Internet nos abre un mundo de oportunidades de información y formación, pero estas funcionalidades también pueden suponer tener que enfrentarnos a riesgos.
Siguiendo a Pere Marqués, los riesgos podríamos clasificarlos según estén relacionados con la información, la comunicación, las actividades económicas o las adiciones. (http://www.peremarques.net/habilweb2.htm)
-Riesgos relacionados con la información.
Acceso a información poco fiable y falsa.
Dispersión, pérdida de tiempo.
Acceso de los niños a información inapropiada y nociva para su edad.
Acciones ilegales: difundir datos de terceras personas, plagiar, amenazar, …
Malas compañías.
-Riesgos relacionados con las actividades económicas.
Estafas.
Compras inducidas por publicidad abusiva.
Compras por menores sin autorización paterna.
Robos.
Actuaciones delictivas por violación de la propiedad intelectual.
Realización de negocios ilegales.
Gastos telefónicos desorbitados.
-Riesgos relacionados con las adicciones.
Adicción a buscar información.
Adicción a frecuentar las Redes Sociales.
Juego compulsivo.
Compras compulsivas.
Si se materializan estos riesgos podríamos estar ante las siguientes situaciones:
· Ciberbullying. Se trata del acoso de un menor a otro menor usando las tecnologías: Internet, móvil, videojuegos online, etc. Estamos ante un caso de ciberbullying cuando una persona menor de edad atormenta, amenaza, hostiga, humilla o molesta a otros menores usando estos medios.
· Ciberacoso o acoso cibernético.Se trata de una situación en la que una persona utiliza un perfil en internet, normalmente falso, para amenazar y acosar anónimamente a una persona en específico. Las víctimas de acoso cibernético tienen que enfrentar problemas psicológicos que interfieren con su vida diaria (trabajo, escuela, etc.).
· Grooming.Estamos ante grooming cuando una persona adulta trata de engañar a un menor a través de Internet para ganarse su confianza con intención de obtener fotos o vídeos de situaciones sexuales o pornográficas e incluso llegar a chantajearle con ellas. En ocasiones es el paso previo al abuso sexual.
· Sexting.Consiste en enviar mensajes, fotos o vídeos de contenido erótico y sexual personal a través del móvil mediante aplicaciones de mensajería instantánea o redes sociales, correos electrónicos u otro tipo de herramienta de comunicación.
· Phishing.Se trata de unconjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar
·Suplantación de identidad.Se trata de una actividad malintencionada que consiste en hacerse pasar por otra persona por diversos motivos: cometer algún tipo de fraude, obtener datos de manera ilegal, cometer ciberacoso, grooming u otros delitos.
·Ciberadiccióno trastorno de adicción a internet (internet addiction disorder, IAD) es un término que se refiere a una supuesta patología que supone un uso abusivo de Internet, a través de diversos dispositivos (ordenadores, teléfonos, tabletas, etc.), que interfiere con la vida diaria.
Hoy os traigo una nueva recomendación sobre ciberseguridad, en este caso las copias de seguridad.
Una de las medidas imprescindibles que debemos llevar a cabo para tratar datos con seguridad es la realización periódica de copias de seguridad de los datos. Según el artículo 32.c del RGPD las herramientas de copias de seguridad son fundamentales para recuperarse de los incidentes de seguridad, dado que las amenazas de tipo ransomware o secuestro de la información están muy extendidas y son muy dañinas, causando la indisponibilidad temporal o permanente de datos y servicios.
Por ello, se debe establecer una política de cómo se realizarán las copias de seguridad en la organización.
A continuación os dejamos un video donde se explica cómo realizar copias de seguridad:
Se recomienda la utilización de la concatenación de varias palabras para construir contraseñas largas (passphrases) cuya deducción, automática o no, no sea simple.
Por ejemplo: “elefanteneumáticocarpeta”, incluso contemplando la presencia de espacios en blanco. Por ejemplo: “cocina televisor ventana”. También pueden utilizarse frases cortas sin sentido, tales como “blue pigs do not piss”, “los tontos huelen amarillo”, “los de aquí son cortos de nariz”, “azulín, azulado, esta contraseña me la he inventado”.
