En el sector educativo, como en otros, entran en juego una gran diversidad de normas de diferente jerarquía normativa. Para recopilar las más relevantes se ha publicado en el BOE el Código de la Ciberseguridad.
De todas las normas aplicables debemos destacar el Reglamento Europeo de Protección de Datos (Reglamento General de Protección de Datos o RGPD) y la normativa española de desarrollo: la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que velan por la protección y privacidad de los datos personales. En ellas, se señala la obligación de crear una política de seguridad en los centros educativos, así como la necesidad de informar y formar a la comunidad educativa de la misma.
Hemos de recordar que el incumplimiento podrá suponer la imposición de las sanciones correspondientes.
Todas las normas relacionadas con las medidas de ciberseguridad responden a la Estrategia Nacional de Ciberseguridad, que delimita el entorno del ciberespacio y fija los principios, objetivos y líneas de acción que garantizan la ciberseguridad nacional. Puedes consultarla en el siguiente enlace: https://www.dsn.gob.es/es/estrategias-publicaciones/estrategias/estrategia-ciberseguridad-nacional
Junto a esta normativa básica debemos formar e informar, siguiendo el principio de proactividad aplicable a las instituciones educativas, sobre la normativa de propiedad intelectual. La Ley de Propiedad Intelectual se encuentra regulada en el Real Decreto Legislativo 1/1996, cuyo objetivo es proteger cualquier tipo de obra literaria, artística o científica, fruto de cualquier actividad empresarial.
La LPI protege los derechos de los autores, tanto derechos morales, que son inalienables e irrenunciables, como derechos patrimoniales o de explotación de la obra. En cuanto a estos últimos, las instituciones públicas y privadas deberán:
-
-
- No utilizar obras protegidas sin pagar derechos de autor, esto afecta tanto al software, como a imágenes, videos, textos, audios, tipografías, etc. También se incluye a los creadores o diseñadores que se contrate.
- Proteger los derechos de las creaciones propias o de los empleados, respetando siempre el derecho del creador de reconocerse como autor de la obra
-
Por último, como funcionarios públicos de la Junta de Andalucía debemos cumplimiento al Resolución de 22 de octubre de 2020, de la Secretaría General para la Administración Pública, por la que se aprueba el Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales públicos de la Administración de la Junta de Andalucía.
https://www.juntadeandalucia.es/boja/2020/208/34
CONCEPTOS BÁSICOS.
Es importante definir los conceptos que utilizaremos en el ámbito de ciberseguridad. Vamos a destacar los siguientes:
CIBERSEGURIDAD: Conjunto de estrategias que a través de herramientas, políticas y procesos procuran la protección de la infraestructura computacional y la información contenida en un dispositivo o que circula por redes.
AUTENTICACIÓN. Es el proceso que permite la verificación de la identidad de una persona cuando intenta acceder a archivos o un dispositivo.
COPIA DE SEGURIDAD. Almacenamiento de copias de sus archivos en un servidor, disco duro, ordenador o unidad extraíble para acceder a ellos en caso de pérdida.
RED PRIVADA VIRTUAL (VPN). Estrategia que persigue ofrecer un sistema más seguro de acceso a Internet mediante el enrutamiento de la conexión a través de un servidor que oculta su ubicación.
CIFRADO. Procedimiento que permite la transformación de datos para ocultarlos.
FIREWALL. Hardware o software diseñado para mantener a los usuarios no deseados fuera de su red.
EVALUACIÓN DE RIESGOS. Proceso de identificación de posibles riesgos a los que se enfrenta una institución y la red.
ROBO DE DATOS. Se define como el acceso no autorizado a datos.
HACKER. Persona que infringe la seguridad para acceder a los datos con una intención maliciosa.
MALWARE. Software diseñado para llevar a cabo acciones perjudiciales y no autorizadas en un ordenador.
PHISHING. Estafas por correo electrónico enviadas por hackers para obtener información confidencial como información bancaria o contraseñas.
SPYWARE. Software espía malicioso que roba datos personales sin consentimiento.
VIRUS. Malware diseñado para propagarse automáticamente.
GUSANO. Malware que se instala en un ordenador y se copia a sí mismo en otros equipos.
PELIGROS EN LA RED.
Internet nos abre un mundo de oportunidades de información y formación, pero estas funcionalidades también pueden suponer tener que enfrentarnos a riesgos.
Siguiendo a Pere Marqués, los riesgos podríamos clasificarlos según estén relacionados con la información, la comunicación, las actividades económicas o las adiciones. (http://www.peremarques.net/habilweb2.htm)
-Riesgos relacionados con la información.
-
- Acceso a información poco fiable y falsa.
- Dispersión, pérdida de tiempo.
- Acceso de los niños a información inapropiada y nociva para su edad.
