Elenco di controllo per l'apprendimento a distanza in 12 fasi per aiutare il distretto IT a proteggere i dati degli studenti e del personale
I distretti scolastici K-12 in tutto il paese stanno chiudendo per aumentare il "distanziamento sociale" e aiutare a rallentare l'epidemia di COVID-19—la malattia causata dall'esposizione al nuovo coronavirus. Molti lo sono considerando o preparando per il passaggio alla didattica a distanza per il resto dell'anno.
Le tecnologie incentrate sulla gestione dell'apprendimento, l'insegnamento online, la collaborazione e le videoconferenze aiuteranno i distretti a fornire agli studenti e al personale gli strumenti necessari per andare avanti con l'apprendimento a distanza. Questo cambiamento richiede molto tempo e molto impegno per i team IT distrettuali per verificare, implementare e supportare nelle prossime settimane.
Ma i team IT K-12 devono anche pianificare gli adeguamenti sicurezza e sicurezza informatica questo spostamento richiederà.
Studenti e personale accederanno al loro Google e / o Microsoft account da luoghi al di fuori delle reti della scuola. Utilizzeranno anche i nuovi SaaS EdTech, spesso abilitati per OAuth, per una varietà di scopi di apprendimento e gestione degli studenti. Entrambe queste tendenze espongono i sistemi informativi distrettuali la sicurezza dei dati e rischi per la privacy dei dati degli studenti.
Elenco di controllo per la sicurezza dei dati e la sicurezza degli studenti di G Suite e Office 365 per l'apprendimento remoto
Che cosa è l' Sicurezza di G Suite e Office 365 ed sicurezza degli studenti? È la capacità del distretto di avere visibilità e controllo sull'attività che si svolge nelle applicazioni cloud collaborative come servizio (SaaS), come Google G Suite ed Microsoft Office 365— comunemente usato oggi dai distretti.
Se o quando il tuo distretto passa all'apprendimento remoto, le tradizionali misure di sicurezza perimetrale, come firewall ed filtri di contenuto, diventano meno efficaci. Ciò è particolarmente vero se il tuo distretto non dispone di capacità del dispositivo 1:1. Gli studenti accederanno al proprio account scolastico da un dispositivo non gestito senza tutte le misure di sicurezza previste da un dispositivo distrettuale.
[GRATUITO] K-12 ELENCO DI CONTROLLO PER LA SICUREZZA DELL'APPRENDIMENTO A DISTANZA: SCARICA E SICURA I DATI DEL DISTRETTO DAGLI ATTACCHI CYBER >>
Per aiutare i team IT dell'istruzione primaria e secondaria a passare in modo sicuro all'apprendimento e al lavoro a distanza, abbiamo sviluppato questo elenco di controllo dell'apprendimento a distanza in 12 passaggi incentrato specificamente sulla sicurezza informatica e sulle protezioni.
1. Documentare le politiche di sicurezza del lavoro a distanza
È probabile che il personale e gli studenti del tuo distretto non siano abituati a lavorare in un ambiente remoto e potrebbero non rendersi conto che gli strumenti di sicurezza piacciono firewall ed filtri dei contenuti web sono meno efficaci al di fuori della rete del tuo distretto. Se il tuo distretto non lo ha già fatto, ora è il momento di creare e documentare le politiche di sicurezza del lavoro a distanza.
Inizia sviluppando un documento che delinea un elenco di applicazioni cloud approvate da utilizzare per scopi di apprendimento remoto. Se il tuo distretto non ha un sistema di gestione dell'apprendimento (LMS) o altri strumenti di apprendimento a distanza già disponibili, prendi in considerazione la possibilità di esaminare strumenti come BrainPop, Discovery Education, Agilix, Edmentum e altri. Altre applicazioni cloud che il team IT del tuo distretto potrebbe desiderare includono Zoom, Google Hangouts, Cisco Webex o un altro popolare strumento di videoconferenza che il tuo distretto è a proprio agio nell'utilizzo.
Una volta che il tuo team ha deciso quali app cloud sono approvate, assicurati di includere l'elenco nel documento sulla politica di sicurezza del lavoro a distanza del tuo distretto. Potresti anche considerare di includere un elenco di app che non dovrebbero essere scaricate e installate.
Se il tuo distretto non è 1:1, sarà più difficile da applicare perché gli studenti accederanno ai loro account scolastici da un dispositivo non gestito. Tuttavia, avere una guida in atto si rivelerà utile per aiutare gli studenti e il personale a proteggere i propri dispositivi e dati sensibili quando si accede per utilizzare queste app da casa.
2. Crea formazione e test sulla sicurezza informatica dei dipendenti
Il semplice errore umano è il motivo principale per cui gli incidenti di sicurezza informatica si verificano in qualsiasi organizzazione. Istruisci il personale, gli studenti e i genitori del tuo distretto sulle migliori pratiche di sicurezza informatica comuni e su cosa cercare in termini di possibili segnali di pericolo.