Las contraseñas no deben estar compuestas de datos propios o de otra persona que puedan ser adivinadas u obtenidas fácilmente como el uso de nombre, apellidos, fecha de nacimiento, etc, ni ser frases famosas o refranes, ni estrofas de canciones. Pero debemos encontrar el equilibrio, porque las contraseñas deben ser fáciles de recordar, hay que encontrar una solución de compromiso entre la robustez de la contraseña y la facilidad con la que podemos recordarla.
No es recomendable apuntarlas en papel o en otro procedimiento o contenedor no seguro, las contraseñas deben tener carácter secreto, no debemos comunicarla a nadie.
Es imprescindible cambiarlas con una cierta periodicidad, siendo un año razonable para su sustitución. Del mismo modo las sustituiremos antes si existe evidencia de que hubieran sido comprometidas.
Cuando cambiemos las contraseñas, no deberán ser igual a ninguna de las últimas usadas, ni estar formada por una concatenación de ellas.
No deberemos utilizar la misma contraseña para distintos servicios web o el acceso a distintos dispositivos.
Todas las instituciones educativas, independientemente de su naturaleza jurídica, deben establecer políticas internas de seguridad. Antes de proceder a ello deberán evaluar el impacto del tratamiento de datos que realizan para determinar si afecta a derechos y libertades de interesados/as y siguiendo el resultado del análisis se establecerán las medidas de seguridad adecuadas.
Así mismo, se deberá establecer un sistema efectivo de comunicación que permita el estudio y resolución de incidencias y brechas de seguridad, por ejemplo, habilitando una cuenta de correo electrónico específica.
Aunque los centros deben incorporar en sus políticas de seguridad las medidas que se adecuen al resultado del análisis, existen una serie de recomendaciones básicas que debemos cumplir en todas las instituciones educativas, especialmente en los centros públicos, en cumplimiento del código de conducta legalmente vigente.
Entre esasmedidas destacamos las siguientes:
A. Debemos instalar antivirus en todos los dispositivos conectados a internet. Si bien la instalación será institucional en el caso de centros públicos y las personas funcionarias que hagan uso de los equipamientos TIC no podrán modificar el software que se encuentre instalado en los mismos.
B. Se deberán mantener actualizados tanto los antivirus como los sistemas operativos.
C. No se deberán instalar programas no autorizados.
D. Se deberán realizar copias de seguridad habitualmente.
E. Sólo abriremos correos de remitentes conocidos.
F. Deberemos proteger el wifi, para hacer seguro el wifi es imprescindible cambiar la contraseña por defecto del rúter y establecer contraseñas seguras.
G. Sólo trabajaremos en entornos seguros, no haremos uso de redes públicas cuando tratemos datos en ejercicio de nuestro cargo.
H. Deberemos utilizar contraseñas largas y alfanuméricas y diferentes para las distintas cuentas y redes sociales.
I. Es imprescindible asegurar los dispositivos con contraseñas, PIN o información biométrica.
J. Es recomendable encriptar y asegurar la información sensible.
K. Antes de instalar aplicaciones debemos revisar los permisos y eliminar las aplicaciones que no usemos, desinstalándolas.
En el sector educativo, como en otros, entran en juego una gran diversidad de normas de diferente jerarquía normativa. Para recopilar las más relevantes se ha publicado en el BOE el Código de la Ciberseguridad.
De todas las normas aplicables debemos destacar el Reglamento Europeo de Protección de Datos (Reglamento General de Protección de Datos o RGPD) y la normativa española de desarrollo: la Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales, que velan por la protección y privacidad de los datos personales. En ellas, se señala la obligación de crear una política de seguridad en los centros educativos, así como la necesidad de informar y formar a la comunidad educativa de la misma.
Hemos de recordar que el incumplimiento podrá suponer la imposición de las sanciones correspondientes.
