Pular para o conteúdo principal
+1.408.886.7177Teste gratuito
Virtual learning while also on a virtual meeting with a teacher
Ensino a distânciaSegurança

Como Navegar na Conformidade com FERPA Enquanto Permite a Aprendizagem Virtual

7 minutos de leitura
Comece a utilizar o Acesso e Suporte Remoto da Splashtop
Teste gratuito
Inscreva-se
NewsletterFeed RSS
Compartilhar isso

A pandemia e a aprendizagem virtual têm exposto as instituições de ensino a mais riscos de conformidade. Saiba como navegar em conformidade com a FERPA num mundo virtual.

A Lei dos Direitos Educativos e da Privacidade da Família (FERPA) é uma lei federal dos EUA que confere aos pais o direito de terem acesso aos registos educativos dos seus filhos, o direito de procurar emendas e o direito de terem algum controle sobre a divulgação de dados pessoais informações identificáveis a partir dos registos educativos. Estes direitos são transferidos para um estudante que completa 18 anos ou ingresse numa instituição pós-secundária em qualquer idade.

Os registos dos alunos incluem (mas não se limitam a) notas, transcrições, listas de turmas, horários do curso dos alunos, informações financeiras dos alunos, arquivos de disciplina dos alunos e registos de saúde para os níveis de K-12 — incluindo dados pessoais relacionados com a Covid-19. Sob a FERPA, as instituições de ensino devem proteger as informações de identificação pessoal (PII) que residem no registo de cada aluno.

A lei aplica-se a todos os órgãos e instituições de ensino que recebam fundos sob qualquer programa administrado pelo Secretário da Educação. Quando uma agência ou instituição viola as regras FERPA, arrisca-se a uma retirada total do apoio de financiamento federal. Você pode encontrar o estatuto FERPA em 20 U.S.C. § 1232g e o regulamento FERPA em 34 CFR Part 99.

Docentes Remotos, Funcionários e Alunos Elevam Risco de Conformidade

Não é surpresa que a pandemia tenha exposto as instituições de ensino a mais riscos de conformidade. No entanto, muitos não estão bem preparados para aplicar as leis de privacidade de dados, incluindo a FERPA.

Consideremos o caso da Universidade da Califórnia (UC). Em 24 de dezembro de 2020, o aparelho de transferência de ficheiros Accellion (FTA) da Universidade foi comprometido num ataque cibernético direcionado, provocando uma violação significativa de dados. De acordo com uma FAQ publicada pela UC, a PII dos alunos que foi roubada na violação provavelmente incluía “nomes completos, moradas, números de telefone, números da Segurança Social, informações sobre carta de condução, informação de passaporte, informações financeiras incluindo roteamento bancário e números de conta, informação sobre saúde e benefícios conexos, informações sobre deficiência e datas de nascimento, bem como outras informações pessoais fornecidas à UC.”

Infelizmente, a UC revelou aos estudantes (e à comunidade UC) que algumas das PII já tinham sido publicadas na Internet em 29 de março de 2021.

Além de a então atual PII dos alunos ter sido roubada e publicada, os novos candidatos ao sistema UC também receberam más notícias: “As informações das candidaturas submetidas à Universidade da Califórnia para o ano letivo 2020-2021 foram impactadas. Esta informação pode incluir data de nascimento, identidade de género, nível de rendimento familiar do agregado familiar, etnia e/ou afiliação tribal e primeira língua, orientação sexual, informação académica (GPA, notas dos testes), e se recebeu acolhimento familiar”, indicou as FAQ da UC.

Numa tentativa de evitar tal perda futura das PII de estudantes (e PIIs de outros), a UC informou a comunidade que tinha tomado quatro grandes passos:

  1. Descontinuou a tecnologia Accellion

  2. Começou a fazer a transição para uma solução mais segura

  3. Estava cooperando com o FBI

  4. Trouxe especialistas externos em segurança cibernética para investigar ainda mais

Numa secção subsequente da mesma FAQ, a UC também afirmou que estava a melhorar os controles, processos e procedimentos de segurança.

