ELEVANDO A CIBERSEGURANÇA NO ENSINO SUPERIOR
Num mundo cada vez mais interconectado e dependente da tecnologia digital, a cibersegurança tornou-se uma preocupação central para todas as instituições, incluindo as universidades..
Neste contexto, o projeto do Índice de Maturidade em Cibersegurança das Universidades e Instituições de Ensino Superior (IES) Ibero-americanas (IMC 2024) surge como uma iniciativa crucial para abordar esta preocupação. Este índice não apenas busca avaliar o estado atual da cibersegurança nas universidades e IES da região, mas também estabelecer um quadro de referência para melhorar e fortalecer suas capacidades neste campo essencial. Ao oferecer uma visão detalhada e específica do nível de maturidade em cibersegurança dessas instituições e possibilitar a comparação com entidades de natureza semelhante, o projeto aspira a ser uma ferramenta valiosa para a tomada de decisões estratégicas e a alocação de recursos na luta contra as ameaças cibernéticas.
De 1º de março a 30 de abril
MOTIVAÇÃO E OBJETIVOS
As universidades e IES (Instituições de Ensino Superior) são depositárias de uma grande quantidade de informações sensíveis, desde dados pessoais de estudantes e professores até pesquisas de ponta e propriedade intelectual. Proteger essas informações não é apenas uma questão de segurança da informação, mas também de responsabilidade social e conformidade regulatória.
Embora existam e se apliquem diversos frameworks de avaliação da maturidade em cibersegurança em entidades de diferentes tipos e em diferentes regiões, este estudo visa preencher uma lacuna a nível da região Ibero-americana e no campo do ensino superior, com o objetivo de contribuir para uma melhoria na cibersegurança nessas instituições.
RESULTADOS
Como resultado da aplicação do modelo IMC nas universidades que compõem a MetaRed, serão produzidos 3 tipos de relatórios:
Um relatório global que compila todas as informações coletadas e descreve a situação geral das universidades ibero-americanas em relação à proteção de suas informações e recursos tecnológicos.
Um resumo executivo por país, que será disponibilizado para as universidades que fizeram parte e que pertencem a essa jurisdição, para que possam conhecer o estado da cibersegurança nesse âmbito.
Um painel de controle PRIVADO para cada instituição participante que apresentará a situação específica dessa IES e permitirá uma comparação com a média das universidades participantes a nível nacional e ibero-americano.
BENEFÍCIOS PARA AS INSTITUIÇÕES
Espera-se que, como resultado deste estudo, as universidades participantes sejam capazes de:
Conhecer o estado da cibersegurança nas IES da região ibero-americana que integram o MetaRed.
Obter uma visão geral que lhes permita compararem-se com outras universidades do seu país e da região.
Tomar medidas informadas para melhorar o estado da cibersegurança nas suas respectivas áreas.
Do ponto de vista do Metared, fornecerá informações úteis para melhorar as acções que podem ser tomadas para ajudar as IES da rede a melhorar o seu estado geral de cibersegurança.
MODELO IMC
El modelo do Índice de Maturidade em Cibersegurança baseia-se nos princípios e domínios do amplamente reconhecido Framework de Cibersegurança do Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos. A escolha deste framework deve-se ao seu enfoque abrangente e flexível, que permite uma adaptação eficaz às necessidades e realidades de qualquer tipo de entidade, incluindo universidades e IES ibero-americanas.
Além disso, são integrados controles e práticas de outros padrões e normas internacionais, como ISO/IEC 27001 e 27002 e o Esquema Nacional de Segurança da Espanha, para garantir uma cobertura completa dos aspectos relevantes em matéria de segurança da informação.
Este enfoque híbrido e personalizado justifica a escolha do modelo, pois combina aspectos relevantes de padrões globais de reconhecimento internacional, adaptando-os a um contexto específico e fornecendo um quadro robusto e eficaz para a avaliação e melhoria da maturidade em cibersegurança.
