Come orientarsi nella conformità FERPA e consentire l'apprendimento virtuale

La pandemia e l'apprendimento virtuale hanno esposto gli istituti scolastici a maggiori rischi di conformità. Scopri come gestire la conformità FERPA in un mondo virtuale.

Il Family Educational Rights and Privacy Act (FERPA) è una legge federale degli Stati Uniti che conferisce ai genitori il diritto di accedere ai documenti scolastici dei loro figli, il diritto di chiederne la modifica e il diritto di avere un certo controllo sulla divulgazione di informazioni personali identificabili contenute in essi. Questi diritti si trasferiscono agli studenti che compiono 18 anni o che frequentano un'istituzione post-secondaria a qualsiasi età.

Gli archivi degli studenti includono (ad esempio) voti, trascrizioni, elenchi di classe, orari dei corsi degli studenti, informazioni finanziarie degli studenti, file disciplinari degli studenti e cartelle sanitarie per gli studenti di livello K-12 - inclusi i dati personali relativi al COVID. Secondo la FERPA, le istituzioni educative devono proteggere le informazioni personali identificabili (PII: personally identifiable information) contenute nei record di ogni studente.

La legge si applica a tutte le agenzie e le istituzioni educative che ricevono fondi nell'ambito di qualsiasi programma amministrato dal Segretario della Pubblica Istruzione. Quando un'agenzia o un'istituzione viola le norme FERPA, rischia la revoca completa del contributo federale. È possibile consultare lo statuto FERPA al 20 U.S.C. § 1232g e i regolamenti FERPA al 34 CFR Part 99.

 

Docenti, personale e studenti a distanza causano un rischio di conformità FERPA

Non sorprende che la pandemia abbia esposto gli istituti scolastici a maggiori rischi di conformità. Eppure, molti non sono adeguatamente preparati per evitare di scontrarsi con le leggi sulla privacy dei dati, inclusa la FERPA.

Consideriamo il caso dell'Università della California (UC). Il 24 dicembre 2020, l'Accellion file transfer appliance (FTA) dell'Università è stata compromessa in un attacco informatico mirato che ha causato una significativa violazione dei dati. Secondo una FAQ pubblicata da UC, le informazioni personali degli studenti che sono state trafugate nella violazione probabilmente includevano "nomi completi, indirizzi, numeri di telefono, numeri di previdenza sociale, informazioni sulla patente di guida, informazioni sul passaporto, informazioni finanziarie, inclusi i numeri di routing e di conto bancario, informazioni sulla salute e sui relativi sussidi, informazioni sulla disabilità e date di nascita, oltre ad altre informazioni personali fornite alla UC".

Purtroppo, la UC ha rivelato agli studenti (e alla vasta comunità UC) che alcune delle informazioni personali erano già state pubblicate su Internet il 29 marzo 2021.

Oltre al furto e alla pubblicazione delle informazioni personali degli studenti attuali, anche i nuovi candidati al sistema UC hanno ricevuto cattive notizie: "le informazioni contenute nelle domande presentate per l'Università della California, per l'anno scolastico 2020-2021, sono state coinvolte. Queste informazioni potrebbero includere la data di nascita, l'identità di genere, la fascia di reddito familiare, l'etnia e/o l'affiliazione tribale e la prima lingua, l'orientamento sessuale, le informazioni accademiche (GPA, punteggi dei test) e l'eventuale affidamento", afferma la FAQ della UC.

Nel tentativo di prevenire una futura perdita di informazioni personali degli studenti (e di altri), la UC ha informato la comunità di aver adottato quattro misure principali:

  1. Smantellata la tecnologia Accellion
  2. Inizia la transizione verso una soluzione più sicura
  3. Collaborazione con l'FBI
  4. Coinvolgimento di esperti esterni in sicurezza informatica per ulteriori indagini

In una sezione successiva della stessa FAQ, la UC ha anche affermato che stava migliorando i controlli, i processi e le procedure di sicurezza.