Os Custos de Não Estar Preparado para a Conformidade com a FERPA

Certamente, o potencial para retirada de financiamento federal deveria ter motivado a UC e outras instituições/agências a prepararem-se melhor antes do ataque de dezembro de 2020. Se não bastasse, considere os outros custos que a UC incorreu em resultado da violação de dados. No mínimo, custos adicionais incluem o seguinte:

  • Taxas para consultores de cibersegurança e perícia a preços elevados

  • Custos de TI para 'excluir e substituir' uma ou mais soluções de tecnologia com pouco tempo

  • Taxas legais associadas a potenciais ações judiciais das vítimas

  • Recursos despendidos no rápido desenvolvimento de novos controles, processos e procedimentos de segurança

  • Mensalidades e taxas perdidas de estudantes e candidatos que decidiram renunciar à UC

  • Danos a longo prazo na reputação da marca UC

O resultado final é que a tua instituição de ensino precisa de estar mais bem preparada para manter as PII dos estudantes seguras, particularmente com a taxa de ataques cibernéticos a disparar nos últimos anos. 

Conformidade com o FERPA em um Mundo Virtual

A Splashtop fornece acesso remoto, suporte remoto e colaboração a instituições de ensino de topo há duas décadas. Isso torna-nos exclusivamente qualificados para lhe oferecer as melhores práticas para a conformidade com FERPA, enquanto você permite um ambiente virtual de aprendizagem para estudantes, professores e funcionários. Siga estas 4 melhores práticas comprovadas para manter as PIIs dos seus alunos mais seguras.

Melhor prática #1: Atualize a sua política de segurança cibernética para refletir a realidade do “trabalho remoto”

Muitas pessoas não estão familiarizadas com questões de segurança de dados e simplesmente não reconhecem como as suas ações podem levar a uma violação de dados. Todos na sua instituição devem estar informados e conscientes de forma a evitar a exposição das PIIs dos alunos.

A melhor forma de informar os colaboradores é estabelecer e partilhar uma política de cibersegurança que os instrua como manter os dados dos registos dos alunos seguros. A política de segurança das TI pode ser um documento simples. Deve explicar as razões para a mesma existir e fornecer os protocolos de segurança específicos (em termos não técnicos) que todos os colaboradores devem seguir. Deve também fornecer uma fonte de contacto (e-mail ou número de telefone) para os funcionários que necessitem de ajuda adicional para compreenderem o assunto.

Como a Splashtop segue esta boa prática

Na Splashtop, por exemplo, desenvolvemos “Políticas de Segurança” como um subconjunto das nossas Medidas Técnicas e Organizacionais (TOM). Estas descrevem as medidas e controles de segurança implementados e mantidos pela Splashtop para proteger e proteger os dados que armazenamos e processamos.

Os nossos especialistas em segurança de TI analisam e alteram regularmente as nossas políticas de segurança de TI. Os funcionários da Splashtop completam o treinamento de segurança da informação anualmente e cumprem com a conduta ética do negócio, a confidencialidade e as políticas de segurança da Splashtop, conforme estabelecido no nosso “Código de Conduta”.

Se você tem uma política mas não a atualizou desde que permite o trabalho remoto, você pode criar rapidamente uma política de trabalho remoto que inclua regras e dicas para o trabalho remoto. Concentre-se na forma como os funcionários remotos devem agir para manter as informações pessoais e os dados da empresa seguros, especialmente quando trabalham a partir de casa.

Boas Práticas #2: Treinar os funcionários e garantir que o TI pode dar suporte a eles

Como mencionado acima, os funcionários da Splashtop completam o treinamento de segurança da informação anualmente e cumprem a conduta ética de negócios, a confidencialidade e as políticas de segurança da Splashtop conforme estabelecido no Código de Conduta da Splashtop.

Preparamos a nossa equipe de TI para dar suporte aos funcionários remotos das seguintes maneiras:

  • Políticas de Conta e Senha:

    A Splashtop atribui a todos os usuários os seus próprios logins e concede acesso via senhas fortes e autenticação de dois fatores/vários fatores.

  • Controle da Segurança de Dados:

    Os controles de segurança de dados da Splashtop incluem acesso baseado em função com base no princípio de menor privilégios, monitoramento de acessos e registro. Isso significa que todos os usuários têm um nível mínimo de acesso aos dados à medida que começam a usar o sistema Splashtop.

