2.1. Políticas de uso seguro de Redes y RRSS
La seguridad de redes es un término amplio que cubre una gran cantidad de tecnologías, dispositivos y procesos. En términos simples, es un conjunto de reglas y configuraciones diseñadas para proteger la integridad, confidencialidad y accesibilidad de las redes y datos utilizando tecnologías de software y hardware.
Cada organización, a pesar de su tamaño, industria o infraestructura, requiere un grado de soluciones de seguridad de redes en marcha para protegerse de un creciente panorama de amenazas cibernéticas hoy en día.
Estas vulnerabilidades pueden existir en un amplio número de áreas, incluyendo dispositivos, datos, aplicaciones, usuarios y ubicaciones.
El Instituto Nacional de Ciberseguridad (INCIBE) nos muestra las principales políticas de uso seguro para tener en cuenta e implementar:
- Contraseña de acceso robusta: La contraseña es la llave de acceso a la red social, por lo que se debe utilizar una contraseña fuerte que no sea fácilmente descifrable, y habilitar siempre que sea posible el doble factor de autenticación. De esta manera, además de tener que conocer el usuario y la contraseña para acceder a la cuenta, será necesario estar en posesión de un segundo factor, lo que aumenta considerablemente su seguridad.
- Configuración de privacidad: Todas las redes sociales cuentan con parámetros de privacidad que pueden ser configurados en un rango que va desde muy restrictivo a más laxo. La organización debe encontrar un punto intermedio que permita utilizar las distintas redes sociales de manera efectiva, de forma que permita interactuar con su público sin descuidar la seguridad y privacidad de la comunidad educativa, en este caso.
- Elegir un responsable de publicación: No se debe permitir que cualquier miembro de la comunidad tenga acceso y publique de forma indiscriminada, la imagen del centro puede verse dañada, además de aumentar el riesgo de sufrir un incidente de seguridad. Aquí entra en juego la figura del Comunity Manager.
- Definir unas normas de publicación: La organización debe definir la imagen que quiere reflejar, qué se publica y qué no, en qué tono o lenguaje, cómo se responde a las consultas y a las quejas, etc. Descuidar estas normas puede influir negativamente en la opinión que se forma sobre el centro.
- Restricciones de acceso: Existen ciertas aplicaciones que por ciertos motivos (de gestión, estadísticos, publicitarios, etc.) solicitan acceso y ciertos permisos en los perfiles de nuestras redes sociales, y que debemos analizar detalladamente antes de concederles estos privilegios. De lo contrario, esta práctica puede suponer un riesgo para la privacidad, ya que podría permitir el acceso a determinados datos (como información de seguidores), que deben ser privados, o permitir la publicación de contenido no supervisado.
- Estar al día de las amenazas: La suplantación de seguidores y las campañas de phishing y malware son los fraudes más utilizados por los ciberdelincuentes para engañar y extorsionar a las empresas a través de las redes sociales con el fin de obtener un beneficio económico. La suscripción al boletín de avisos de “Protege tu empresa”, de INCIBE, permite estar al día de las ciber amenazas que pueden perjudicar a la organización, facilitando la prevención y protección ante el riesgo de sufrir un incidente de seguridad.
- Intentar evitar errores humanos: El desconocimiento y la falta de formación en materia de ciberseguridad pueden llevar a una mala gestión de las redes sociales. Un error frecuente, y por tanto una práctica de riesgo, es la publicación de información privada, ya que los ciberdelincuentes utilizan estas aplicaciones como fuente de información.
- Precaución a la hora de seguir enlaces y descargar adjuntos: El malware también se difunde por las redes sociales mediante documentos adjuntos en mensajes dentro de la propia red o por medio de sitios web de terceros. Por lo tanto, debemos tratar los enlaces presentes en la red social y los documentos adjuntos con las mismas precauciones que en el correo electrónico. En caso de que un enlace nos dirija a cualquier web que solicite cualquier tipo de información confidencial o bancaria, se comprobará también el certificado de seguridad y que corresponda con el sitio al que se está accediendo.
- Cierre de sesiones: Dejar las sesiones abiertas es una forma muy fácil para que violen la privacidad digital en las redes sociales, sobre todo si utilizas ordenadores compartidos o redes inalámbricas abiertas de acceso público.
