Icono ciberseguridad

ELEVANDO A CIBERSEGURANÇA NO ENSINO SUPERIOR

Num mundo cada vez mais interconectado e dependente da tecnologia digital, a cibersegurança tornou-se uma preocupação central para todas as instituições, incluindo as universidades.. 



Neste contexto, o projeto do Índice de Maturidade em Cibersegurança das Universidades e Instituições de Ensino Superior (IES) Ibero-americanas (IMC 2024) surge como uma iniciativa crucial para abordar esta preocupação. Este índice não apenas busca avaliar o estado atual da cibersegurança nas universidades e IES da região, mas também estabelecer um quadro de referência para melhorar e fortalecer suas capacidades neste campo essencial. Ao oferecer uma visão detalhada e específica do nível de maturidade em cibersegurança dessas instituições e possibilitar a comparação com entidades de natureza semelhante, o projeto aspira a ser uma ferramenta valiosa para a tomada de decisões estratégicas e a alocação de recursos na luta contra as ameaças cibernéticas.

 

ACCESO À PESQUISA

De 1º de março a 30 de abril

MOTIVAÇÃO E OBJETIVOS

As universidades e IES (Instituições de Ensino Superior) são depositárias de uma grande quantidade de informações sensíveis, desde dados pessoais de estudantes e professores até pesquisas de ponta e propriedade intelectual. Proteger essas informações não é apenas uma questão de segurança da informação, mas também de responsabilidade social e conformidade regulatória.

Embora existam e se apliquem diversos frameworks de avaliação da maturidade em cibersegurança em entidades de diferentes tipos e em diferentes regiões, este estudo visa preencher uma lacuna a nível da região Ibero-americana e no campo do ensino superior, com o objetivo de contribuir para uma melhoria na cibersegurança nessas instituições.

RESULTADOS

Como resultado da aplicação do modelo IMC nas universidades que compõem a MetaRed, serão produzidos 3 tipos de relatórios:

  • Um relatório global que compila todas as informações coletadas e descreve a situação geral das universidades ibero-americanas em relação à proteção de suas informações e recursos tecnológicos.

  • Um resumo executivo por país, que será disponibilizado para as universidades que fizeram parte e que pertencem a essa jurisdição, para que possam conhecer o estado da cibersegurança nesse âmbito.

  • Um painel de controle PRIVADO para cada instituição participante que apresentará a situação específica dessa IES e permitirá uma comparação com a média das universidades participantes a nível nacional e ibero-americano.

BENEFÍCIOS PARA AS INSTITUIÇÕES

Espera-se que, como resultado deste estudo, as universidades participantes sejam capazes de:

  • Conhecer o estado da cibersegurança nas IES da região ibero-americana que integram o MetaRed.

  • Obter uma visão geral que lhes permita compararem-se com outras universidades do seu país e da região.

  • Tomar medidas informadas para melhorar o estado da cibersegurança nas suas respectivas áreas.

Do ponto de vista do Metared, fornecerá informações úteis para melhorar as acções que podem ser tomadas para ajudar as IES da rede a melhorar o seu estado geral de cibersegurança.

MODELO IMC

El modelo do Índice de Maturidade em Cibersegurança baseia-se nos princípios e domínios do amplamente reconhecido Framework de Cibersegurança do Instituto Nacional de Padrões e Tecnologia (NIST) dos Estados Unidos. A escolha deste framework deve-se ao seu enfoque abrangente e flexível, que permite uma adaptação eficaz às necessidades e realidades de qualquer tipo de entidade, incluindo universidades e IES ibero-americanas.

Além disso, são integrados controles e práticas de outros padrões e normas internacionais, como ISO/IEC 27001 e 27002 e o Esquema Nacional de Segurança da Espanha, para garantir uma cobertura completa dos aspectos relevantes em matéria de segurança da informação.

Este enfoque híbrido e personalizado justifica a escolha do modelo, pois combina aspectos relevantes de padrões globais de reconhecimento internacional, adaptando-os a um contexto específico e fornecendo um quadro robusto e eficaz para a avaliação e melhoria da maturidade em cibersegurança.

