Como Navegar na Conformidade com FERPA Enquanto Permite a Aprendizagem Virtual

A pandemia e a aprendizagem virtual têm exposto as instituições de ensino a mais riscos de conformidade. Saiba como navegar em conformidade com a FERPA num mundo virtual.

A Lei dos Direitos Educativos e da Privacidade da Família (FERPA) é uma lei federal dos EUA que confere aos pais o direito de terem acesso aos registos educativos dos seus filhos, o direito de procurar emendas e o direito de terem algum controle sobre a divulgação de dados pessoais informações identificáveis a partir dos registos educativos. Estes direitos são transferidos para um estudante que completa 18 anos ou ingresse numa instituição pós-secundária em qualquer idade.

Os registos dos alunos incluem (mas não se limitam a) notas, transcrições, listas de turmas, horários do curso dos alunos, informações financeiras dos alunos, arquivos de disciplina dos alunos e registos de saúde para os níveis de K-12 — incluindo dados pessoais relacionados com a Covid-19. Sob a FERPA, as instituições de ensino devem proteger as informações de identificação pessoal (PII) que residem no registo de cada aluno.

A lei aplica-se a todos os órgãos e instituições de ensino que recebam fundos sob qualquer programa administrado pelo Secretário da Educação. Quando uma agência ou instituição viola as regras FERPA, arrisca-se a uma retirada total do apoio de financiamento federal. Você pode encontrar o estatuto FERPA em 20 U.S.C. § 1232g e o regulamento FERPA em 34 CFR Part 99.

 

Docentes Remotos, Funcionários e Alunos Elevam Risco de Conformidade

Não é surpresa que a pandemia tenha exposto as instituições de ensino a mais riscos de conformidade. No entanto, muitos não estão bem preparados para aplicar as leis de privacidade de dados, incluindo a FERPA.

Consideremos o caso da Universidade da Califórnia (UC). Em 24 de dezembro de 2020, o aparelho de transferência de ficheiros Accellion (FTA) da Universidade foi comprometido num ataque cibernético direcionado, provocando uma violação significativa de dados. De acordo com uma FAQ publicada pela UC, a PII dos alunos que foi roubada na violação provavelmente incluía “nomes completos, moradas, números de telefone, números da Segurança Social, informações sobre carta de condução, informação de passaporte, informações financeiras incluindo roteamento bancário e números de conta, informação sobre saúde e benefícios conexos, informações sobre deficiência e datas de nascimento, bem como outras informações pessoais fornecidas à UC.”

Infelizmente, a UC revelou aos estudantes (e à maior comunidade UC) que algumas das PII já tinham sido colocadas na Internet até 29 de março de 2021.

Além de a então atual PII dos alunos ter sido roubada e publicada, os novos candidatos ao sistema UC também receberam más notícias: “As informações das candidaturas submetidas à Universidade da Califórnia para o ano letivo 2020-2021 foram impactadas. Esta informação pode incluir data de nascimento, identidade de género, nível de rendimento familiar do agregado familiar, etnia e/ou afiliação tribal e primeira língua, orientação sexual, informação académica (GPA, notas dos testes), e se recebeu acolhimento familiar”, indicou as FAQ da UC.

Numa tentativa de evitar tal perda futura das PII de estudantes (e PIIs de outros), a UC informou a comunidade que tinha tomado quatro grandes passos:

  1. Descontinuou a tecnologia Accellion
  2. Começou a fazer a transição para uma solução mais segura
  3. Colaborou com o FBI
  4. Envolveu especialistas externos de cibersegurança para investigar mais

Numa secção subsequente da mesma FAQ, a UC também afirmou que estava a melhorar os controles, processos e procedimentos de segurança.

