Cómo cumplir con la FERPA mientras se permite el aprendizaje virtual

La pandemia y el aprendizaje virtual han expuesto a las instituciones educativas a un mayor riesgo de cumplimiento. Aprenda a navegar por el cumplimiento de la FERPA en un mundo virtual.

La Ley de Derechos Educativos y Privacidad de la Familia (FERPA) es una ley federal de EE. UU. que otorga a los padres el derecho a tener acceso a los expedientes educativos de sus hijos, el derecho a solicitar modificaciones de estos y el derecho a tener cierto control sobre la divulgación de información personal identificable de los expedientes educativos. Estos derechos se transfieren al estudiante que cumple 18 años o que ingresa en una institución postsecundaria a cualquier edad.

Los expedientes de los estudiantes incluyen, entre otros, las calificaciones, los expedientes académicos, las listas de clases, los horarios de los asignaturas, la información financiera, las faltas disciplinarias y los registros de salud para los niveles K-12, incluyendo los datos personales relacionados con la COVID. En virtud de la FERPA, las instituciones educativas deben proteger la información personal identificable (PII) que reside en el expediente de cada estudiante.

La ley se aplica a todas las agencias e instituciones educativas que reciben fondos de cualquier programa administrado por la Secretaría de Educación. Cuando una agencia o institución infringe las normas de la FERPA, se arriesga a que se le retire por completo el apoyo de la financiación federal. Puede encontrar la ley FERPA en 20 U.S.C. § 1232g y la normativa FERPA en 34 CFR Parte 99.

 

El profesorado, el personal y los estudiantes que trabajan a distancia plantean un riesgo de cumplimiento de la FERPA

No es de extrañar que la pandemia haya expuesto a las instituciones educativas a un mayor riesgo de cumplimiento. Sin embargo, muchas no están bien preparadas para evitar infringir las leyes de privacidad de datos, incluida la FERPA.

Contemplemos el caso de la Universidad de California (UC). El 24 de diciembre de 2020, el dispositivo de transferencia de archivos (FTA) Accellion de la Universidad se vio comprometido en un ciberataque dirigido, lo que provocó una importante violación de datos. Según una pregunta frecuente publicada por la UC, la información personal de los estudiantes que fue robada en la violación incluía probablemente "nombres completos, direcciones, números de teléfono, números de la Seguridad Social, información sobre el permiso de conducir, información sobre el pasaporte, información financiera, incluidos los números de ruta y de cuenta bancaria, información sobre la salud y las prestaciones relacionadas, información sobre la discapacidad y fechas de nacimiento, así como otra información personal proporcionada a la UC".

Lamentablemente, la UC reveló a los estudiantes (y a la comunidad de la UC en general) que parte de la información personal ya había sido publicada en internet el 29 de marzo de 2021.

Además del robo y la publicación de la información personal de los estudiantes actuales, los nuevos solicitantes del sistema de la Universidad de California también recibieron malas noticias: "La información de las solicitudes presentadas para la Universidad de California para el año escolar 2020-2021 se vio afectada. Esta información podría incluir la fecha de nacimiento, la identidad de género, el nivel de ingresos de la familia, el origen étnico o la afiliación tribal y la primera lengua, la orientación sexual, la información académica (GPA, las calificaciones de los exámenes), y si usted ha estado en casas de acogida", declaró la UC.

En un intento de evitar esa futura pérdida de información personal de los estudiantes (y de otros), la UC informó a la comunidad de que había tomado cuatro medidas importantes:

  1. Desmantelamiento de la tecnología Accellion
  2. Inicio de la transición a una solución más segura
  3. Cooperación actual con el FBI
  4. Contratación de expertos externos en ciberseguridad para investigar más a fondo

En una sección posterior de estas preguntas frecuentes, la UC también declaró que estaba mejorando los controles, procesos y procedimientos de seguridad.