- Acceso a información peligrosa, inmoral, ilícita (pornografía infantil, violencia, racismo, terrorismo,)
-Riesgos relacionados con la comunicación.
-
- Bloqueo del buzón de correo.
- Recepción de “mensajes basura”.
- Recepción de mensajes ofensivos.
- Pérdida de intimidad.
- Acciones ilegales: difundir datos de terceras personas, plagiar, amenazar, …
- Malas compañías.
-Riesgos relacionados con las actividades económicas.
-
- Estafas.
- Compras inducidas por publicidad abusiva.
- Compras por menores sin autorización paterna.
- Robos.
- Actuaciones delictivas por violación de la propiedad intelectual.
- Realización de negocios ilegales.
- Gastos telefónicos desorbitados.
-Riesgos relacionados con las adicciones.
-
- Adicción a buscar información.
- Adicción a frecuentar las Redes Sociales.
- Juego compulsivo.
- Compras compulsivas.
Si se materializan estos riesgos podríamos estar ante las siguientes situaciones:
-
- Ciberbullying. Se trata del acoso de un menor a otro menor usando las tecnologías: Internet, móvil, videojuegos online, etc. Estamos ante un caso de ciberbullying cuando una persona menor de edad atormenta, amenaza, hostiga, humilla o molesta a otros menores usando estos medios.
- Ciberacoso o acoso cibernético. Se trata de una situación en la que una persona utiliza un perfil en internet, normalmente falso, para amenazar y acosar anónimamente a una persona en específico. Las víctimas de acoso cibernético tienen que enfrentar problemas psicológicos que interfieren con su vida diaria (trabajo, escuela, etc.).
- Estamos ante grooming cuando una persona adulta trata de engañar a un menor a través de Internet para ganarse su confianza con intención de obtener fotos o vídeos de situaciones sexuales o pornográficas e incluso llegar a chantajearle con ellas. En ocasiones es el paso previo al abuso sexual.
- Consiste en enviar mensajes, fotos o vídeos de contenido erótico y sexual personal a través del móvil mediante aplicaciones de mensajería instantánea o redes sociales, correos electrónicos u otro tipo de herramienta de comunicación.
- Se trata de un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar
- Suplantación de identidad. Se trata de una actividad malintencionada que consiste en hacerse pasar por otra persona por diversos motivos: cometer algún tipo de fraude, obtener datos de manera ilegal, cometer ciberacoso, grooming u otros delitos.
- Ciberadicción o trastorno de adicción a internet (internet addiction disorder, IAD) es un término que se refiere a una supuesta patología que supone un uso abusivo de Internet, a través de diversos dispositivos (ordenadores, teléfonos, tabletas, etc.), que interfiere con la vida diaria.
OBLIGACIONES DE LOS CENTROS EDUCATIVOS: POLÍTICAS DE SEGURIDAD.
Los centros educativos, independientemente de su naturaleza jurídica, deben establecer las políticas de seguridad que deberá respetar la comunidad educativa. Estas políticas de seguridad deberán seguir las recomendaciones y obligaciones legalmente establecidas.
Las políticas de seguridad tratan los aspectos y elementos esenciales donde debemos aplicar seguridad y que deben estar bajo control en las actividades de tratamiento de datos. Se trata de establecer unas pautas y protocolos que permitan realizar un tratamiento de datos con seguridad. En el portal del INCIBE encontramos guías, materiales y recursos que nos facilitarán la creación de estas políticas.
A continuación, os dejamos un vídeo sobre políticas de seguridad creado por el INCIBE recomendado no sólo para empresas, sino para todo tipo de instituciones.
En el libro de “Medidas Básicas de Seguridad y Ciberseguridad” podrás obtener una recopilación de pautas y protocolos que mejorarán los niveles de seguridad de los tratamientos de datos de nuestros centros educativos.
FORMACIÓN E INFORMACIÓN.
Es imprescindible que la comunidad educativa conozca y se comprometa con la política de seguridad del centro educativo. Para ello, deberán adquirir una competencia digital básica en esta área que les permitan realizar un uso responsable de las herramientas de seguridad implementadas, así como incorporar buenas prácticas en su proceder habitual. El RGPD exige proactividad a las instituciones, independientemente de su naturaleza jurídica. En el marco de esta proactividad, los centros educativos deben promover una formación básica sobre la política de seguridad aplicable a todo el personal que trate datos personales e información a toda la comunidad educativa.
En la web oficial del INCIBE podemos encontrar itinerarios formativos especializados en diferentes sectores, entre ellos el sector educativo.
Los itinerarios consisten en cortos videos interactivos presentados por dos personajes ficticios: Laura y Miguel, que representan a dos socios preocupados por la ciberseguridad de su organización. Ellos mostrarán las distintas situaciones cotidianas que pueden afectar a las diferentes instituciones y las acciones que debemos implementar para protegerlas.