 

Os Custos de Não Estar Preparado para a Conformidade com a FERPA

Certamente que o potencial de retirada do financiamento federal deveria ter motivado a UC e outras instituições/agências a prepararem-se melhor antes do ataque de dezembro de 2020. Se isso não bastasse, considere os outros custos que a UC incorreu em consequência da violação de dados. No mínimo, os custos adicionais incluíram o seguinte:

  • Taxas para consultores de cibersegurança e forense de alto preço
  • Custos de TI para “rasgar e substituir” uma ou mais soluções tecnológicas com pouca antecedência
  • Honorários legais associados a potenciais ações judiciais das vítimas
  • Recursos despendidos no rápido desenvolvimento de novos controles, processos e procedimentos de segurança
  • Mensalidades e taxas perdidas de estudantes e candidatos que decidiram renunciar à UC
  • Danos de longo prazo à reputação da marca UC

O ponto de partida é que a sua instituição de ensino precisa estar melhor preparada para manter as PIIs dos alunos em segurança, particularmente com a taxa de ciberataques a disparar nos últimos anos.

 

Conformidade com FERPA num Mundo Virtual

A Splashtop fornece acesso remoto, suporte remoto e colaboração a instituições de ensino de topo há duas décadas. Isso torna-nos exclusivamente qualificados para lhe oferecer as melhores práticas para a conformidade com FERPA, enquanto você permite um ambiente virtual de aprendizagem para estudantes, professores e funcionários. Siga estas 4 melhores práticas comprovadas para manter as PIIs dos seus alunos mais seguras.

 

Boas Práticas #1: Atualize a sua política de cibersegurança para refletir a realidade do “trabalho remoto”

Muitas pessoas não estão familiarizadas com questões de segurança de dados e simplesmente não reconhecem como as suas ações podem levar a uma violação de dados. Todos na sua instituição devem estar informados e conscientes de forma a evitar a exposição das PIIs dos alunos.

A melhor forma de informar os colaboradores é estabelecer e partilhar uma política de cibersegurança que os instrua como manter os dados dos registos dos alunos seguros. A política de segurança das TI pode ser um documento simples. Deve explicar as razões para a mesma existir e fornecer os protocolos de segurança específicos (em termos não técnicos) que todos os colaboradores devem seguir. Deve também fornecer uma fonte de contacto (e-mail ou número de telefone) para os funcionários que necessitem de ajuda adicional para compreenderem o assunto.

Como a Splashtop segue esta boa prática

Na Splashtop, por exemplo, desenvolvemos “Políticas de Segurança” como um subconjunto das nossas Medidas Técnicas e Organizacionais (TOM). Estas descrevem as medidas e controles de segurança implementados e mantidos pela Splashtop para proteger e proteger os dados que armazenamos e processamos.

Os nossos especialistas em segurança de TI analisam e alteram regularmente as nossas políticas de segurança de TI. Os funcionários da Splashtop completam o treinamento de segurança da informação anualmente e cumprem com a conduta ética do negócio, a confidencialidade e as políticas de segurança da Splashtop, conforme estabelecido no nosso “Código de Conduta”.

Se você tem uma política mas não a atualizou desde que permite o trabalho remoto, você pode criar rapidamente uma política de trabalho remoto que inclua regras e dicas para o trabalho remoto. Concentre-se na forma como os funcionários remotos devem agir para manter as informações pessoais e os dados da empresa seguros, especialmente quando trabalham a partir de casa.

 

Boas Práticas #2: Treinar os funcionários e garantir que o TI pode dar suporte a eles

Como mencionado acima, os funcionários da Splashtop completam anualmente o treinamento de segurança da informação e cumprem com a conduta ética do negócio, a confidencialidade e as políticas de segurança da Splashtop, conforme estabelecido no Código de Conduta da Splashtop.

