Icono ciberseguridad

ELEVANDO A CIBERSEGURANÇA NO ENSINO SUPERIOR

Num mundo cada vez mais interconectado e dependente da tecnologia digital, a cibersegurança tornou-se uma preocupação central para todas as instituições, incluindo as universidades.. 



Neste contexto, o projeto do Índice de Maturidade em Cibersegurança das Universidades e Instituições de Ensino Superior (IES) Ibero-americanas (IMC 2024) surge como uma iniciativa crucial para abordar esta preocupação. Este índice não apenas busca avaliar o estado atual da cibersegurança nas universidades e IES da região, mas também estabelecer um quadro de referência para melhorar e fortalecer suas capacidades neste campo essencial. Ao oferecer uma visão detalhada e específica do nível de maturidade em cibersegurança dessas instituições e possibilitar a comparação com entidades de natureza semelhante, o projeto aspira a ser uma ferramenta valiosa para a tomada de decisões estratégicas e a alocação de recursos na luta contra as ameaças cibernéticas.

 

ACCESO À PESQUISA

De 1º de março a 30 de abril

MOTIVAÇÃO E OBJETIVOS

As universidades e IES (Instituições de Ensino Superior) são depositárias de uma grande quantidade de informações sensíveis, desde dados pessoais de estudantes e professores até pesquisas de ponta e propriedade intelectual. Proteger essas informações não é apenas uma questão de segurança da informação, mas também de responsabilidade social e conformidade regulatória.

Embora existam e se apliquem diversos frameworks de avaliação da maturidade em cibersegurança em entidades de diferentes tipos e em diferentes regiões, este estudo visa preencher uma lacuna a nível da região Ibero-americana e no campo do ensino superior, com o objetivo de contribuir para uma melhoria na cibersegurança nessas instituições.

RESULTADOS

Como resultado da aplicação do modelo IMC nas universidades que compõem a MetaRed, serão produzidos 3 tipos de relatórios:

  • Um relatório global que compila todas as informações coletadas e descreve a situação geral das universidades ibero-americanas em relação à proteção de suas informações e recursos tecnológicos.

  • Um resumo executivo por país, que será disponibilizado para as universidades que fizeram parte e que pertencem a essa jurisdição, para que possam conhecer o estado da cibersegurança nesse âmbito.

  • Um painel de controle PRIVADO para cada instituição participante que apresentará a situação específica dessa IES e permitirá uma comparação com a média das universidades participantes a nível nacional e ibero-americano.

BENEFÍCIOS PARA AS INSTITUIÇÕES

Espera-se que, como resultado deste estudo, as universidades participantes sejam capazes de:

  • Conhecer o estado da cibersegurança nas IES da região ibero-americana que integram o MetaRed.

  • Obter uma visão geral que lhes permita compararem-se com outras universidades do seu país e da região.

  • Tomar medidas informadas para melhorar o estado da cibersegurança nas suas respectivas áreas.

Do ponto de vista do Metared, fornecerá informações úteis para melhorar as acções que podem ser tomadas para ajudar as IES da rede a melhorar o seu estado geral de cibersegurança.

MODELO IMC

El modelo do Índice de Maturidade em Cibersegurança baseia-se nos princípios e domínios do amplamente reconhecido Framework de Cibersegurança do Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos. A escolha deste framework deve-se ao seu enfoque abrangente e flexível, que permite uma adaptação eficaz às necessidades e realidades de qualquer tipo de entidade, incluindo universidades e IES ibero-americanas.

Além disso, são integrados controles e práticas de outros padrões e normas internacionais, como ISO/IEC 27001 e 27002 e o Esquema Nacional de Segurança da Espanha, para garantir uma cobertura completa dos aspectos relevantes em matéria de segurança da informação.

Este enfoque híbrido e personalizado justifica a escolha do modelo, pois combina aspectos relevantes de padrões globais de reconhecimento internacional, adaptando-os a um contexto específico e fornecendo um quadro robusto e eficaz para a avaliação e melhoria da maturidade em cibersegurança.