Todas las normas relacionadas con las medidas de ciberseguridad responden a la Estrategia Nacional de Ciberseguridad, que delimita el entorno del ciberespacio y fija los principios, objetivos y líneas de acción que garantizan la ciberseguridad nacional. Puedes consultarla en el siguiente enlace: https://www.dsn.gob.es/es/estrategias-publicaciones/estrategias/estrategia-ciberseguridad-nacional
Junto a esta normativa básica debemos formar e informar, siguiendo el principio de proactividad aplicable a las instituciones educativas, sobre la normativa de propiedad intelectual. La Ley de Propiedad Intelectual se encuentra regulada en el Real Decreto Legislativo 1/1996, cuyo objetivo es proteger cualquier tipo de obra literaria, artística o científica, fruto de cualquier actividad empresarial.
La LPI protege los derechos de los autores, tanto derechos morales, que son inalienables e irrenunciables, como derechos patrimoniales o de explotación de la obra. En cuanto a estos últimos, las instituciones públicas y privadas deberán:
No utilizar obras protegidas sin pagar derechos de autor, esto afecta tanto al software, como a imágenes, videos, textos, audios, tipografías, etc. También se incluye a los creadores o diseñadores que se contrate.
Proteger los derechos de las creaciones propias o de los empleados, respetando siempre el derecho del creador de reconocerse como autor de la obra
Por último, como funcionarios públicos de la Junta de Andalucía debemos cumplimiento al Resolución de 22 de octubre de 2020, de la Secretaría General para la Administración Pública, por la que se aprueba el Código de Conducta en el uso de las Tecnologías de la Información y la Comunicación para profesionales públicos de la Administración de la Junta de Andalucía.
Es importante definir los conceptos que utilizaremos en el ámbito de ciberseguridad. Vamos a destacar los siguientes:
CIBERSEGURIDAD: Conjunto de estrategias que a través de herramientas, políticas y procesos procuran la protección de la infraestructura computacional y la información contenida en un dispositivo o que circula por redes.
AUTENTICACIÓN. Es el proceso que permite la verificación de la identidad de una persona cuando intenta acceder a archivos o un dispositivo.
COPIA DE SEGURIDAD. Almacenamiento de copias de sus archivos en un servidor, disco duro, ordenador o unidad extraíble para acceder a ellos en caso de pérdida.
RED PRIVADA VIRTUAL (VPN). Estrategia que persigue ofrecer un sistema más seguro de acceso a Internet mediante el enrutamiento de la conexión a través de un servidor que oculta su ubicación.
CIFRADO. Procedimiento que permite la transformación de datos para ocultarlos.
FIREWALL. Hardware o software diseñado para mantener a los usuarios no deseados fuera de su red.
EVALUACIÓN DE RIESGOS. Proceso de identificación de posibles riesgos a los que se enfrenta una institución y la red.
ROBO DE DATOS. Se define como el acceso no autorizado a datos.
HACKER. Persona que infringe la seguridad para acceder a los datos con una intención maliciosa.
MALWARE. Software diseñado para llevar a cabo acciones perjudiciales y no autorizadas en un ordenador.
PHISHING. Estafas por correo electrónico enviadas por hackers para obtener información confidencial como información bancaria o contraseñas.
SPYWARE. Software espía malicioso que roba datos personales sin consentimiento.
VIRUS. Malware diseñado para propagarse automáticamente.
GUSANO. Malware que se instala en un ordenador y se copia a sí mismo en otros equipos.
PELIGROS EN LA RED.
Internet nos abre un mundo de oportunidades de información y formación, pero estas funcionalidades también pueden suponer tener que enfrentarnos a riesgos.
Siguiendo a Pere Marqués, los riesgos podríamos clasificarlos según estén relacionados con la información, la comunicación, las actividades económicas o las adiciones. (http://www.peremarques.net/habilweb2.htm)
-Riesgos relacionados con la información.
Acceso a información poco fiable y falsa.
Dispersión, pérdida de tiempo.
Acceso de los niños a información inapropiada y nociva para su edad.
Acciones ilegales: difundir datos de terceras personas, plagiar, amenazar, …
Malas compañías.
-Riesgos relacionados con las actividades económicas.
Estafas.
Compras inducidas por publicidad abusiva.
Compras por menores sin autorización paterna.
Robos.
Actuaciones delictivas por violación de la propiedad intelectual.
Realización de negocios ilegales.
Gastos telefónicos desorbitados.
-Riesgos relacionados con las adicciones.
Adicción a buscar información.