  • Controle de Acessos:

    A Splashtop implementou controles de acesso para gerir o acesso eletrônico a dados e sistemas. Os nossos controles de acesso baseiam-se nos níveis de autoridade, parâmetros de necessidade de saber e uma separação clara de funções para as pessoas que acessam o sistema.

  • Resposta a Incidentes de Segurança:

    A Splashtop estabeleceu procedimentos de “Resposta a Incidentes de Segurança” que permitem à Splashtop investigar, responder, mitigar e notificar de eventos relacionados com os serviços e ativos de informação da Splashtop.

Boas Práticas #3: Mantenha os dados encriptados quando em trânsito e em repouso

As duas chaves para manter a proteção de dados quando os seus funcionários trabalham remotamente são a encriptação e o controle de acessos.

  • Encriptação:

    O Splashtop encripta todos os dados dos usuários em trânsito e em repouso, além de todas as sessões de usuários serem estabelecidas com segurança utilizando o TLS. O conteúdo acessado dentro de cada sessão é sempre encriptado via AES de 256 bits.

  • Controle de Acessos:

    A Splashtop implementou controles de acesso para gerir o acesso eletrônico a dados e sistemas. Os nossos controles de acesso baseiam-se nos níveis de autoridade, níveis de necessidade de saber e na separação de funções para aqueles que acessam o sistema.

Dica Adicional: A Splashtop evita propositadamente a recolha excessiva de dados — algo que muitas empresas fazem sem uma razão legítima. Alinhamos mais facilmente com os regulamentos, não recolhendo dados/informações sensíveis. Apenas recolhemos, armazenamos e processamos PIIs limitadas, tais como nome de usuário (e-mail), senha e registos de sessão (para os clientes analisarem, resolverem problemas, etc.), e a Splashtop não vende informações de clientes de acordo com as diretrizes do GDPR e CCPA.

Melhor prática #4: Use o acesso remoto seguro

A solução de acesso remoto da Splashtop segue uma abordagem Zero Trust. Quando os funcionários acedem remotamente ao seu computador de escritório ou estação de trabalho, entram através de uma ligação especial Splashtop. Uma ligação que não faz parte da rede corporativa. Isto significa que só podem ver e trabalhar com os dados (ou seja, documentos Word) no seu ambiente de trabalho remoto. Os dados nunca viajam para fora da rede corporativa. Com a Splashtop, os líderes de segurança de TI também têm a opção de ativar ou desativar as funções de transferência e impressão de ficheiros, que são altamente recomendadas para conformidade.

O acesso remoto Splashtop introduz ainda mais funcionalidades de segurança, como autenticação do dispositivo, autenticação de dois fatores (2FA), início de sessão único (SSO) e muito mais. Estas medidas de segurança modernas não existem na arquitetura VPN.

Conclusão: Comece a Manter as PIIs dos Estudante Seguras Agora

As quatro melhores práticas representam passos simples e de bom senso que não só protegem as PIIs dos seus alunos, mas também a sua instituição como um todo. Além disso, prevenindo uma violação generalizada de dados causada por uma violação da FERPA. Com apenas um pouco de prevenção, você pode evitar custos de reparação e danos de marca.

Visite a nossa página de Desktop Remoto para Aprendizagem à Distância e Híbrida para saber mais sobre como a Splashtop melhora o ensino à distância.

Conteúdo Relacionado

Segurança

Conformidade com a HIPAA: Principais Regulamentos, Melhores Práticas e Como Manter-se em Conformidade

Saiba mais
Segurança

Jogue com segurança: Práticas de cibersegurança que todos os gamers devem saber

Ensino a distância

Pesquisa considera a segurança de TI uma das principais prioridades para uma educação elevada

Segurança

O que é o Patch Tuesday?

Ver Todos os Artigos de Blog
Receba as últimas notícias da Splashtop
AICPA SOC icon
  • Conformidade
  • POLÍTICA DE PRIVACIDADE
  • Termos de Uso
Copyright ©2024 Splashtop Inc. Todos os direitos reservados. Todos os preços de $ mostrados em USD. Todos os preços apresentados excluem quaisquer impostos aplicáveis.