces quizás quieras empezar a preparar a tu equipo de TI antes de una auditoría. Incluso puedes usar este artículo como un examen de práctica: habla con tu equipo, haz estas preguntas y discute dónde puede haber puntos ciegos. Si puedes anticiparte a estos problemas, tendrás un tiempo mucho más fácil cuando llegue la auditoría real.
Después de que el equipo de TI de tu escuela haya completado con éxito la primera auditoría de ciberseguridad, proporciona una plantilla para la siguiente. Mantén esto como un documento “vivo” y pide a tu personal de TI que lo actualice en consecuencia si algo cambia. ¿Cambiaste tu MFA para VPN? ¿Quizás implementaste un sistema de gestión de identidades más robusto para el acceso Wi-Fi? Sea cual sea el caso, actualiza tu documento de auditoría para mostrarlo, y cuando llegue la próxima auditoría, tú (o tu equipo de TI) podrán relajarse y enviarlo a los auditores. Lo más importante, una auditoría de ciberseguridad puede ayudar a proporcionar la seguridad de que el entorno de TI de tu escuela es seguro y comprendido por tu personal de TI, y si llegara lo peor, tu seguro de ciberseguridad puede ayudar a encargarse del resto.
Dave Courbanou, Intelligent CloudCare
Dave Courbanou es un administrador de TI con Intelligent CloudCare, un proveedor de servicios gestionados que ayuda a las escuelas a mejorar su higiene de ciberseguridad, protegerse contra ataques de ransomware y gestionar sus redes e infraestructuras. Tiene más de una década de experiencia en servicios de TI y lidera la CloudCare University de Intelligent CloudCare, ofreciendo entrenamiento en línea de ciberseguridad. Puedes ponerte en contacto con él en [email protected].
Últimas publicaciones de colaboradores de eSchool Media (ver todo)