La pandemia y la enseñanza virtual han expuesto a las instituciones educativas a un mayor riesgo de cumplimiento. Aprende a lidiar con el cumplimiento de la FERPA en un mundo virtual.
La Ley de Derechos Educativos y Privacidad de la Familia (FERPA) es una ley federal de EE. UU. que otorga a los padres el derecho a tener acceso a los expedientes educativos de sus hijos, el derecho a solicitar modificaciones de estos y el derecho a tener cierto control sobre la divulgación de información personal identificable de los expedientes educativos. Estos derechos se transfieren al estudiante que cumple 18 años o que ingresa en una institución postsecundaria a cualquier edad.
Los expedientes de los estudiantes incluyen, entre otros, las calificaciones, los expedientes académicos, las listas de clases, los horarios de los asignaturas, la información financiera, las faltas disciplinarias y los registros de salud para los niveles K-12, incluyendo los datos personales relacionados con la COVID. En virtud de la FERPA, las instituciones educativas deben proteger la información personal identificable (PII) que reside en el expediente de cada estudiante.
La ley se aplica a todas las agencias e instituciones educativas que reciben fondos bajo cualquier programa administrado por el Secretario de Educación. Cuando una agencia o institución viola las reglas de la FERPA, corre el riesgo de que se le retire por completo el apoyo financiero federal. Puedes la encontrar el estatuto de FERPA en 20 USC § 1232g y las regulaciones de la FERPA en 34 CFR Parte 99.
La facultad, el personal y los estudiantes remotos aumentan el riesgo de cumplimiento de la FERPA
No sorprende que la pandemia haya expuesto a las instituciones educativas a un mayor riesgo de cumplimiento. Sin embargo, muchos no están bien preparados para evitar infringir las leyes de privacidad de datos, incluida la FERPA.
Contemplemos el caso de la Universidad de California (UC). El 24 de diciembre de 2020, el dispositivo de transferencia de archivos (FTA) Accellion de la Universidad se vio comprometido en un ciberataque dirigido, lo que provocó una importante violación de datos. Según una pregunta frecuente publicada por la UC, la información personal de los estudiantes que fue robada en la violación incluía probablemente "nombres completos, direcciones, números de teléfono, números de la Seguridad Social, información sobre el permiso de conducir, información sobre el pasaporte, información financiera, incluidos los números de ruta y de cuenta bancaria, información sobre la salud y las prestaciones relacionadas, información sobre la discapacidad y fechas de nacimiento, así como otra información personal proporcionada a la UC".
Lamentablemente, la UC reveló a los estudiantes (y a la comunidad de la UC en general) que parte de la información personal ya había sido publicada en internet el 29 de marzo de 2021.
Además del robo y la publicación de la información personal de los estudiantes actuales, los nuevos solicitantes del sistema de la Universidad de California también recibieron malas noticias: "La información de las solicitudes presentadas para la Universidad de California para el año escolar 2020-2021 se vio afectada. Esta información podría incluir la fecha de nacimiento, la identidad de género, el nivel de ingresos de la familia, el origen étnico o la afiliación tribal y la primera lengua, la orientación sexual, la información académica (GPA, las calificaciones de los exámenes), y si usted ha estado en casas de acogida", declaró la UC.
En un intento por evitar tal pérdida futura de los PII de estudiantes (y los PII de otros), la UC informó a la comunidad de que había tomado cuatro medidas importantes:
Retirada de la tecnología Accellion
Inicio de la transición a una solución más segura
Cooperación actual con el FBI
Contratación de expertos externos en ciberseguridad para investigar más a fondo
En una sección posterior de estas preguntas frecuentes, la UC también declaró que estaba mejorando los controles, procesos y procedimientos de seguridad.
Los costes de no estar preparado para el cumplimiento de la FERPA
Ciertamente, la posibilidad de perder la financiación federal debería haber motivado a la UC y a otras instituciones/agencias a prepararse mejor antes del ataque de diciembre de 2020. Si esto no fuera suficiente, piense en los demás costes en los que incurrió la UC como resultado de la violación de datos. Como mínimo, los costes adicionales incluyeron los siguientes:
Honorarios de consultores de ciberseguridad y forenses muy caros
Costes de TI para "desmantelar y sustituir" una o varias soluciones tecnológicas con poco tiempo de antelación
Honorarios legales asociados con posibles acciones legales de las víctimas
Recursos gastados en el rápido desarrollo de nuevos controles, procesos y procedimientos de seguridad
Matrícula y cuotas perdidas de estudiantes y solicitantes que decidieron renunciar a la UC
Daño a largo plazo a la reputación de la marca UC
La conclusión es que su institución educativa debe estar mejor preparada para mantener segura la PII de los estudiantes, particularmente con la tasa de ataques cibernéticos que se ha disparado en los últimos años.
Cumplimiento de la FERPA en un mundo virtual
Splashtop lleva dos décadas proporcionando acceso remoto, soporte remoto y colaboración a las principales instituciones educativas. Eso nos convierte en especialmente cualificados para ofrecerle las mejores prácticas para el cumplimiento de la FERPA mientras habilita un entorno de aprendizaje virtual para los estudiantes, el profesorado y el personal. Siga estas 4 mejores prácticas probadas para mantener la PII de sus estudiantes más segura.
Buena práctica n.º 1: Actualice su política de ciberseguridad para reflejar la realidad del "trabajo a distancia"
Muchas personas no están familiarizadas con los problemas de seguridad de datos y simplemente no reconocen cómo sus acciones podrían conducir a una violación de datos. Todos los miembros de su institución deben estar informados y concienciados para evitar la exposición de la PII de los estudiantes.