 

Los costes de no estar preparado para el cumplimiento de la FERPA

Ciertamente, la posibilidad de perder la financiación federal debería haber motivado a la UC y a otras instituciones/agencias a prepararse mejor antes del ataque de diciembre de 2020. Si esto no fuera suficiente, piense en los demás costes en los que incurrió la UC como resultado de la violación de datos. Como mínimo, los costes adicionales incluyeron los siguientes:

  • Honorarios de consultores de ciberseguridad y forenses muy caros
  • Costes de TI para "desmantelar y sustituir" una o varias soluciones tecnológicas con poco tiempo de antelación
  • Gastos legales asociados a posibles acciones judiciales de las víctimas
  • Recursos gastados en el rápido desarrollo de nuevos controles, procesos y procedimientos de seguridad
  • Pérdida de matrículas y cuotas de estudiantes y solicitantes que decidieron renunciar a la UC
  • Daño a largo plazo a la reputación de la marca UC

La conclusión es que su institución educativa debe estar mejor preparada para mantener la seguridad de la información personal de los estudiantes, especialmente con la tasa de ciberataques que se ha disparado en los últimos años.

 

Cumplimiento de la FERPA en un mundo virtual

Splashtop lleva dos décadas proporcionando acceso remoto, soporte remoto y colaboración a las principales instituciones educativas. Eso nos convierte en especialmente cualificados para ofrecerle las mejores prácticas para el cumplimiento de la FERPA mientras habilita un entorno de aprendizaje virtual para los estudiantes, el profesorado y el personal. Siga estas 4 mejores prácticas probadas para mantener la PII de sus estudiantes más segura.

 

Buena práctica n.º 1: Actualice su política de ciberseguridad para reflejar la realidad del "trabajo a distancia"

Muchas personas no están familiarizadas con los problemas de seguridad de datos y simplemente no reconocen cómo sus acciones podrían conducir a una violación de datos. Todos los miembros de su institución deben estar informados y concienciados para evitar la exposición de la PII de los estudiantes.

La mejor manera de informar a los empleados es establecer y compartir una política de ciberseguridad que les indique cómo mantener seguros los datos de los registros de los alumnos. La política de seguridad informática puede ser un documento sencillo. Debe explicar las razones de su existencia y proporcionar los protocolos de seguridad específicos (en términos no técnicos) que todos los empleados deben seguir. También debe proporcionar una fuente de contacto (correo electrónico o número de teléfono) para los empleados que necesiten ayuda adicional para entenderla.

Cómo sigue Splashtop esta mejor práctica

En Splashtop, por ejemplo, hemos desarrollado "Políticas de seguridad" como un subconjunto de nuestras Medidas Técnicas y Organizativas (MTO). Estas describen las medidas y controles de seguridad implementados y mantenidos por Splashtop para proteger y asegurar los datos que almacenamos y procesamos.

Nuestros expertos en seguridad informática revisan y modifican regularmente nuestras políticas de seguridad informática. Los empleados de Splashtop completan la formación en seguridad de la información anualmente y cumplen con las políticas de conducta ética empresarial, confidencialidad y seguridad de Splashtop, tal y como se establece en nuestro "Código de conducta."

Si tiene una política pero no la ha actualizado desde que permite el trabajo a distancia, puede crear rápidamente una política de trabajo a distancia que incluya normas y consejos para el trabajo a distancia. Céntrese en cómo deben actuar los empleados remotos para mantener a salvo la información personal y los datos de la empresa, especialmente cuando trabajan desde casa.

 

Buena práctica n.º 2: Formar a los empleados y asegurarse de que el departamento de TI puede ayudarles

Como se mencionó anteriormente, los empleados de Splashtop completan la formación en seguridad de la información anualmente y cumplen con las políticas de conducta ética empresarial, confidencialidad y seguridad de Splashtop, tal como se establece en el Código de conducta de Splashtop.