Crea linee guida che incoraggino studenti, personale e genitori a guardare da chi provengono le email. Il dominio di posta elettronica corrisponde al tuo distretto? Se sono presenti collegamenti all'interno di un'e-mail, l'URL di reindirizzamento corrisponde alla destinazione rivendicata dall'e-mail?
Lo stesso vale per i file allegati. Provengono da una fonte attendibile e i documenti riguardano lezioni o compiti con cui gli studenti e il personale stanno lavorando?
Potresti anche prendere in considerazione la possibilità di testare la capacità dei tuoi utenti di riconoscere un'e-mail sospetta.
Uno strumento comune per inviare test e-mail di phishing per vedere quanto sono preparati e istruiti gli stakeholder distrettuali in merito alla sicurezza informatica KnowBe4. Con questo strumento, il tuo team IT può condurre test di phishing, test di sicurezza delle password, test di esposizione e-mail e di dominio e altro ancora. In questo modo, la tua squadra ha un quadro migliore di dove si trovano le tue debolezze e di cosa hai bisogno per educare ulteriormente durante questo periodo frenetico.
3. Monitorare gli accessi all'account degli studenti e del personale
Studenti e personale accederanno ai loro account scolastici dall'esterno del perimetro di sicurezza del tuo distretto e da un dispositivo non gestito se il tuo distretto non è 1:1.
Il tuo team IT deve monitorare gli accessi all'account e cercare comportamenti anomali che potrebbero indicare un acquisizione dell'account attacco. Il comportamento anomalo potrebbe includere più accessi non riusciti, controlli di autenticazione a più fattori falliti e accessi riusciti da una posizione non approvata come un altro paese.
[GRATUITO] K-12 ELENCO DI CONTROLLO PER LA SICUREZZA DELL'APPRENDIMENTO A DISTANZA: SCARICA E SICURA I DATI DEL DISTRETTO DAGLI ATTACCHI CYBER >>
4. Verifica la presenza di app SaaS di terze parti non autorizzate
Ora che gli studenti utilizzeranno il proprio dispositivo scolastico, o un dispositivo personale, al di fuori della scuola, monitoraggio per app rischiose di terze parti è particolarmente importante. Questo è perché app dannose e le app con una sicurezza dell'infrastruttura insufficiente rappresentano rischi di vasta portata per i sistemi informativi del tuo distretto.
Inoltre, la marea di app di insegnamento e apprendimento "gratuite" sul mercato crea aperture per seri Rischi per la sicurezza OAuth. Insegnanti e studenti allo stesso modo possono trarre vantaggio da questi strumenti con le migliori intenzioni, ma EdTech che non è stato adeguatamente controllato può portare a una serie di rischi per la sicurezza informatica.
Il tuo team IT dovrebbe monitorare a quali app è concesso l'accesso OAuth agli account distrettuali Google e/o Microsoft, verificare quali autorizzazioni sono concesse ed essere in grado di rimuovere le app che non soddisfano la sicurezza della tua infrastruttura, protezione dei dati e/o privacy dei dati degli studenti politiche.
5. Monitorare la condivisione e l'accesso ai file impropri
Privacy dei dati degli studenti le leggi si applicano ancora quando il tuo distretto passa all'apprendimento a distanza e tenere traccia dei dati diventa più difficile quando studenti e personale accedono a tutto da remoto.
Per evitare che i dati finanziari, del personale e/o degli studenti lascino l'ambiente G Suite o Office 365 del tuo distretto, cerca unità, cartelle e file che hanno consentito l'accesso ad account esterni per la visualizzazione e/o la modifica. Se vengono trovate condivisioni esterne, assicurati di interromperle e imposta i criteri per correggere automaticamente quando viene concessa una futura condivisione esterna.
6. Proteggi le informazioni di identificazione personale (PII) e crea politiche di prevenzione della perdita di dati
Prevenzione della perdita dei dati è una strategia per garantire che le informazioni sensibili degli studenti e del personale siano protette e non lascino inavvertitamente la rete. Fai iniziare il tuo team IT controllando e-mail e file per PII, come numeri di previdenza sociale, W2 e informazioni sul conto bancario. Quindi, elimina, metti in quarantena o revoca l'accesso a tutte le informazioni che vengono condivise in modo improprio.
Una volta completato, imposta le politiche automatiche per correggere tutte le PII che lasciano la rete del tuo distretto per garantire che i requisiti FERPA siano soddisfatti.
7. Creare il monitoraggio e le politiche sulla sicurezza degli studenti
Solo perché gli studenti del tuo distretto sono distanziati l'uno dall'altro a causa della chiusura delle scuole e dell'autoisolamento, non significa che non stiano comunicando tramite gli account Google o Microsoft della scuola.
Gli studenti potrebbero utilizzare i loro account scolastici per inviare e-mail o utilizzare Google Documenti come bacheca di chat. È importante che il tuo team IT continui a monitorare i segnali di cyberbullismo, autolesionismo, contenuti inappropriati, abusi e altre forme di sicurezza degli studenti minacce. Sfortunatamente, potrebbe essere più facile che questi problemi non vengano rilevati durante questo periodo.