La mejor forma de informar a los empleados es establecer y compartir una política de ciberseguridad que los instruya sobre cómo salvaguardar los datos de tu empresa. La buena noticia es que tu política de seguridad informática puede ser un documento sencillo. Debes explicar las razones de su existencia y proporcionar los protocolos de seguridad específicos (en términos no técnicos) que deben seguir todos los empleados. También debes proporcionar un punto de contacto (correo electrónico o número de teléfono) para los empleados que necesiten ayuda adicional para entenderlo.
Cómo Splashtop sigue estas mejores prácticas
En Splashtop, por ejemplo, hemos desarrollado "Políticas de seguridad" como un subconjunto de nuestras Medidas Técnicas y Organizativas (MTO). Estas describen las medidas y controles de seguridad implementados y mantenidos por Splashtop para proteger y asegurar los datos que almacenamos y procesamos.
Nuestros expertos en seguridad informática revisan y modifican regularmente nuestras políticas de seguridad informática. Los empleados de Splashtop completan la formación en seguridad de la información anualmente y cumplen con las políticas de conducta ética empresarial, confidencialidad y seguridad de Splashtop, tal y como se establece en nuestro "Código de conducta."
Si tienes una política pero no la has actualizado desde que permitiste el trabajo remoto, puedes crear rápidamente una política de trabajo remoto que incluya reglas y consejos para el trabajo remoto. Céntrate en cómo deben actuar los empleados remotos para mantener segura la información personal y los datos de la empresa, especialmente cuando trabajan desde casa.
Buena práctica n.º 2: Formar a los empleados y asegurarse de que el departamento de TI puede ayudarles
Como se mencionó anteriormente, los empleados de Splashtop completan la formación en seguridad de la información anualmente y cumplen con las políticas de conducta ética empresarial, confidencialidad y seguridad de Splashtop, tal como se establece en el Código de conducta de Splashtop.
Preparamos a nuestro equipo de TI para prestar asistencia a los empleados remotos de las siguientes maneras:
Políticas de cuentas y contraseñas:
Splashtop asigna a todos los usuarios sus propios inicios de sesión y otorga acceso a través de contraseñas seguras y autenticación de dos factores/multifactor.
Control de seguridad de datos:
Los controles de seguridad de datos de Splashtop incluyen acceso basado en roles según el principio de privilegio mínimo, supervisión de acceso y registro. Esto significa que todos los usuarios tienen un nivel mínimo de acceso a los datos cuando comienzan a usar el sistema Splashtop.
Control de acceso:
Splashtop ha implementado controles de acceso para administrar el acceso electrónico a datos y sistemas. Nuestros controles de acceso se basan en niveles de autoridad, parámetros de necesidad de conocer y una clara separación de funciones para las personas que acceden al sistema.
Respuesta ante incidentes de seguridad:
Splashtop ha establecido procedimientos de "Respuesta a incidentes de seguridad" que permiten a Splashtop investigar, responder, mitigar y notificar eventos relacionados con los servicios y activos de información de Splashtop.
Práctica recomendada n.º 3: Mantener los datos cifrados en tránsito y en reposo
Las dos claves para mantener la protección de datos cuando rus empleados trabajan de forma remota son el cifrado y el control de acceso.
Cifrado:
Splashtop encripta todos los datos de los usuarios en tránsito y en reposo, además todas las sesiones de los usuarios se establecen de forma segura mediante TLS. El contenido al que se accede dentro de cada sesión siempre se cifra a través de AES de 256 bits.
Control de acceso:
Splashtop ha implementado controles de acceso para administrar el acceso electrónico a datos y sistemas. Nuestros controles de acceso se basan en niveles de autoridad, niveles de necesidad de saber y la separación de funciones para quienes acceden al sistema.
Consejo adicional: Splashtop evita deliberadamente la recopilación excesiva de datos, algo que demasiadas empresas hacen sin motivo legítimo. Nos amoldamos más fácilmente con las regulaciones al NO recoger datos/información sensible. Solo recopilamos, almacenamos y procesamos PII limitada, como el nombre de usuario (correo electrónico), la contraseña y los registros de sesión (para que los clientes revisen, solución de problemas, etc.), y Splashtop no vende la información del cliente en virtud del RGPD y directrices CCPA.
Buena práctica n.º 4: Utilizar el acceso remoto seguro
La solución de acceso remoto de Splashtop sigue un enfoque de confianza cero. Cuando los empleados acceden remotamente a su ordenador o estación de trabajo de la oficina, entran a través de una conexión especial de Splashtop. Una conexión que no forma parte de la red corporativa. Esto significa que solo pueden ver y trabajar con los datos (por ejemplo, documentos de Word) en su escritorio remoto. Los datos nunca viajan fuera de la red corporativa. Los responsables de la seguridad informática también tienen la opción con Splashtop de habilitar o deshabilitar tanto la transferencia de archivos como las funciones de impresión, que son muy recomendables para el cumplimiento de la normativa.
El acceso remoto Splashtop introduce aún más características de seguridad, como la autenticación de dispositivos, la autenticación de dos factores (2FA), el inicio de sesión único (SSO) y más. Estas modernas medidas de seguridad no existen en la arquitectura VPN.
Conclusión: Comienza ya mismo a mantener seguros los PII de los estudiantes
Las cuatro mejores prácticas representan pasos sencillos y de sentido común que no solo protegen la PII de sus estudiantes, sino también a su institución en general. Además, evitan una filtración de datos generalizada causada por una violación de la FERPA. Una onza de prevención puede ahorrarle costes de reparación y daños a la marca.