 

DOMÍNIOS

GOVERNAR (GB)
DETETAR (DE)
IDENTIFICAR (ID)
RESPONDER (RS) E
RECUPERAR (RC)
PROTEGER (PR)
FORMAÇÃO E
TALENTO (FT)

GOVERNAR (GB) –  Estabelecer e monitorar a gestão da cibersegurança da organização. Isso é fundamental para incorporar a cibersegurança ao funcionamento de uma organização. Com este objetivo, relacionam-se: definir a estratégia de cibersegurança, definir/manter e comunicar políticas, elaborar processos e procedimentos, definir funções e responsabilidades em matéria de cibersegurança e realizar as tarefas relacionadas à gestão da cibersegurança. Isso está vinculado a compreender o contexto, estabelecer a estratégia, gerenciar o risco na cadeia de fornecimento, definir funções, responsabilidades e autoridades, elaborar políticas, implementar processos e procedimentos e supervisionar a estratégia.



IDENTIFICAR (ID) –  Determinar o risco atual de cibersegurança para a organização. Para isso, é necessário conhecer seus ativos (por exemplo, dados, hardware, software, sistemas, instalações, serviços, pessoas) e os riscos de cibersegurança relacionados a eles. Tudo isso para dedicar esforços à identificação de melhorias necessárias em relação às políticas, processos, procedimentos e práticas da organização que apoiam a gestão da cibersegurança. A identificação dessas políticas, processos, procedimentos e práticas também está incluída nesta etapa.

 

PROTEGER (PR) – Implementar controles para mitigar os riscos de cibersegurança existentes, com o objetivo de proteger os ativos para prevenir ou reduzir a probabilidade e o impacto de eventos adversos de cibersegurança. Nesta etapa estão incluídos a conscientização e o treinamento, a segurança de dados, a gestão de identidades, a segurança da plataforma e a resiliência da infraestrutura tecnológica.


DETETAR (DE) – Buscar e analisar possíveis ataques e compromissos de cibersegurança. Permite a descoberta e análise oportunas de anomalias, indicadores de comprometimento e outros eventos de cibersegurança potencialmente adversos que podem indicar a ocorrência de ataques ou incidentes de cibersegurança. Nesta etapa está incluído o monitoramento de rede por meio de fontes de informação internas ou externas, a configuração de ferramentas para esse fim e a análise de eventos.


RESPONDER (RS) – Agir diante de um incidente de cibersegurança detectado. Abrange a gestão, análise, mitigação e comunicação de incidentes. Nesta etapa estão incluídos os processos relacionados à gestão de incidentes de cibersegurança propriamente ditos.

 

RECUPERAR (RC) –Restaurar ativos e operações afetados por um incidente. Ações em prol da restauração oportuna das operações normais para reduzir o impacto de incidentes de cibersegurança. Isso inclui a elaboração de planos de contingência e de recuperação e os procedimentos associados.

 

FORMAÇÃO E TALENTO (FT) –Além disso, é considerado como parte do levantamento um domínio complementar referente à formação em cibersegurança e à captação e retenção de talentos na área respectiva da instituição. Este domínio é incluído em razão de se tratar de organizações dedicadas ao ensino universitário. No entanto, esclarece-se que ele não será incluído na determinação do nível de maturidade da instituição.

 

NÍVEIS DE MATURIDADE

L0

No se realizan prácticas.

L1

Se realizan prácticas iniciales, pero pueden ser ad hoc/informales.

L2

Características de la gestión
Las prácticas están documentadas.

Características de aproximación
Las prácticas son más completas o avanzadas que en L1.

L3

Características de la gestión
Las actividades están guiadas por políticas (u otras directivas organizacionales).
Se asignan responsabilidades, la rendición de cuentas y la autoridad para realizar las prácticas.
El personal que realiza las prácticas tiene habilidades y conocimientos adecuados Se evalúa y realiza un seguimiento de la eficiencia de las actividades.

Características de aproximación
Las prácticas son más completas o avanzadas que en L2.

CONTACTO

Para mais informações sobre o projeto, contactar: ciberseguridad@metared.org