DOMÍNIOS
GOVERNAR (GB) |
DETETAR (DE) |
IDENTIFICAR (ID) |
RESPONDER (RS) E RECUPERAR (RC) |
PROTEGER (PR) |
FORMAÇÃO E TALENTO (FT) |
GOVERNAR (GB) – Estabelecer e monitorar a gestão da cibersegurança da organização. Isso é fundamental para incorporar a cibersegurança ao funcionamento de uma organização. Com este objetivo, relacionam-se: definir a estratégia de cibersegurança, definir/manter e comunicar políticas, elaborar processos e procedimentos, definir funções e responsabilidades em matéria de cibersegurança e realizar as tarefas relacionadas à gestão da cibersegurança. Isso está vinculado a compreender o contexto, estabelecer a estratégia, gerenciar o risco na cadeia de fornecimento, definir funções, responsabilidades e autoridades, elaborar políticas, implementar processos e procedimentos e supervisionar a estratégia.
IDENTIFICAR (ID) – Determinar o risco atual de cibersegurança para a organização. Para isso, é necessário conhecer seus ativos (por exemplo, dados, hardware, software, sistemas, instalações, serviços, pessoas) e os riscos de cibersegurança relacionados a eles. Tudo isso para dedicar esforços à identificação de melhorias necessárias em relação às políticas, processos, procedimentos e práticas da organização que apoiam a gestão da cibersegurança. A identificação dessas políticas, processos, procedimentos e práticas também está incluída nesta etapa.
PROTEGER (PR) – Implementar controles para mitigar os riscos de cibersegurança existentes, com o objetivo de proteger os ativos para prevenir ou reduzir a probabilidade e o impacto de eventos adversos de cibersegurança. Nesta etapa estão incluídos a conscientização e o treinamento, a segurança de dados, a gestão de identidades, a segurança da plataforma e a resiliência da infraestrutura tecnológica.
DETETAR (DE) – Buscar e analisar possíveis ataques e compromissos de cibersegurança. Permite a descoberta e análise oportunas de anomalias, indicadores de comprometimento e outros eventos de cibersegurança potencialmente adversos que podem indicar a ocorrência de ataques ou incidentes de cibersegurança. Nesta etapa está incluído o monitoramento de rede por meio de fontes de informação internas ou externas, a configuração de ferramentas para esse fim e a análise de eventos.
RESPONDER (RS) – Agir diante de um incidente de cibersegurança detectado. Abrange a gestão, análise, mitigação e comunicação de incidentes. Nesta etapa estão incluídos os processos relacionados à gestão de incidentes de cibersegurança propriamente ditos.
RECUPERAR (RC) –Restaurar ativos e operações afetados por um incidente. Ações em prol da restauração oportuna das operações normais para reduzir o impacto de incidentes de cibersegurança. Isso inclui a elaboração de planos de contingência e de recuperação e os procedimentos associados.
FORMAÇÃO E TALENTO (FT) –Além disso, é considerado como parte do levantamento um domínio complementar referente à formação em cibersegurança e à captação e retenção de talentos na área respectiva da instituição. Este domínio é incluído em razão de se tratar de organizações dedicadas ao ensino universitário. No entanto, esclarece-se que ele não será incluído na determinação do nível de maturidade da instituição.
NÍVEIS DE MATURIDADE
Cada controle definido nos diferentes domínios será correlacionado dentro dos 4 níveis de maturidade definidos: L0 - L3. A tabela a seguir mostra as características incluídas em cada um dos quatro níveis estabelecidos:
L0 | No se realizan prácticas. |
L1 | Se realizan prácticas iniciales, pero pueden ser ad hoc/informales. |
L2 | Características de la gestión Características de aproximación |
L3 | Características de la gestión Características de aproximación |
CONTACTO
Para mais informações sobre o projeto, contactar: ciberseguridad@metared.org