Por qué la educación superior necesita desarrollar resiliencia informática y cibernética

Por Phil Muncaster • 17 Septiembre 2024

Como guardianes de información personal altamente sensible e investigación de primer nivel, las instituciones de educación superior del Reino Unido son objetivos populares tanto para los cibercriminales como para los estados-nación. La ciberresiliencia en la cima de la lista de prioridades para los CISO de la industria. Pero, como lo puso de relieve la reciente interrupción del servicio CrowdStrike, el sector de la educación superior debe estar preparado para algo más que los actores amenazantes.

La ciberresiliencia es parte integral de la continuidad de las operaciones, pero también hay otros riesgos para la información que las instituciones de educación superior gestionan y los servicios que prestan que deben gestionarse. Afortunadamente, la norma ISO 27001 también puede ayudar a proteger la disponibilidad, la confidencialidad y la integridad de los sistemas de información en caso de una interrupción inesperada.

¿Que pasó?

Descrito como posiblemente La peor interrupción de TI del mundoEl incidente de CrowdStrike se originó a partir de una actualización defectuosa de la herramienta de seguridad de endpoints Falcon de la empresa, lo que provocó problemas generalizados con las computadoras Microsoft Windows que ejecutaban el software. Aunque menos del 1% de los endpoints de Windows globales se vieron afectados, esto equivalió a más de ocho millones de máquinas, muchas de las cuales operaban servicios críticos en hospitales, aerolíneas e instituciones de educación superior.

Según (aqui)Los servicios en las instituciones de educación superior del Reino Unido, incluidas las universidades de Manchester, East Anglia, Oxford Brookes, Lancaster y Aston, se vieron afectados por la interrupción. Muchos otros Los estudiantes del otro lado del Atlántico también se vieron afectados, con portales para estudiantes cerrados y algunos obligados a suspender las clases de verano. Si un incidente similar hubiera ocurrido durante el período lectivo, las interrupciones podrían haber sido mucho peores.

Resiliencia

Las universidades del Reino Unido llevan algún tiempo a la defensiva frente a los agentes amenazantes. Según el gobiernoEl 97 % de las instituciones de educación superior identificaron una vulneración o un ciberataque durante el año pasado, y seis de cada diez afirmaron haber sido afectadas negativamente por ello. Una combinación de redes distribuidas complejas y una gran cantidad de personal y estudiantes que requieren acceso abierto a Internet crea una amplia superficie de ataque que defender. El ransomware, el phishing, el robo de datos respaldado por el estado y las estafas de robo de información son frecuentes. Y las presiones financieras persistentes dificultan que los CISO prioricen dónde se debe concentrar el gasto.

Sin embargo, los expertos creen que el incidente de CrowdStrike debería ser un catalizador para un debate más amplio sobre la resiliencia de TI que vaya más allá de la prevención, detección y respuesta a incidentes cibernéticos maliciosos. Según Chris Gilmour, director de tecnología de la empresa de servicios gestionados de TI Axians UK, la planificación para este tipo de eventos debería ir acompañada de los elementos básicos habituales de higiene cibernética: la aplicación de parches, la autenticación multifactor (MFA) y la restricción del acceso a la red.

“La realización de pruebas periódicas de los planes de recuperación ante desastres y la planificación de contingencias para afrontar desafíos inesperados es esencial para garantizar su eficacia en caso de crisis”, comenta a ISMS.online. “También es sumamente importante fomentar una cultura de concienciación sobre la seguridad entre el personal y los estudiantes que pueda ayudar a prevenir infracciones y mitigar su impacto”.

Bharat Mistry, director técnico de Trend Micro UK & I, añade que los planes de continuidad empresarial de la educación superior deben cubrir la TI, la comunicación, el acceso a los datos y la enseñanza.

“Estos planes deben identificar funciones y sistemas críticos, delinear procedimientos claros para mantener operaciones esenciales durante interrupciones y definir roles y responsabilidades para los equipos de respuesta a emergencias, incluidos protocolos de comunicación para las partes interesadas”, le dice a ISMS.online.