Figura 9
seguridad RRSS
Philipp Katzenberger. seguridad RRSS (CC BY)
2.2. Configuración y gestión segura de las cuentas de Redes Sociales de centro
2.2.1. Tipos de seguridad en redes:
La seguridad de redes, por lo general, consiste en tres diferentes controles: físico, técnico y administrativo.
A continuación, se presenta una breve descripción de los distintos tipos de seguridad de redes y cómo funciona cada control:
- Seguridad física en redes:
Los controles de seguridad física están diseñados para evitar que el personal no autorizado acceda de manera física a los componentes de la red, como rúter, armarios cableados y más. El acceso controlado como cerraduras, autenticación biométrica y otros dispositivos es esencial en cualquier organización. - Seguridad técnica en redes:
Los controles de seguridad técnica protegen los datos almacenados en la red o que están en tránsito a través, hacia o fuera de la red. La protección es doble: deben proteger los datos y sistemas del personal no autorizado, así como de las actividades maliciosas de los empleados. - Seguridad administrativa en redes:
Los controles de seguridad administrativa consisten en políticas y procesos de seguridad que controlan el comportamiento del usuario, incluso cómo se autentican los usuarios, su nivel de acceso y cómo el personal de tecnología de la información (TI) implementa cambios en la infraestructura.
2.2.2. Límites y riesgos:
Las redes sociales constituyen una herramienta de gran utilidad para la difusión de actividades, proyectos y logros de los centros educativos. Sin embargo, su utilización requiere una planificación adecuada para garantizar la protección de los datos personales y el respeto a la privacidad de todos los miembros de la comunidad educativa.
Una de las primeras decisiones que debe adoptar el centro es determinar el carácter de sus perfiles institucionales: abiertos al público general o dirigidos a una audiencia más restringida. Esta decisión condicionará el alcance de las publicaciones y las medidas de protección que deban adoptarse.
Antes de comenzar a publicar contenidos, es recomendable definir aspectos como:
- Los objetivos de la presencia del centro en redes sociales (informativos, educativos, institucionales o de difusión de actividades).
- El público destinatario de las publicaciones.
- El tipo de contenidos que se compartirán.
- Las personas responsables de la gestión y supervisión de los perfiles.
- Los procedimientos de revisión y aprobación de publicaciones.
- Especial atención merece la publicación de fotografías, vídeos o cualquier otro contenido en el que aparezcan personas identificadas o identificables. En el ámbito educativo es frecuente que estos materiales incluyan alumnado, profesorado, familias u otros miembros de la comunidad educativa.
La difusión de imágenes o grabaciones de menores requiere actuar con especial cautela y respetar en todo momento la normativa vigente sobre protección de datos y derechos de imagen. El centro deberá verificar previamente que dispone de la base jurídica adecuada para el tratamiento y publicación de dichas imágenes, así como de las autorizaciones que resulten necesarias.
Asimismo, deben protegerse otros datos personales que puedan permitir la identificación directa o indirecta de una persona, tales como nombres y apellidos, direcciones de correo electrónico, datos académicos, ubicaciones o cualquier información que pueda comprometer su privacidad o seguridad.
Siempre que sea posible, conviene valorar alternativas que reduzcan la exposición de datos personales, tales como:
- Utilizar imágenes en las que no sea posible identificar al alumnado.
- Emplear fotografías de grupo tomadas desde perspectivas que dificulten la identificación individual.
- Difundir proyectos, actividades o resultados sin asociarlos a datos personales.
- Utilizar recursos gráficos, ilustraciones o materiales elaborados por el propio alumnado sin mostrar su imagen.
- La transparencia constituye un principio fundamental. Por ello, las familias, el alumnado —cuando su edad y madurez lo permitan— y el personal del centro deben recibir información clara sobre la existencia de perfiles institucionales en redes sociales, los fines de las publicaciones y las medidas adoptadas para proteger su privacidad.
Por último, es recomendable que cada centro disponga de unas normas internas de uso de redes sociales que regulen la publicación de contenidos, la gestión de incidencias y las responsabilidades de las personas encargadas de su administración.