 

I costi derivanti dalla mancanza di preparazione per la conformità FERPA

Sicuramente, il potenziale ritiro dei finanziamenti federali avrebbe dovuto motivare la UC e altre istituzioni/agenzie a prepararsi meglio prima dell'attacco del dicembre 2020. E se ciò non bastasse, bisogna considerare gli altri costi che la UC ha sostenuto a causa della violazione dei dati. Come minimo, i costi aggiuntivi includevano quanto segue:

  • Commissioni per consulenti di cybersecurity e forensi molto costosi
  • Costi per il settore IT legati allo smantellamento e alla sostituzione di una o più soluzioni tecnologiche con poco preavviso
  • Spese legali dovute a potenziali azioni legali da parte delle vittime
  • Risorse spese per il rapido sviluppo di nuovi controlli, processi e procedure di sicurezza
  • Perdita di tasse e contributi da parte di studenti e candidati che hanno deciso di rinunciare ai corsi della UC
  • Danni a lungo termine alla reputazione del brand UC

In conclusione, gli istituti scolastici devono essere più preparati per tenere al sicuro le informazioni personali degli studenti, soprattutto perché il numero di cyberattacchi è salito alle stelle nel corso degli ultimi anni.

 

La conformità FERPA in un mondo virtuale

Da due decenni, Splashtop fornisce accesso remoto, supporto remoto e collaborazione ai migliori istituti scolastici. Questo ci rende estremamente qualificati per la fornitura delle migliori procedure per la conformità FERPA mentre rendi disponibile un ambiente di apprendimento virtuale per studenti, docenti e personale. Segui queste 4 procedure ottimali comprovate per proteggere le informazioni personali dei tuoi studenti.

 

Procedura ottimale n.1: modifica le procedure di sicurezza informatica in modo che tengano conto della realtà del "lavoro da remoto"

Molte persone non hanno familiarità con i problemi legati alla sicurezza dei dati e non si rendono conto di come le loro azioni potrebbero portare a una violazione dei dati. È necessario che tutte le persone della tua istituzione siano informate e consapevoli al fine di prevenire l'esposizione delle informazioni personali degli studenti.

Il modo migliore per tenere informati i dipendenti è creare e condividere una politica di sicurezza informatica che insegni loro a mantenere al sicuro i dati degli studenti. La tua politica di sicurezza IT può essere un semplice documento. Dovrebbe spiegare le ragioni per cui esiste e fornire i protocolli di sicurezza specifici (in termini non tecnici) che tutti i dipendenti dovrebbero seguire. Dovrebbe anche indicare un punto di contatto (e-mail o numero di telefono) per i dipendenti che hanno bisogno di ulteriore aiuto per comprenderla.

In che modo Splashtop segue questa procedura ottimale

Splashtop, ad esempio, ha sviluppato alcune "Politiche di sicurezza" che costituiscono un sottoinsieme delle nostre Misure tecniche e organizzative (TOM). Tali politiche descrivono le misure e i controlli di sicurezza implementati e gestiti da Splashtop al fine di proteggere i dati archiviati ed elaborati.

I nostri esperti di sicurezza IT esaminano e modificano regolarmente le nostre politiche di sicurezza IT. I dipendenti di Splashtop partecipano annualmente alla formazione sulla sicurezza delle informazioni e rispettano le norme di comportamento etico aziendale, di riservatezza e di sicurezza di Splashtop, come indicato nel nostro "Codice di condotta".

Se si dispone di una politica che non è stata aggiornata da quando è stato consentito il lavoro a distanza, è possibile creare rapidamente una linea di condotta sul lavoro a distanza che includa regole e consigli per il lavoro da remoto. Concentrati su come i dipendenti che lavorano a distanza dovrebbero agire per mantenere al sicuro le informazioni personali e i dati aziendali, specialmente quando lavorano da casa.

 

Procedura ottimale n.2: istruisci i dipendenti e assicurati che l'IT possa assisterli

Come accennato in precedenza, i dipendenti di Splashtop partecipano annualmente alla formazione sulla sicurezza delle informazioni e rispettano le norme di comportamento etico aziendale, di riservatezza e di sicurezza, come indicato nel Codice di condotta di Splashtop.

