Gestores das instituições de ensino devem determinar um padrão mais elevado de segurança e proteção dos dados para manter as informações dos estudantes de maneira mais privada.
Em meio a tantos ataques de sequestro de informação, com diferentes variantes de ransomwares sendo noticiadas, os cuidados perante as informações agora não são somente a níveis financeiros, sobretudo nesta onda das fintechs, mas também no segmento acadêmico, que vem sendo um dos principais alvos ultimamente, mesmo não sendo tão divulgado.
A empresa de segurança Kaspersky, por exemplo, relata em um de seus estudos sobre malwares e demais ataques de sequestro, que envolvem criptografia, que o Brasil está entre os maiores percentuais de usuários que sofreram ataques de encryptors. E está ainda entre os 20 principais países onde os usuários enfrentam o maior risco de infecção online.
O fato é que os estudantes podem colocar suas vidas em redes sociais e demais formatos digitais, mas os gestores das instituições de ensino deverão culturalmente determinar um padrão mais elevado de segurança e proteção dos dados quando se trata de manter as informações dos estudantes de maneira mais privada.
Irei aqui então, alavancar alguns aspectos importantes neste contexto que poderá dar uma luz por onde começar e o que fazer.
Avalie suas práticas de coleta
No início, filiais e escolas em geral devem examinar a sua forma de coletar os dados dos alunos e usar políticas e práticas para este fim. Um mapeamento de dados de alunos ou práticas de inventário deve servir de base para este trabalho.
Os administradores devem ter uma oportunidade para determinar se os conjuntos e os usos atuais dos dados do estudante são adequados. O inventário de dados também ajudará as filiais e matrizes escolares a identificar riscos de segurança de dados e começar a explorar formas de salvaguardar estes dados e suportes.
Identifique seus objetivos de segurança
A instituição de ensino deve identificar os objetivos de segurança quando estabelecer políticas e procedimentos para proteger os dados dos alunos.
Assim como outros setores, a gestão rápida dos dados para definir objetivos para a confidencialidade, integridade e disponibilidade da informação, de maneira que os objetivos do segmento educacional devam estar em conformidade com as obrigações legais em matéria de privacidade e segurança e evitar encargos desnecessários para a adequada utilização, educacional de dados acadêmicos.
Nomear um líder de dados responsável por privacidade e conformidade de segurança
Uma prática implementada em serviços financeiros, saúde e setores de software envolve “nomear” um indivíduo ou comitê de indivíduos com autoridade de supervisão primária para garantir controles de privacidade de dados de alunos e conferir se programas de segurança são eficazes.
O líder de dados coordena as atividades associadas com a adoção e implementação de políticas e procedimentos de privacidade e segurança. De modo que os requisitos legais adicionais mudam, a tecnologia evolui e surgem novas demandas internas e externas para os dados dos alunos, para que não tenha que ficar examinando minuciosamente tudo que esta sendo aplicado a cada pedido de acesso e utilização de dados dos estudantes.
Realizar uma avaliação de risco e identificar necessidades de segurança
Antes de uma filial ou matriz poder desenvolver ou aperfeiçoar o seu programa de segurança de dados, ela precisa fazer um balanço das práticas e dos recursos atuais. Antes de realizar qualquer avaliação de risco, a instituição deverá avaliar as pessoas, processos e tecnologias atualmente utilizadas para fins de governança de dados do aluno.
Exercícios-mapeamento de dados
A fim de criar e adotar as medidas de segurança adequadas, é crucial identificar todos os dados. Esta avaliação deve ser ampla e aplicada em toda a empresa e todos os sistemas.
Um planejamento de segurança bem arquitetado e mapeado inclui uma determinação do que os dados da instituição possuem, os riscos específicos relacionados a esses dados, bem como o impacto e criticidade da perda de dados para todos os indivíduos afetados.
A compreensão dos diferentes elementos de dados recolhidos e utilizados pela instituição de ensino é importante para a correta avaliação dos requisitos legais que podem ser aplicados a tal coleta e uso.
Treinamento
A formação é essencial para um programa de segurança eficaz. Empregados em todos os níveis, incluindo professores, devem ter uma compreensão básica e familiaridade no mínimo básica para com os tipos de problemas que criam a privacidade do aluno e os riscos de segurança de dados.
Como acontece com qualquer treinamento de funcionários, existem infinitas possibilidades de aprendizagem criativa e mensagens para ajudar a educar e familiarizar todos os funcionários sobre a boa prática de privacidade e condutas de segurança.
Monitoramento, auditoria e relatórios
Em todos os setores, o monitoramento é um elemento fundamental para qualquer programa de segurança e muitas vezes requer parceiros internos e externos para ser eficaz.
O programa de segurança deve ser rotineiramente testado, monitorado e atualizado quanto às ameaças de segurança. A monitorização contínua envolve um processo de acompanhamento e atualização em tempo real para se defender rapidamente contra a evolução das ameaças.