 

DOMÍNIOS

GOVERNAR (GB)
DETETAR (DE)
IDENTIFICAR (ID)
RESPONDER (RS) E
RECUPERAR (RC)
PROTEGER (PR)
FORMAÇÃO E
TALENTO (FT)

GOVERNAR (GB) –  Estabelecer e monitorar a gestão da cibersegurança da organização. Isso é fundamental para incorporar a cibersegurança ao funcionamento de uma organização. Com este objetivo, relacionam-se: definir a estratégia de cibersegurança, definir/manter e comunicar políticas, elaborar processos e procedimentos, definir funções e responsabilidades em matéria de cibersegurança e realizar as tarefas relacionadas à gestão da cibersegurança. Isso está vinculado a compreender o contexto, estabelecer a estratégia, gerenciar o risco na cadeia de fornecimento, definir funções, responsabilidades e autoridades, elaborar políticas, implementar processos e procedimentos e supervisionar a estratégia.



IDENTIFICAR (ID) –  Determinar o risco atual de cibersegurança para a organização. Para isso, é necessário conhecer seus ativos (por exemplo, dados, hardware, software, sistemas, instalações, serviços, pessoas) e os riscos de cibersegurança relacionados a eles. Tudo isso para dedicar esforços à identificação de melhorias necessárias em relação às políticas, processos, procedimentos e práticas da organização que apoiam a gestão da cibersegurança. A identificação dessas políticas, processos, procedimentos e práticas também está incluída nesta etapa.

 

PROTEGER (PR) – Implementar controles para mitigar os riscos de cibersegurança existentes, com o objetivo de proteger os ativos para prevenir ou reduzir a probabilidade e o impacto de eventos adversos de cibersegurança. Nesta etapa estão incluídos a conscientização e o treinamento, a segurança de dados, a gestão de identidades, a segurança da plataforma e a resiliência da infraestrutura tecnológica.


DETETAR (DE) – Buscar e analisar possíveis ataques e compromissos de cibersegurança. Permite a descoberta e análise oportunas de anomalias, indicadores de comprometimento e outros eventos de cibersegurança potencialmente adversos que podem indicar a ocorrência de ataques ou incidentes de cibersegurança. Nesta etapa está incluído o monitoramento de rede por meio de fontes de informação internas ou externas, a configuração de ferramentas para esse fim e a análise de eventos.


RESPONDER (RS) – Agir diante de um incidente de cibersegurança detectado. Abrange a gestão, análise, mitigação e comunicação de incidentes. Nesta etapa estão incluídos os processos relacionados à gestão de incidentes de cibersegurança propriamente ditos.

 

RECUPERAR (RC) –Restaurar ativos e operações afetados por um incidente. Ações em prol da restauração oportuna das operações normais para reduzir o impacto de incidentes de cibersegurança. Isso inclui a elaboração de planos de contingência e de recuperação e os procedimentos associados.

 

FORMAÇÃO E TALENTO (FT) –Além disso, é considerado como parte do levantamento um domínio complementar referente à formação em cibersegurança e à captação e retenção de talentos na área respectiva da instituição. Este domínio é incluído em razão de se tratar de organizações dedicadas ao ensino universitário. No entanto, esclarece-se que ele não será incluído na determinação do nível de maturidade da instituição.

 

NÍVEIS DE MATURIDADE

 

Cada controle definido nos diferentes domínios será correlacionado dentro dos 4 níveis de maturidade definidos: L0 - L3. A tabela a seguir mostra as características incluídas em cada um dos quatro níveis estabelecidos:

 

L0

No se realizan prácticas.

L1

Se realizan prácticas iniciales, pero pueden ser ad hoc/informales.

L2

Características de la gestión
Las prácticas están documentadas.

Características de aproximación
Las prácticas son más completas o avanzadas que en L1.

L3

Características de la gestión
Las actividades están guiadas por políticas (u otras directivas organizacionales).
Se asignan responsabilidades, la rendición de cuentas y la autoridad para realizar las prácticas.
El personal que realiza las prácticas tiene habilidades y conocimientos adecuados Se evalúa y realiza un seguimiento de la eficiencia de las actividades.

Características de aproximación
Las prácticas son más completas o avanzadas que en L2.

CONTACTO

Para mais informações sobre o projeto, contactar: ciberseguridad@metared.org