Prepariamo il nostro team IT a supportare i dipendenti che lavorano in remoto nei seguenti modi:

  • Politiche per gli account e le password: Splashtop assegna a tutti gli utenti i propri login e garantisce l'accesso tramite password forti e autenticazione a due/fattori/multifattoriale.
  • Controllo della sicurezza dei dati: i controlli sulla sicurezza dei dati di Splashtop includono l'accesso basato sui ruoli e sul principio del minimo privilegio, il monitoraggio e registrazione degli accessi. In questo modo, quando iniziano a utilizzare il sistema Splashtop, tutti gli utenti hanno un livello minimo di accesso ai dati.
  • Controllo degli accessi: Splashtop ha implementato il controllo degli accessi per gestire l'accesso elettronico ai dati e ai sistemi. I nostri controlli degli accessi sono basati su livelli di autorità, parametri "need-to-know" e sulla chiara distinzione delle funzioni per coloro che accedono al sistema.
  • Risposta agli incidenti di sicurezza: Splashtop ha elaborato delle procedure di "Security Incident Response". Tali procedure consentono a un'organizzazione di indagare, rispondere, mitigare e notificare gli eventi relativi ai servizi Splashtop e alle risorse informatiche.

 

Procedura ottimale n.3: mantieni i dati crittografati in transito e inattivi

I due elementi cardine per garantire la protezione dei dati quando i tuoi dipendenti lavorano in remoto sono la crittografia e il controllo degli accessi.

  • Crittografia: Splashtop si avvale della crittografia per proteggere tutti i dati degli utenti in transito e a riposo, inoltre tutte le sessioni utente vengono stabilite in modo sicuro utilizzando TLS. Il contenuto a cui si accede durante ogni sessione è sempre cifrato tramite AES a 256 bit.
  • Controllo degli accessi: Splashtop ha implementato il controllo degli accessi per gestire l'accesso elettronico ai dati e ai sistemi. I nostri controlli degli accessi sono basati su livelli di autorità, livelli del tipo "need-to-know" e sulla distinzione delle funzioni per coloro che accedono al sistema.

Consiglio aggiuntivo: Splashtop evita intenzionalmente la raccolta eccessiva di dati, un'azione intrapresa da troppe aziende senza una legittima ragione. Ci allineiamo più facilmente alle normative NON raccogliendo dati/informazioni sensibili. Raccogliamo, archiviamo ed elaboriamo solo informazioni personali limitate, come nome utente (e-mail), password e registri di sessione (per la revisione dei clienti, la risoluzione dei problemi, ecc.). Inoltre, Splashtop si impegna a non vendere le informazioni dei clienti, come previsto dalle linee guida definite dal RGPD e CCPA.

 

Procedura ottimale n.4: utilizzare l'accesso remoto sicuro

La soluzione di accesso remoto di Splashtop segue un approccio Zero Trust. Quando i dipendenti accedono da remoto al computer o alla postazione dell'ufficio, lo fanno tramite una speciale connessione stabilita da Splashtop, che non fa parte della rete aziendale. Il che significa che possono solo visualizzare e lavorare con i dati (ad esempio, i documenti Word) sul loro desktop remoto. Tuttavia, tali dati non viaggiano mai al di fuori della rete aziendale. Grazie a Splashtop, i responsabili della sicurezza IT possono anche scegliere di abilitare o disabilitare sia il trasferimento dei file che le funzioni di stampa. Tali scelte sono altamente indicate per il rispetto delle norme.

L'accesso remoto Splashtop introduce un numero maggiore di funzionalità di sicurezza, come l'autenticazione del dispositivo, l'autenticazione a due fattori (2FA), il single sign-on (SSO) e altro ancora. Queste misure di sicurezza moderne non esistono nell'architettura VPN.

 

Conclusione: inizia a proteggere le informazioni personali degli studenti oggi stesso

Le quattro procedure ottimali rappresentano de passaggi semplici e di buon senso che non solo proteggono le informazioni personali degli studenti, ma anche l'istituto scolastico nel suo complesso. Inoltre, prevengono una diffusa violazione dei dati causata da una violazione FERPA. Un granello di prevenzione può evitare costi di riparazione e danni al marchio.

 

Visita la nostra pagina Software desktop remoto per l'apprendimento da remoto e a distanza per saperne di più su come Splashtop migliora l'apprendimento a distanza.

 

 

Contenuto correlato

Splashtop è stata nominata una delle 10 migliori soluzioni di coinvolgimento degli studenti di EdTech del 2021

Come garantire che i dipendenti remoti siano conformi alla normativa HIPAA

La gestione della conformità RGPD e CCPA per una forza lavoro remota

 

Banner di prova gratuito nella parte inferiore del blog