Cibersegurança para Professores e Escolas (e Outras Instituições)

Este guia é direcionado a Professores, instituições de ensino e organizações ligadas à educação, como escolas, bibliotecas, centros de estudo, ou organizações não-governamentais (ONGs) focadas na educação.

Tem como objetivo servir de orientação para que os profissionais de instituições e organizações ligadas à educação aumentem a sua consciência sobre a cibersegurança, fornecendo também dicas para proteger as suas redes, dispositivos e contas online, assim como para que, munidos com esta informação, possam incluir estes conceitos na nobre prática do ensino, melhor preparando os educandos para o seu futuro que, como sabemos, será cada vez mais digital.

Não obstante a informação deste guia, algumas das dicas são de mais fácil aplicação e outras mais difícil, assim como a experiência de cada um é diferente, sendo por isso imprescindível que as escolas tenham um parceiro de confiança para as ajudar a fazer as melhores escolhas de ferramentas, e a implementar a tecnologia de forma adequada.

Este é um documento vivo, na medida em que ao longo do tempo vai sendo complementado, recebendo atualizações e novos detalhes. Por isso, convido-o(a) a regressar cá de tempos a tempos.

Consciencialização

Os Professores e as Escolas têm um papel muito importante na consciencialização de Alunos, Pais e Encarregados de Educação relativamente aos perigos da Internet e aos cuidados básicos que devem observar na utilização da mesma.

Assim, os Professores de forma geral, mas os de Tecnologias de Informação e Comunicação (TIC) em particular, devem ter estas bases para que possam falar aos seus alunos sobre privacidade online, a proteção dos seus dispositivos e das suas contas online, etc.

Além do ensino em aula, as Escolas podem organizar workshops presenciais ou online para os Pais e Encarregados de Educação, assim como enviar informação em panfletos ou emails.

Mas, antes de ensinar os alunos, os Professores e as Escolas devem proteger-se a si. E de que forma? Vamos ver de seguida…

Segurança da rede

As Escolas devem garantir que a sua rede está segura. Segura contra ameaças externas, mas também contra ameaças internas (intencionais ou não). Para isso, é essencial a utilização de uma firewall, assim como a segmentação da sua rede, ou seja, ter segmentos diferentes para Professores e Alunos, ou para dispositivos geridos e dispositivos não geridos pela Escola.

Com certeza que os Professores têm acesso a conteúdos mais sensíveis, aos quais os alunos não devem ter e, por isso, a segmentação vai ajudar a proteger esses acessos.

Além disso, há que ter cuidado com dispositivos pessoais de Professores e Alunos que se liguem à rede escolar. Estes dispositivos, que não têm gestão da Escola, não obdecem às políticas estabelecidas pela mesma e, por isso, não devem estar ligados à mesma rede dos dispositivos que são geridos.

Além disso, os Alunos são em muito maior quantidade, o que faz com que exista um maior risco nas redes onde se ligam.

As escolas devem ter também software que filtre o conteúdo que é visitado pelos alunos, garantindo assim que tudo ao que acedem é adaptado ao seu perfil e à sua idade.

A firewall deve ter o Intrusion Detection System (IDS) e o Intrusion Prevention System (IPS) ativo, garantindo assim que existe uma notificação, mas também um bloqueio de qualquer possível ataque.

A rede Wi-Fi deve utilizar WPA3, garantindo-se assim a utilização do protocolo mais seguro.

Segurança dos dispositivos

As escolas devem ter gestão dos seus dispositivos, ou seja, não me refiro apenas ao facto de os dispositivos serem seus e puderem neles fazer o que entenderem, mas sim de existir software que permita uma gestão adequada dos mesmos, por exemplo, garantindo que existe uma política de atualização do sistema operativo e das aplicações, assim como certos controlos como bloqueio de portas USB, entre outros.

Os dispositivos que não forem geridos pela Escola não devem ligar-se à mesma rede dos que são. Isto não quer dizer que não se possam ligar a alguma rede para terem conectividade, mas sim que não devem estar no mesmo segmento dos que são geridos.

Dependendo da dimensão da instituição ou organização, devem ser considerados softwares de proteção como antivírus, Endpoint Detection and Response (EDR), Extended Detection and Response (XDR) ou Managed Detection and Response (MDR).

Segurança das contas

As contas da escola devem ter passwords seguras, sendo que por passwords seguras entenda-se passwords longas, como passphrases, e não propriamente passwords complexas ao ponto de serem difíceis de decorar – clique no botão abaixo para ler o meu artigo sobre as melhores práticas na gestão de passwords.

Além disso, todas as contas devem ter Multifator de Autenticação (MFA) ativo, garantindo assim que se as credenciais forem descobertas por alguém, não são suficientes para que esse alguém entre na conta. Saiba mais sobre MFA clicando no botão abaixo.

Em relação aos acessos, devem ser implementadas políticas de least privilege para professores e alunos, ou seja, limitar os acessos a quem realmente necessita deles.

Conformidade com a lei

As Escolas devem também estar em conformidade com o Regulamento Geral de Proteção de Dados (RGPD), na União Europeia, ou com a Lei Geral de Proteção de Dados (LGPD), no Brasil, limitando o acesso a dados sensíveis e garantindo que esses dados estão armazenados e que são transmitidos de forma segura. Sempre que possível, devem utilizar técnicas de anonimização ou pseudonominização para reduzir o risco associado de acesso não autorizado aos dados, pois como sabemos, as escolas armazenam muitos dados pessoais de todos os Professores, Alunos e Pais/Encarregados de Educação.