Preparamos a nuestro equipo de TI para apoyar a los empleados remotos de las siguientes maneras:

  • Políticas de cuentas y contraseñas: Splashtop asigna a todos los usuarios sus propios inicios de sesión y garantiza el acceso a través de contraseñas seguras y autenticación de dos factores/multifactor.
  • Control de la seguridad de los datos: los controles de seguridad de los datos de Splashtop incluyen el acceso basado en roles según el principio de mínimo privilegio, la supervisión del acceso y el registro. Esto significa que todos los usuarios tienen un nivel mínimo de acceso a los datos cuando empiezan a utilizar el sistema Splashtop.
  • Control de acceso: Splashtop ha implementado controles de acceso para gestionar el acceso electrónico a los datos y sistemas. Nuestros controles de acceso se basan en niveles de autoridad, parámetros de necesidad de conocimiento y una clara separación de funciones para las personas que acceden al sistema.
  • Respuesta a incidencias de seguridad: Splashtop ha establecido procedimientos de "Respuesta a incidencias de seguridad" que permiten a Splashtop investigar, responder, mitigar y notificar eventos relacionados con los servicios y activos de información de Splashtop.

 

Práctica recomendada n.º 3: Mantener los datos cifrados en tránsito y en reposo

Las dos claves para mantener la protección de los datos cuando sus empleados trabajan a distancia son el cifrado y el control de acceso.

  • Encriptación: Splashtop encripta todos los datos del usuario en tránsito y en reposo, además de que todas las sesiones de usuario se establecen de forma segura utilizando TLS. El contenido al que se accede dentro de cada sesión está siempre encriptado mediante AES de 256 bits.
  • Control de acceso: Splashtop ha implementado controles de acceso para gestionar el acceso electrónico a los datos y sistemas. Nuestros controles de acceso se basan en los niveles de autoridad, en los niveles de necesidad de conocimiento y en la separación de funciones de quienes acceden al sistema.

Consejo adicional: Splashtop evita deliberadamente la recopilación excesiva de datos, algo que demasiadas empresas hacen sin motivo legítimo. Nos amoldamos más fácilmente con las regulaciones al NO recoger datos/información sensible. Solo recopilamos, almacenamos y procesamos PII limitada, como el nombre de usuario (correo electrónico), la contraseña y los registros de sesión (para que los clientes revisen, solución de problemas, etc.), y Splashtop no vende la información del cliente en virtud del RGPD y directrices CCPA.

 

Buena práctica nº 4: Utilizar un acceso remoto seguro

La solución de acceso remoto de Splashtop sigue un enfoque de confianza cero. Cuando los empleados acceden remotamente a su ordenador o estación de trabajo de la oficina, entran a través de una conexión especial de Splashtop. Una conexión que no forma parte de la red corporativa. Esto significa que solo pueden ver y trabajar con los datos (por ejemplo, documentos de Word) en su escritorio remoto. Los datos nunca viajan fuera de la red corporativa. Los responsables de la seguridad informática también tienen la opción con Splashtop de habilitar o deshabilitar tanto la transferencia de archivos como las funciones de impresión, que son muy recomendables para el cumplimiento de la normativa.

El acceso remoto Splashtop introduce aún más características de seguridad, como la autenticación de dispositivos, la autenticación de dos factores (2FA), el inicio de sesión único (SSO) y más. Estas modernas medidas de seguridad no existen en la arquitectura VPN.

 

Conclusión: Empiece ahora a mantener la seguridad de la información personal de los estudiantes

Las cuatro mejores prácticas representan pasos sencillos y de sentido común que no solo protegen la PII de sus estudiantes, sino también a su institución en general. Además, evitan una filtración de datos generalizada causada por una violación de la FERPA. Una onza de prevención puede ahorrarle costes de reparación y daños a la marca.

 

Visite nuestra página Escritorio remoto a distancia, aprendizaje remoto e híbrido para obtener más información sobre cómo Splashtop mejora el aprendizaje a distancia.

 

 

Contenido relacionado

Splashtop es una de las 10 mejores soluciones para la participación de los estudiantes de 2021 según EdTech

Cómo asegurarse de que sus empleados a distancia cumplen con la HIPAA

Gestionar el cumplimiento del RGPD y la CCPA para una plantilla de trabajo en remoto

 

Banner de Prueba Gratuita en la Parte Inferior del Blog