Por que é indispensável a Segurança da Informação para Universidades?

A informação sempre foi tratada como um fator de preciosidade pelas pessoas. Por meio da informação, culturas evoluíram e grandes feitos foram realizados.

As instituições de ensino são alvos frequentes para ataque cibernéticos, devido aos dados confidenciais e sensíveis que seus sistemas de TI geralmente abrigam, combinados com as vulnerabilidades que acompanham uma cultura de acesso aberto. Uma segurança cibernética bem-sucedida para as instituições de ensino requer comunicação entre o departamento de TI e os líderes institucionais, para que eles possam ser mais eficazes na prevenção de ataques e retomar as atividades após um incidente ocorrer.

A cibersegurança para o setor educacional deve ser tratada com extrema importância, de modo que seja vista como essencial para a imagem da instituição e faça parte não apenas ao ambiente operacional, mas também estratégico do negócio.

Por que é importante proteger?

Todos nós sabemos que as informações de uma instituição de ensino superior são de grande importância, porém é comum para as gestões que seu valor seja percebido somente quando estão em risco ou são seriamente comprometidas.

De ataques e violações de ransomware comprometendo as informações pessoais de alunos, professores e funcionários a ataques de negação de serviço que tornam o gerenciamento de aprendizado e outros sistemas indisponíveis durante momentos importantes, as ameaças de segurança cibernética representam um risco de negócios cada vez mais comum para faculdades e universidades.

O que faz das instituições de ensino um alvo primordial para os cibercriminosos?

Instituições de ensino são alvos atraentes por dois motivos. Primeiro, assim como organizações de saúde e instituições financeiras, faculdades e universidades abrigam uma grande variedade de dados confidenciais e lucrativos, incluindo dados pessoais identificáveis, informações financeiras, registros médicos, propriedade intelectual e pesquisas de ponta. E, segundo, a cultura de acesso aberto nas instituições de ensino, o tornam alvo particularmente vulnerável para acesso não autorizado, uso não seguro da Internet e malware.

Pelo terceiro ano consecutivo, a segurança da informação é a principal questão identificada pelos profissionais de TI na lista dos 10 principais assuntos de TI do EDUCAUSE 2018.

A Desconexão cibernética entre os gestores de TI e líderes institucionais

Ainda existe uma desconexão grande entre os gestores de TI e líderes institucionais. Em muitas instituições pelo país, o engajamento executivo e a atenção do conselho de administração ainda não alcançaram os crescentes riscos cibernéticos aos quais as instituições estão expostas. As razões para isto são duas.

O caminho acadêmico tradicional para a liderança na instituição muitas vezes impede a exposição e a experiência com questões de segurança cibernética: a maioria dos executivos que ascendem a cargos de liderança nas instituições de ensino, têm exposição limitada em questões cibernéticas e seu possível impacto nos negócios. Os conselhos de administração, dependendo de sua composição e de como os conselheiros são nomeados, podem ou não trazer experiência relevante e fluência em questões de segurança cibernética para suas respectivas instituições. Com muita frequência, é necessária uma grande violação para encaminhar os assuntos de segurança cibernética para a agenda de executivos e diretoria.

As responsabilidades do presidente e líderes executivos deixa pouco tempo para assuntos técnicos. as responsabilidades do presidente e seus líderes executivos são muitas: arrecadação de fundos, planejamento estratégico, gerenciamento de matrículas, gestão de portfólio de produtos e serviços, orçamentos, relação com a comunidade, assuntos acadêmicos, relações federais e estaduais, vida estudantil, entre outros. Com tantas responsabilidades competindo pelo tempo e atenção destes atores, as discussões cibernéticas, que muitas vezes são expressas em jargão técnico e inacessível, frequentemente são deixadas de lado por assuntos mais familiares e aparentemente importantes.

Mentalidade de resiliência: não é uma questão de se, mas quando.

A atividade maliciosa relativamente isolada deu lugar a organizações de cibercrime bem organizadas e redes de atacantes politicamente motivados e, às vezes, patrocinados pelo Estado. O relatório de investigações de violação de dados da Verizon de 2017 constatou que os atores e grupos criminosos organizados estavam por trás de um número crescente de violações direcionadas ao setor educacional.

Embora a equipe técnica de uma instituição lide com muitos eventos de segurança rotineiros do dia-a-dia, alguns incidentes podem se tornar crises comerciais mais sérias que podem afetar a missão mais ampla de uma instituição.

Ser resiliente significa ter a capacidade de conter rapidamente os danos e mobilizar os diversos recursos necessários para reduzir o impacto - incluindo os custos diretos e a interrupção operacional, bem como os danos à reputação.

Os riscos de negócios associados a uma violação podem variar desde o impacto financeiro e de reputação até a capacidade de uma instituição para cumprir sua missão.

À medida que a dependência de tecnologia em instituições de ensino superior cresce ano após ano, a magnitude de possíveis interrupções nas operações diárias de negócios provavelmente só aumentará.

Olhando para o futuro cibernético da instituição

Até recentemente, demandava um grande incidente cibernético para elevar a segurança cibernética à agenda executiva. Mas com a crescente digitalização do empreendimento acadêmico, crescente pressão regulatória para melhorar a postura de segurança da informação de uma instituição e um cenário de ameaças cibernéticas em rápida evolução, as apostas são maiores do que nunca para instituições que não tratam questões de cibersegurança como riscos sérios para a empresa.

Aumentar a facilidade em nível executivo e de diretoria para questões cibernéticas é parte integrante da responsabilidade de uma instituição, considerando a realidade das crescentes ameaças cibernéticas atuais. Desenvolver o debate geralmente requer o alinhamento estrutural (na medida em que ainda não existe), reformulando questão como um gerenciamento de risco corporativo e desenvolvendo a resiliência institucional para que as faculdades e universidades estejam em posição de se recuperar rapidamente incidente ocorre.