“También se deben realizar simulacros y ejercicios de forma frecuente para poner a prueba los planes de continuidad del negocio e identificar las debilidades. Esto ayuda a garantizar que el personal esté preparado para responder de manera eficaz ante incidentes reales”.

Los líderes en tecnología y seguridad en educación superior también deben considerar la infraestructura de TI que utilizan. Mistry recomienda soluciones basadas en la nube para garantizar la accesibilidad, el equilibrio de carga y la conmutación por error para mantener la disponibilidad del servicio, así como arquitecturas de nube híbrida para distribuir el riesgo en múltiples entornos.

“Evite depender excesivamente de un único proveedor o sistema. Implementar sistemas redundantes y diversificar los servicios críticos puede ayudar a mantener las operaciones si falla un sistema”, añade. “Esto incluye utilizar múltiples soluciones de ciberseguridad de diferentes proveedores, mantener copias de seguridad fuera de línea de datos y sistemas críticos e implementar conexiones de red y fuentes de alimentación redundantes”.

Tanto Gilmour como Mistry también recomiendan la realización de análisis post-incidentes para garantizar que los equipos de TI aprendan las lecciones de las fallas de seguridad y las interrupciones graves. Estos pueden ayudar a proporcionar “un análisis exhaustivo de los incidentes, descubrir las causas fundamentales y destacar las áreas para la mejora de los procesos” y fomentar “una cultura de responsabilidad y aprendizaje continuo en toda la organización”, afirma Mistry.

ISO 27001 y más allá

La pregunta es: ¿por dónde empezar? Muchos líderes de TI y seguridad conocen bien la norma ISO 27001 y Cyber Essentials como formas de mejorar la seguridad cibernética y de la información básica. Pero mientras que la última se centra en los controles técnicos para sistemas conectados a Internet con el fin de minimizar el riesgo cibernético, la norma ISO 27001 posiblemente ofrece más que también se puede vincular con la planificación de la continuidad empresarial y la recuperación ante desastres.

Esto incluye áreas clave como:

Gestión de riesgos de proveedores
Respuesta al incidente
Comunicación con partes interesadas/clientes internos y externos
Pruebas de software
Formación de los empleados

Usando la norma ISO 27001 como punto de partida, las organizaciones de educación superior podrían desarrollar ciberresiliencia y al mismo tiempo sentar las bases para un enfoque más integral hacia una resiliencia de TI más amplia.

“Al adoptar estas normas, las universidades pueden establecer un enfoque sistemático para la gestión de riesgos, la respuesta a incidentes y la protección de datos. Estos marcos ofrecen un conjunto integral de mejores prácticas que pueden ayudar a las organizaciones a identificar y abordar vulnerabilidades, mejorar su resiliencia y cumplir con los requisitos normativos”, afirma Gilmour de Axians UK.

“La adopción e implementación de los procesos y políticas de estas normas significa que las universidades pueden mejorar significativamente su postura en materia de ciberseguridad y proteger sus datos y operaciones confidenciales”.

Mistry, de Trend Micro, añade que muchas organizaciones comienzan con Cyber Essentials y luego avanzan hacia el estándar ISO 27001 “más completo” para mejorar aún más la seguridad y la resiliencia.

“Los marcos de trabajo como ISO 27001 y Cyber Essentials desempeñan un papel fundamental en el desarrollo de la resiliencia informática y cibernética, ofreciendo a las organizaciones un camino estructurado para mejorar sus prácticas de seguridad”, concluye. “Al aprovechar estos marcos de trabajo, las organizaciones pueden mejorar sistemáticamente su capacidad para prevenir, detectar, responder y recuperarse de los incidentes cibernéticos, fortaleciendo en última instancia su postura general de resiliencia cibernética”.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster

La seguridad cibernética 3 December 2025

Qué significa el proyecto de ley de ciberseguridad y resiliencia para las infraestructuras críticas

Ha tardado mucho en llegar. Tras haber sido objeto de reflexión desde el Discurso del Rey en 2024, el Proyecto de Ley de Ciberseguridad y Resiliencia (CSRB) ha llegado a su fin...

Phil Muncaster