Só através de auditorias internas regulares do programa de segurança por indivíduos qualificados pode a privacidade de dados e o programa de segurança manter a credibilidade necessária. O desenvolvimento da função de auditoria interna é um elemento chave para o desenvolvimento e manutenção deste programa.
Todos os envolvidos devem estar aderentes a níveis de conhecimento, cultura e atitude para identificar e denunciar violações de dados.
Prestação de contas
A elaboração e publicação de políticas e procedimentos é ineficaz a menos que haja um compromisso interno para manter os funcionários responsáveis pelas violações.
Estreita coordenação com os recursos humanos é fundamental para determinar as maneiras com que a privacidade dos dados, os procedimentos e políticas de segurança serão cumpridos e como as violações serão tratadas.
Gerir relações com os fornecedores e terceiros
Gerenciar relações com os fornecedores e terceiros, pondo em prática uma aprovação de fornecedor e o quadro de governança. Execução de avaliações de risco antes de selecionar tais fornecedores, contando ainda com assistência jurídica e um gerente de contratos e projetos que incluam proteções de dados apropriadas e restrições sobre o uso de tais dados.
Estabelecimento de padrões de referência para a privacidade e segurança de informações e dados do aluno, assegurando assim o cumprimento do fornecedor para com os requisitos de segurança, garantindo o pedido de auditorias, indenização e de confidencialidade, em que se estabeleça responsabilidades em caso de violação de dados, como por exemplo a formação de um NDA (Non Disclosure Agreement).
Estabelecer procedimentos para violações
As instituições deveriam exigir uma disposição de violação abordando, no mínimo, os procedimentos necessários para o monitoramento de violações e para quando uma violação é descoberta, incluindo quem é responsável por notificar as partes afetadas e autoridades governamentais.
O acordo deve especificar as responsabilidades para as comunicações sobre a violação.
Algumas iniciativas sobre este contexto da segurança e proteção dos dados do aluno-estudante incluem alguns princípios, que devem ser avaliados conforme a cultura, política e regras de negócio de cada instituição.
Princípios sobre dados educacionais do aluno da instituição de ensino
1. Os dados dos alunos devem ser usados para promover e apoiar a aprendizagem dos alunos e seu sucesso acadêmico.
2. Os dados dos alunos são mais eficientes quando utilizados para a melhoria contínua e personalização da aprendizagem do aluno.
3. Os dados dos alunos devem ser usados como uma ferramenta para informar, envolver e capacitar estudantes, famílias, professores e líderes do sistema escolar.
4. Estudantes, famílias e educadores devem ter acesso dinâmico à informação recolhida sobre o aluno.
5. Os dados dos alunos devem ser utilizados para informar e não substituem o julgamento profissional dos educadores.
6. Informações pessoais dos alunos só devem ser partilhadas, em termos ou acordos, com prestadores de serviços para fins educacionais legítimos; caso contrário, o consentimento para participação deve ser dado por um dos pais, tutor, ou um estudante, se esse aluno é maior de 18 anos. Os sistemas escolares devem ter políticas para supervisionar este processo, que incluem apoio e orientação para os professores.
7. Instituições de ensino e os seus prestadores de serviços contratados com acesso aos dados dos estudantes, incluindo pesquisadores, devem ter regras e orientações claras disponíveis publicamente sobre com coletam, usam, salvaguardam e destroem esses dados.
8 – Os educadores e os seus prestadores de serviços contratados só devem ter acesso aos dados mínimos do estudante, necessários para suportar o sucesso e rendimento do aluno.
9. Todos que têm acesso a informações pessoais dos alunos devem ser treinados e saber como efetivamente e eticamente utilizar, proteger e protegê-las.
10. A instituição de ensino com a autoridade para coletar e manter informações pessoais do estudante deve:
- Possuir um sistema de governança que designa regras e procedimentos, em que determine qual indivíduo ou grupo foi ou esta sendo responsável pela tomada de decisões sobre a coleta de dados, uso, acesso, partilha e segurança, bem como da utilização de programas educacionais on-line.
- Ter uma política para a notificação de qualquer abuso ou violação de informações e recursos disponíveis.
- Manter um processo de segurança que segue amplamente os acordos de melhores práticas de mercado.
- Fornecer um local designado ou de contato onde os alunos e as famílias possam ir para aprender sobre seus direitos e terem assim as suas perguntas sobre a coleta de dados do estudante, uso e segurança respondidas.
Existe ainda a FERPA | SHERPA, que visa fornecer informações com fácil acesso a esses materiais para ajudar a orientar o uso responsável dos dados.
Bem como outras referências interessantes:
- http://ptac.ed.gov/.
- http://dataqualitycampaign.org/action-issues/privacy-security-confidentiality/.
- http://www.cosn.org/focus-areas/leadership-vision/protecting-privacy.
Os desafios são grandes em inúmeros e diferentes segmentos de mercado perante as melhores práticas e condutas de segurança da informação. É de fato um trabalho de educar, educando, continuamente…
Outrolado_