Adicción a frecuentar las Redes Sociales.
Juego compulsivo.
Compras compulsivas.
Si se materializan estos riesgos podríamos estar ante las siguientes situaciones:
Ciberbullying. Se trata del acoso de un menor a otro menor usando las tecnologías: Internet, móvil, videojuegos online, etc. Estamos ante un caso de ciberbullying cuando una persona menor de edad atormenta, amenaza, hostiga, humilla o molesta a otros menores usando estos medios.
Ciberacoso o acoso cibernético. Se trata de una situación en la que una persona utiliza un perfil en internet, normalmente falso, para amenazar y acosar anónimamente a una persona en específico. Las víctimas de acoso cibernético tienen que enfrentar problemas psicológicos que interfieren con su vida diaria (trabajo, escuela, etc.).
Estamos ante grooming cuando una persona adulta trata de engañar a un menor a través de Internet para ganarse su confianza con intención de obtener fotos o vídeos de situaciones sexuales o pornográficas e incluso llegar a chantajearle con ellas. En ocasiones es el paso previo al abuso sexual.
Consiste en enviar mensajes, fotos o vídeos de contenido erótico y sexual personal a través del móvil mediante aplicaciones de mensajería instantánea o redes sociales, correos electrónicos u otro tipo de herramienta de comunicación.
Se trata de un conjunto de técnicas que persiguen el engaño a una víctima ganándose su confianza haciéndose pasar por una persona, empresa o servicio de confianza, para manipularla y hacer que realice acciones que no debería realizar
Suplantación de identidad. Se trata de una actividad malintencionada que consiste en hacerse pasar por otra persona por diversos motivos: cometer algún tipo de fraude, obtener datos de manera ilegal, cometer ciberacoso, grooming u otros delitos.
Ciberadicción o trastorno de adicción a internet (internet addiction disorder, IAD) es un término que se refiere a una supuesta patología que supone un uso abusivo de Internet, a través de diversos dispositivos (ordenadores, teléfonos, tabletas, etc.), que interfiere con la vida diaria.
OBLIGACIONES DE LOS CENTROS EDUCATIVOS: POLÍTICAS DE SEGURIDAD.
Los centros educativos, independientemente de su naturaleza jurídica, deben establecer las políticas de seguridad que deberá respetar la comunidad educativa. Estas políticas de seguridad deberán seguir las recomendaciones y obligaciones legalmente establecidas.
Las políticas de seguridad tratan los aspectos y elementos esenciales donde debemos aplicar seguridad y que deben estar bajo control en las actividades de tratamiento de datos. Se trata de establecer unas pautas y protocolos que permitan realizar un tratamiento de datos con seguridad. En el portal del INCIBE encontramos guías, materiales y recursos que nos facilitarán la creación de estas políticas.
A continuación, os dejamos un vídeo sobre políticas de seguridad creado por el INCIBE recomendado no sólo para empresas, sino para todo tipo de instituciones.
En el libro de “Medidas Básicas de Seguridad y Ciberseguridad” podrás obtener una recopilación de pautas y protocolos que mejorarán los niveles de seguridad de los tratamientos de datos de nuestros centros educativos.
FORMACIÓN E INFORMACIÓN.
Es imprescindible que la comunidad educativa conozca y se comprometa con la política de seguridad del centro educativo. Para ello, deberán adquirir una competencia digital básica en esta área que les permitan realizar un uso responsable de las herramientas de seguridad implementadas, así como incorporar buenas prácticas en su proceder habitual. El RGPD exige proactividad a las instituciones, independientemente de su naturaleza jurídica. En el marco de esta proactividad, los centros educativos deben promover una formación básica sobre la política de seguridad aplicable a todo el personal que trate datos personales e información a toda la comunidad educativa.
En la web oficial del INCIBE podemos encontrar itinerarios formativos especializados en diferentes sectores, entre ellos el sector educativo.
Los itinerarios consisten en cortos videos interactivos presentados por dos personajes ficticios: Laura y Miguel, que representan a dos socios preocupados por la ciberseguridad de su organización. Ellos mostrarán las distintas situaciones cotidianas que pueden afectar a las diferentes instituciones y las acciones que debemos implementar para protegerlas.
