Beruflich Dokumente
Kultur Dokumente
de Tecnologías
de la Comunicación
Da a conocer los motivos por los que deben asegurarse y protegerse las plataformas
educativas.
Permite alcanzar una comprensión global sobre la seguridad en las plataformas educativas a
través de la identificación de las incidencias y de las necesidades de los distintos grupos de
usuarios.
Asimismo, define una serie de recomendaciones generales sobre normativa, buenas prácticas
y pautas de seguridad en relación con el uso y desarrollo de estas plataformas.
Una plataforma educativa, como cualquier otra aplicación informática y sus datos relacionados,
debe ser securizada conforme a su nivel de sensibilidad. Las medidas de seguridad
implantadas han de servir para garantizar, dentro de lo posible, su disponibilidad, su correcto
funcionamiento y procesamiento de la información y la confidencialidad de los datos. La gran
peculiaridad de las plataformas educativas es su uso masivo por parte de menores de edad, un
sector de la población que necesita unos niveles de protección mayor.
Para el desarrollo del estudio se ha tenido en cuenta, además de los niños, a los demás
actores relacionados con las plataformas educativas: administradores de centros escolares,
profesores, padres, la Administración Pública e instituciones con responsabilidades en
educación, editoriales y consultores de desarrollo. Para cada uno de estos grupos se analizan
sus expectativas en cuanto a las medidas de seguridad que razonablemente deberían existir en
las plataformas educativas, teniendo en cuenta la gravedad relativa de las posibles incidencias
si se cristalizaran uno o más de los posibles riesgos o amenazas.
Análisis de riesgos
Tomando en consideración las buenas prácticas, las expectativas de los usuarios y los posibles
impactos de fallos en las medidas de seguridad se ha efectuado un análisis de riesgo que ha
permitido extraer los aspectos fuertes y las debilidades de las plataformas. Dichas debilidades
deben entenderse como las situaciones no conformes con las buenas prácticas, leyes o
normativas o situaciones que pudieran dar lugar a la ocurrencia de una o más de las amenazas
previamente contempladas.
• Entre los aspectos fuertes destacan que la mayoría de las plataformas tienen
correctamente incorporadas en sus redes de acceso sistemas de protección como
firewall e IDS, que se utilizan contraseñas para el log-on y los ficheros de las
contraseñas son cifrados, que hay una separación de entornos en algunos casos para
los datos más sensibles, que existe concienciación de los riesgos existentes, etc. En
definitiva se destaca que el nivel de incidencias de seguridad en las plataformas es,
hasta la fecha, muy bajo.
• En relación con las debilidades el estudio ha podido demostrar que existe una carencia
seria de formación y por tanto, de concienciación acerca de los riesgos existentes por
parte de los actores relacionados. Igualmente se detectaron fallos en la seguridad lógica
de los equipos, en algunos casos por la falta de políticas de seguridad o por la
simplicidad de los sistemas de autenticación teniendo en cuenta la sensibilidad de la
información.
Tras haber efectuado este análisis se trasladaron los resultados a un mapa de riesgos 1 ,
asociando cada debilidad o vulnerabilidad con su potencial amenaza y evaluando también la
probabilidad de la ocurrencia de dicha amenaza asociada y su impacto en una escala de alta,
media y baja gravedad.
La conclusión es que a pesar del bajo volumen de incidencias conocidas hasta ahora en
relación con la seguridad de las plataformas educativas, la proliferación de estas en años
recientes, junto con el aumento en la complejidad de la tecnología y la incorporación de nuevas
funcionalidades, conduce a una situación en la que la seguridad debería tener una importancia
mayor.
Necesidades detectadas
No existe una política de seguridad específica relacionada con las plataformas por diversas
razones, pero principalmente debido a las de pura funcionalidad y por la falta de incidencias
graves. No obstante, el diagnóstico efectuado ha demostrado también una serie de
preocupaciones o amenazas que merecen ser objeto de estudio o solución. En concreto:
1
Siguiendo el formato de la metodología Magerit que es de carácter público y pertenece al Ministerio de Administraciones Públicas.
Más información disponible en, Ministerio de Administraciones Públicas (2006): Metodología de Análisis y Gestión de Riesgos de
los Sistemas de Información (MAGERIT). Ministerio de Administraciones Públicas, Versión 2.0, Disponible en
http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf
• La calidad de los contenidos debería estar supervisada para que estos no atenten
contra principios morales.
Tomando en consideración las opiniones de los expertos y la situación real de las plataformas,
las necesidades que existen a corto, medio y largo plazo se identifican a continuación por los
siguientes ámbitos de actuación:
• Certificación y estandarización.
• Funcionalidad y disponibilidad.
Recomendaciones y propuestas
Por último, el estudio ha identificado una serie de recomendaciones para subsanar o responder
a las necesidades detectadas. Estas recomendaciones deben estar presentes a la hora de:
Por tanto, como conclusión al estudio realizado, las recomendaciones y propuestas de mejora
que INTECO propone son las siguientes:
• Utilizar los diseños curriculares, para formar a los alumnos de manera transversal en
materia de seguridad.
Normativa
Certificación y estandarización
Funcionalidad
• Mejorar la seguridad física de las áreas en las que se pueden utilizar las plataformas.
• Gestión de la capacidad para cuando una plataforma pueda estar afectada por un
elevado número de usuarios.
perfiles, c) que el manejo de las plataformas sea intuitivo, d) que sean resistentes a
fallos por parte de los usuarios, e) que cuenten con asistentes de soporte y f) que
existan controles tales como la suspensión después de un cierto periodo de inactividad.
Seguridad de contenidos
• Asignar recursos humanos a las tareas de seguridad. Esto debe hacerse en diversos
entornos:
o En el de ejecución y operación.
o Actualización de la información.