La ciberseguridad en las universidades es esencial, ya que los ciberataques son una constante insoslayable en el mundo actual. Si bien los hackers tienen múltiples vías de acceso para atacar las redes informáticas, en términos cibernéticos la mayor vulnerabilidad de cualquier organización reside en acciones del personal (como abrir correos electrónicos con phishing o navegar por sitios web infectados, por ejemplo). Por ende, su capacitación constante para hacer frente a los ataques es también una de las mejores maneras de mejorar la ciberseguridad de cualquier organización.

Ciberseguridad en las universidades: principales riesgos

Algunos de los principales riesgos que enfrentan los miembros de la comunidad universitaria son:

Phishing, ransomware y malware: dada su poca conciencia sobre ciberseguridad, muchos estudiantes universitarios pueden ser presa de hackers a los que les resulta relativamente sencillo embaucarlos con correos maliciosos, a veces muy difíciles de distinguir de aquellos enviados por entidades legítimas, como bancos y la propia universidad.

Passwords inseguros: los estudiantes —como mucha gente— tienden a utilizar la misma contraseña en varios sitios y muchas veces son palabras sencillas de adivinar. Además, la abundante información personal que publican en las redes sociales puede facilitar la tarea de los hackers.

Ciberseguridad en universidades

Dispositivos móviles: la creciente práctica conocida como bring your own device (BYOD) hace que en un momento dado haya miles de dispositivos de todo tipo conectados a las redes universitarias. Si bien el equipo de TIC de la universidad puede implementar políticas para asegurarse de que los usuarios actualicen sus sistemas de manera periódica y que sólo accedan a las redes aquellos con credenciales vigentes, mantener el control puede ser una verdadera pesadilla. Además, puede ser muy difícil evitar que se haga uso de conexiones físicas —por ejemplo, el cable de red de una impresora— para conectar computadoras portátiles sin protecciones suficientes o que podrían estar infectadas y esparcir virus por los sistemas universitarios.

Redes con características heterogéneas: En las universidades suelen coexistir interconectadas redes públicas y privadas, cada una con diferentes configuraciones de seguridad, lo que complica el panorama porque además de los dispositivos móviles hay otros conectados a ellas —sobre todo en los laboratorios— que carecen de características de seguridad adecuados.

Entrenamiento inteligente

La falta de comunicación efectiva es siempre una limitante cuando se trata de implementar sistemas de protección en las TIC, aún en países del primer mundo. De hecho, una investigación publicada por Trend Micro a principios de enero pasado reveló que el 57% de los CIO encuestados considera que la comunicación interna es el principal obstáculo que enfrentan cuando se trata de ciberseguridad.

Sin embargo, hay soluciones que la mayoría de las organizaciones pueden implementar sin elevar demasiado sus costos, y pasan por capacitar de manera constante e inteligente al personal. De acuerdo con expertos de ISACA (asociación internacional de profesionales de la seguridad en TIC originalmente llamada Information Systems Audit and Control Association, con más de 159,000 miembros en 180 países), la mejor manera de enfocar este entrenamiento continuo es de manera análoga a las actualizaciones de software: no hacerlas oportunamente genera riesgos que crecen con el tiempo.

Recomendaciones de ISACA

1) Crear un plan integral de ciberseguridad y actualizarlo conforme a las amenazas más recientes.

2) Establecer políticas de comunicación interna efectivas para inculcar en los miembros de la comunidad universitaria las mejores prácticas.

3) Inculcar en la comunidad una cultura de ciberseguridad, particularmente con el personal y los alumnos de nuevo ingreso.

4) Hacer evaluaciones periódicas tanto del personal como de los equipos, para determinar las vulnerabilidades.

5) Ofrecer entrenamiento continuo a lo largo del año a los empleados de todos los niveles.

6) Designar en cada área a un empleado que funja como delegado del departamento de TIC para dar seguimiento al entrenamiento de ciberseguridad y mantener motivados los demás.

7) Entrenamientos con “fuego real”: simular ataques organizados por el departamento de TIC (como el envío de correos con phishing) para evaluar y analizar la respuesta del personal para luego retroalimentarlo sobre la mejor forma de proceder.

8) Educar a los empleados en la importancia de mantener buenas prácticas de ciberseguridad también en su vida privada.

9) Recompensar a los empleados que ayuden a identificar ataques cibernéticos y los comuniquen oportunamente a los encargados de TIC.

ARTÍCULOS RELACIONADOSMÁS ARTÍCULOS DEL AUTOR