8. Abilita la protezione anti-phishing e anti-malware
Con studenti e personale dispersi, i rischi per la sicurezza informatica nel tuo distretto aumenteranno. Il tuo team IT dovrà assicurarsi di averlo fatto protezione anti-phishing e anti-malware abilitato.
Gli studenti e il personale accederanno dalle loro reti domestiche e forse da un dispositivo personale, il che significa che i firewall scolastici, i filtri dei contenuti Web e la sicurezza degli endpoint potrebbero non essere efficaci per il momento.
L'opzione migliore per il tuo team al momento è iniziare con la configurazione delle funzionalità anti-phishing e anti-malware di G Suite e Office 365 del tuo distretto e aggiungere ulteriori misure di sicurezza per garantire che le applicazioni cloud distrettuali siano protette, indipendentemente dal dispositivo o dalla posizione.
9. Monitorare l'attività di phishing laterale
Nel caso in cui uno studente o un membro del personale del tuo distretto cada vittima di uno schema di phishing, è importante che il tuo team IT controlli l'attività in corso entro app cloud distrettuali.
Ciò significa non solo monitorare il traffico e-mail proveniente da fonti esterne, ma anche monitorare e analizzare le e-mail inviate da account interni ad altri. Ciò è fondamentale per rivelare segni di an acquisizione dell'account ed phishing laterale attacco.
[GRATUITO] K-12 ELENCO DI CONTROLLO PER LA SICUREZZA DELL'APPRENDIMENTO A DISTANZA: SCARICA E SICURA I DATI DEL DISTRETTO DAGLI ATTACCHI CYBER >>
Ricevi avvisi e-mail di phishing da un indirizzo e-mail interno? Uno studente o un membro del personale invia un numero insolito di e-mail ad altri account scolastici con cui di solito non interagiscono? Un account sta improvvisamente condividendo e/o scaricando più file del solito? Questi sono un paio di esempi di tendenze che il tuo team dovrà cercare più spesso in un ambiente di apprendimento a distanza.
10. Rendi obbligatoria l'autenticazione a più fattori
Autenticazione a più fattori richiede che gli studenti e il personale del tuo distretto facciano un secondo passo, dopo aver inserito la password corretta, per dimostrare di aver autorizzato l'accesso. Studenti e personale accederanno da dispositivi non riconosciuti, il che rende questo strumento di sicurezza fondamentale per il tuo distretto da abilitare durante questo periodo.
È anche incredibilmente veloce e facile da configurare tramite il portale di amministrazione di Google e/o Microsoft.
L'autenticazione a più fattori in genere include l'inserimento di un codice che viene inviato al telefono tramite SMS. Può anche includere telefonate, risposte a domande di sicurezza, richieste di app mobili e altro ancora.
11. Reimposta le password su tutti gli account e imposta un criterio di sicurezza della password
Imposta criteri e standard per le password delle app cloud del tuo distretto ora che studenti e personale accedono da remoto.
Come minimo, abilita la funzione "richiedi una password complessa" del tuo sistema. Puoi anche impostare la lunghezza minima e massima della password, la scadenza della password e altro.
Se il tuo distretto ha già delle politiche in atto, ora è un buon momento per controllare le password correnti per vedere se ci sono password non conformi e forzare le modifiche alle password tramite la tua console di amministrazione.
12. Esegui un controllo sulla sicurezza dei dati e sulla sicurezza degli studenti di G Suite e Office 365
Con questa lista di controllo, ora è il momento opportuno per eseguire a verifica della sicurezza del cloud dell'ambiente G Suite e/o Office 365 del tuo distretto. Un controllo verificherà eventuali errori di configurazione, rischi di condivisione, file contenenti informazioni riservate, app SaaS di terze parti rischiose e altro ancora.
È anche importante eseguire un audit su base periodica con maggiore frequenza ora che i distretti stanno chiudendo o stanno passando all'apprendimento a distanza. I rapporti settimanali possono essere automatizzati e fornirti informazioni dettagliate sullo stato di sicurezza delle tue applicazioni cloud e sull'attività che si svolge tra studenti, personale e ambienti esterni.
Se il tuo distretto utilizza applicazioni SaaS come G Suite ed Ufficio 365, la protezione dei dati e degli account in queste app è un livello critico nel tuo infrastruttura di sicurezza informatica.
Senza di essa, è impossibile monitorare e controllare il comportamento che si verifica all'interno. Questo punto cieco crea vulnerabilità critiche nelle informazioni sensibili degli stakeholder distrettuali e ora è un punto cieco molto più grande date le circostanze attuali.
Il post K-12 Elenco di controllo per l'apprendimento remoto: protezione dei dati in un ambiente di apprendimento remoto apparve prima Metodi gestiti.
*** Questo è un blog sindacato di Security Bloggers Network di Metodi gestiti scritto da Jake Kasowski. Leggi il post originale su: https://managedmethods.com/blog/k-12-remote-learning-checklist/