Preparamos a nossa equipa de TI para apoiar os funcionários remotos das seguintes formas:

  • Políticas de Conta e Senha: A Splashtop atribui a todos os usuários os seus próprios inícios de sessão e concede acesso através de senhas fortes e autenticação de dois fatores/múltiplos fatores.
  • Controlo de segurança de dados: os controles de segurança de dados da Splashtop incluem acesso baseado em funções com base no princípio de menos privilégios, monitorização de acessos e registo. Isto significa que todos os usuários têm um nível mínimo de acesso aos dados à medida que começam a utilizar o sistema Splashtop.
  • Controlo de Acessos: A Splashtop implementou controles de acesso para gerir o acesso eletrónico a dados e sistemas. Os nossos controles de acesso baseiam-se em níveis de autoridade, parâmetros necessários de se conhecer e numa clara separação de deveres para as pessoas que acedem ao sistema.
  • Resposta a Incidentes de Segurança: A Splashtop estabeleceu procedimentos de “Resposta a Incidentes de Segurança” que permitem à Splashtop investigar, responder, mitigar e notificar eventos relacionados com serviços Splashtop e ativos de informação.

 

Boas Práticas #3: Mantenha os dados encriptados quando em trânsito e em repouso

As duas chaves para manter a proteção de dados quando os seus colaboradores trabalham remotamente são encriptação e controlo de acesso.

  • Encriptação: a Splashtop encripta todos os dados do usuário em trânsito e em repouso, e todas as sessões de usuário são estabelecidas com segurança através do TLS. O conteúdo acedido em cada sessão é sempre encriptado através de AES de 256 bits.
  • Controlo de Acessos: A Splashtop implementou controles de acesso para gerir o acesso eletrónico a dados e sistemas. Os nossos controles de acesso baseiam-se nos níveis das autoridades, nos níveis de necessidade de conhecer e na separação de tarefas para quem acede ao sistema.

Dica Adicional: A Splashtop evita propositadamente a recolha excessiva de dados — algo que muitas empresas fazem sem uma razão legítima. Alinhamos mais facilmente com os regulamentos, não recolhendo dados/informações sensíveis. Apenas recolhemos, armazenamos e processamos PIIs limitadas, tais como nome de usuário (e-mail), senha e registos de sessão (para os clientes analisarem, resolverem problemas, etc.), e a Splashtop não vende informações de clientes de acordo com as diretrizes do GDPR e CCPA.

 

Boas Práticas #4: Use acesso remoto seguro

A solução de acesso remoto da Splashtop segue uma abordagem Zero Trust. Quando os funcionários acedem remotamente ao seu computador de escritório ou estação de trabalho, entram através de uma ligação especial Splashtop. Uma ligação que não faz parte da rede corporativa. Isto significa que só podem ver e trabalhar com os dados (ou seja, documentos Word) no seu ambiente de trabalho remoto. Os dados nunca viajam para fora da rede corporativa. Com a Splashtop, os líderes de segurança de TI também têm a opção de ativar ou desativar as funções de transferência e impressão de ficheiros, que são altamente recomendadas para conformidade.

O acesso remoto Splashtop introduz ainda mais funcionalidades de segurança, como autenticação do dispositivo, autenticação de dois fatores (2FA), início de sessão único (SSO) e muito mais. Estas medidas de segurança modernas não existem na arquitetura VPN.

 

Conclusão: Comece a Manter as PIIs dos Estudante Seguras Agora

As quatro melhores práticas representam passos simples e de bom senso que não só protegem as PIIs dos seus alunos, mas também a sua instituição como um todo. Além disso, prevenindo uma violação generalizada de dados causada por uma violação da FERPA. Com apenas um pouco de prevenção, você pode evitar custos de reparação e danos de marca.

 

Visite a nossa página de Desktop Remoto para Aprendizagem à Distância e Híbrida para saber mais sobre como a Splashtop melhora o ensino à distância.

 

 

Conteúdo Relacionado

Splashtop Nomeada Uma das 10 Principais Soluções de Engajamento de 2021 pela EdTech

Como garantir que os seus funcionários remotos sejam compatíveis com a HIPAA

Gestão da Conformidade com RGPD e CCPA para uma Força de Trabalho Remota

 

Banner de avaliação gratuita no final desta página