La adopción de prácticas como autenticación multifactor, segmentación de red y gestión de identidades permite a la institución reducir riesgos sin afectar la operación educativa.
Puntos de interés
- Control de accesos y protección de identidades
- Gestion de identidades y accesos
- Gestión de riesgos
La Unidad Educativa Mariscal Sucre cubre los niveles de educación inicial, básica y bachillerato. El equipo de tecnología forma parte de la gestión administrativa y académica, integrando procesos financieros, talento humano, administración y el entorno educativo, con participación en la operación y en las decisiones de la institución.
Para Steven Mera, Director de Sistemas, la seguridad de la información es un eje transversal en la organización y un habilitador de la operación académica y administrativa. Se integra con los distintos equipos, especialmente en proyectos de transformación digital, mediante un trabajo coordinado con los ámbitos académico, administrativo y directivo, incorporando criterios de protección desde el diseño de las soluciones. “Esta forma de trabajo permite reducir riesgos desde etapas tempranas y evita la implementación reactiva de controles”.
Para la reducción del riesgo operativo, se han desarrollado iniciativas orientadas a mitigar escenarios de ransomware y accesos no autorizados, como la implementación de autenticación multifactor en sistemas críticos, el fortalecimiento de estrategias de respaldo y recuperación, la segmentación de red y programas de concienciación en seguridad.
Mera indica que la adopción de soluciones se basa en criterios de riesgo, impacto operativo y viabilidad de implementación. “Se evalúa la capacidad real de la solución para mitigar amenazas, su integración con la infraestructura existente, el costo-beneficio y la experiencia del usuario”.
Control de accesos y protección de identidades
Mera señala que en la institución se incorporan principios de Zero Trust, junto con el principio de mínimo privilegio, la defensa en profundidad y el control de accesos basado en roles. Estas prácticas se complementan con gestión de vulnerabilidades y monitoreo de eventos.
Desde el análisis de amenazas, se ha puesto especial énfasis en la protección de identidades y en la reducción de superficies de ataque.
En cuanto a la confianza digital, señala que se aborda como un proceso basado en la validación de identidades, la protección de sistemas y la definición de políticas que se traduce en el fortalecimiento de los mecanismos de autenticación, una mayor visibilidad sobre los accesos y controles orientados a un uso seguro de los recursos tecnológicos, con el objetivo de generar un entorno confiable tanto para usuarios internos como para la comunidad educativa.
Estas acciones se agrupan en tres frentes: autenticación y concienciación para los usuarios, control de accesos y monitoreo de sistemas, y definición de políticas junto con la gestión de riesgos.
Gestión de identidades y accesos
La institución utiliza una herramienta para la administración de identidades, conectada a un directorio central, con el objetivo de centralizar la autenticación y gestionar también los dispositivos que se conectan.
Mera explica que esto permite contar con un único punto de control para el usuario, mediante una sola credencial, mientras cada plataforma mantiene su gestión interna.
El modelo se complementa con mecanismos de validación de dispositivos, monitoreo, principio de mínimo privilegio y perfiles definidos. Se han establecido perfiles diferenciados para docentes, personal administrativo, coordinadores, directivos y estudiantes, a partir de los cuales se asignan los accesos correspondientes a los recursos institucionales.
En este aspecto, señala que en el entorno educativo, la diversidad de perfiles desde estudiantes hasta personal administrativo exige equilibrar la protección con la usabilidad, lo que demanda estrategias progresivas y sostenibles.
Gestión de riesgos
La organización implementó una herramienta para clasificar la información, lo que permitió realizar un levantamiento de riesgos y definir prioridades de control.
Uno de los principales focos de atención son los estudiantes, especialmente en entornos como laboratorios, donde existe mayor exposición a riesgos, tanto intencionales como no intencionales, que podrían afectar la infraestructura.
Con base en esta clasificación, se han definido políticas y un plan de gestión de riesgos orientado a la prevención de incidentes y a la protección de la información.
Para Steven Mera, a partir de su experiencia y de la evolución de las amenazas, uno de los principales aprendizajes es que el usuario sigue siendo el eslabón más crítico. No existe seguridad absoluta, sino gestión de riesgos, y las soluciones simples, bien implementadas, resultan más efectivas.
Considera que es preferible priorizar controles que realmente funcionen dentro del contexto operativo de la institución.