Seguridad, Privacidad y confidencialidad: ¿Cuál es la diferencia?

La seguridad es más Amplia que la confidencialidad

La confidencialidad es uno de los conceptos fundamentales de la ciberseguridad y es el requisito en el que la mayoría de los profesionales de seguridad pasan la mayor parte de su tiempo pensando.

Sin embargo, la confidencialidad es solo uno de los tres conceptos básicos que juntos conforman la base del trabajo de ciberseguridad. Los dos principios restantes, integridad y disponibilidad, completan la conocida “tríada de la CIA” de ciberseguridad.”

La integridad protege la información de modificaciones no autorizadas. El ejemplo más común en un entorno educativo involucra las calificaciones de los estudiantes.

Si un estudiante puede obtener acceso no autorizado a un sistema de administración de aprendizaje y modificar sus propias calificaciones, eso constituye una violación de la integridad.

Los controles de acceso son el principal mecanismo utilizado para hacer cumplir los requisitos de integridad.

La disponibilidad garantiza que la información esté disponible para uso de personas autorizadas en el momento en que la necesiten. Las violaciones de la disponibilidad pueden ocurrir debido a ataques intencionales, como el ataque de denegación de servicio que paralizó el sistema de gestión del aprendizaje en una universidad en 2015.

También pueden surgir de fallas técnicas, como la interrupción de la red que apagó la tecnología en otra institución durante una semana en 2018. Proteger la disponibilidad suele ser el trabajo de los tecnólogos, que diseñan sistemas tolerantes a fallos que pueden soportar fallos de componentes e implementar copias de seguridad para restaurar rápidamente el servicio en caso de una interrupción.

MÁS SOBRE EDTECH: ¿Debería preocuparse la educación superior por la Ley de Privacidad de Colorado?

La privacidad determina la autorización

La privacidad está estrechamente relacionada con la seguridad y la confidencialidad, pero aborda los datos desde una perspectiva diferente.

Los controles de confidencialidad protegen contra el uso no autorizado de la información que ya está en manos de una institución, mientras que la privacidad protege los derechos de una persona a controlar la información que la institución recopila, mantiene y comparte con otros.

Una forma de entender la relación entre privacidad y confidencialidad es que los requisitos de privacidad dictan los tipos de autorización que se otorgan a la información, y los controles de confidencialidad garantizan que las personas y los sistemas cumplan con esas obligaciones de privacidad.

Los requisitos de privacidad suelen presentarse de dos formas. En primer lugar, muchas instituciones adoptan políticas de privacidad basadas en su propio sentido ético del manejo adecuado de la información. En segundo lugar, una variedad de leyes y reglamentos imponen requisitos de privacidad a colegios y universidades.

En los Estados Unidos, la Ley de Derechos Educativos y Privacidad de la Familia (FERPA) otorga a los estudiantes (o a los padres de estudiantes menores de edad) el derecho a acceder a la información contenida en sus registros educativos, solicitar la corrección de cualquier información que consideren inexacta y controlar el intercambio de sus registros fuera de la institución.

EXPLORE: Vea cómo las universidades protegen la privacidad y la seguridad.

Modernización de la capacitación de Profesores y Personal

En la mayoría de las instituciones, el personal de TI ya entiende la importancia de implementar controles sólidos de privacidad y seguridad.

El mayor desafío suele ser comunicar la importancia y la naturaleza de los requisitos de confidencialidad y privacidad a los profesores y administradores que manejan la información confidencial de los estudiantes en el día a día. No es inusual que las instituciones requieran capacitación en privacidad cuando los profesores y el personal obtienen acceso por primera vez a los registros de los estudiantes.

Esto generalmente implica una cartilla sobre los requisitos de FERPA y preguntas basadas en escenarios que ayudan a contextualizar esta información.

Sin embargo, estos programas de capacitación a menudo se quedan cortos en dos áreas importantes. En primer lugar, a menudo no incluyen escenarios modernos que reflejen la naturaleza digital de la infraestructura de educación superior actual.

Los administradores de estos programas pueden mejorarlos revisándolos cuidadosamente y actualizando la capacitación para reflejar las herramientas y tecnologías utilizadas en su entorno informático moderno. En segundo lugar, con demasiada frecuencia, estos programas de capacitación son esfuerzos únicos.

Más eficaz sería la capacitación periódica de actualización para recordar a los profesores y al personal sus obligaciones y actualizar su comprensión del entorno de privacidad y confidencialidad en el campus.

Tomarse el tiempo para modernizar la capacitación ayudará en gran medida a proteger la confidencialidad y privacidad de la información de los estudiantes. Después de todo, proteger los registros de los estudiantes es lo mejor para todos.