2.2.3. Puesta en práctica con seguridad:
En el momento de poner en marcha nuestras redes sociales, hay que recordar que no podemos utilizar las redes sociales del centro como si fueran nuestros propios perfiles de Facebook o Instagram, estamos representando a una entidad y en nuestras manos tenemos datos o contenidos de carácter personal que debemos proteger.
Nombrar a un “responsable de las redes sociales del centro” para la configuración y gestión de las mismas es de vital importancia. Ya hemos comentado los riesgos que asumimos al abrir este tipo de espacios públicos, por lo que, aunque todo el equipo educativo debe tener conocimiento de cómo vamos a administrar las redes, sólo dos o tres personas deberían tener acceso y encargarse de la publicación y gestión.
Algunos centros cuentan con un departamento de marketing y/o comunicación que asume esta tarea, pero en la mayoría de los casos, cualquier miembro del equipo educativo puede aceptar esta función.
Entre las medidas de seguridad recomendables destacan:
- Utilizar contraseñas robustas y únicas.
- Activar la autenticación multifactor.
- Revisar periódicamente los permisos de acceso.
- Mantener actualizada la información de recuperación de las cuentas.
- Registrar quiénes tienen funciones de administración.
- Retirar los permisos cuando una persona deje de desempeñar dichas funciones.
La formación y sensibilización del profesorado en materia de protección de datos, identidad digital y uso seguro de las redes sociales constituye un elemento fundamental para garantizar una gestión responsable y segura de estos espacios de comunicación.
2.2.4. Publicación de datos en redes sociales:
La publicación de datos personales en redes sociales por parte de los centros educativos debe realizarse siempre de acuerdo con la normativa vigente en materia de protección de datos personales y derechos de imagen.
Antes de difundir cualquier dato personal, fotografía, vídeo o grabación en redes sociales, el centro educativo deberá determinar la base jurídica que legitima dicho tratamiento y garantizar que las personas afectadas han recibido la información correspondiente sobre el uso de sus datos.
Cuando la publicación requiera el consentimiento de las personas interesadas o de sus representantes legales, este deberá ser previo, libre, específico, informado e inequívoco. El consentimiento deberá referirse de forma clara a las finalidades previstas y a los medios de difusión que vayan a utilizarse.
La información facilitada a las personas interesadas deberá incluir, entre otros aspectos:
- La identidad del responsable del tratamiento.
- La finalidad de la publicación.
- Las redes sociales o canales de difusión que se utilizarán.
- Los destinatarios potenciales de la información.
- La base jurídica que legitima el tratamiento.
- El plazo de conservación de los datos o los criterios utilizados para determinarlo.
La posibilidad de ejercer los derechos reconocidos por la normativa de protección de datos.
Debe tenerse en cuenta que la publicación de contenidos en redes sociales implica una mayor difusión y un menor control sobre la posterior utilización de la información publicada que otros entornos más limitados, como plataformas educativas cerradas o espacios de acceso restringido.
Por este motivo, resulta aconsejable aplicar el principio de minimización de datos y publicar únicamente la información estrictamente necesaria para alcanzar la finalidad perseguida.
Especial atención requiere la difusión de imágenes o vídeos de menores de edad. Los centros educativos deberán extremar las precauciones para garantizar el respeto a sus derechos y valorar siempre si la finalidad pretendida puede alcanzarse mediante alternativas que impliquen una menor exposición de datos personales.
Asimismo, los centros deberán disponer de procedimientos que permitan atender adecuadamente las solicitudes de ejercicio de derechos reconocidos por la normativa vigente, entre ellos los derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, cuando resulten aplicables.
La publicación de contenidos en redes sociales deberá realizarse siempre de forma proporcional, respetando la dignidad de las personas y garantizando la protección de la identidad digital del alumnado y del resto de miembros de la comunidad educativa.
2.2.5. Consideraciones relativas al uso de redes sociales en un centro educativo:
- ¿Puede un centro educativo acceder al contenido de dispositivos electrónicos del alumnado, como los sistemas de mensajería instantánea (WhatsApp) o redes sociales?
Dada la información que se contiene en los dispositivos con acceso a Internet, así como la trazabilidad que se puede realizar de la navegación efectuada por los usuarios, el acceso al contenido de estos dispositivos, incluyendo su clave, supone un acceso a datos de carácter personal que requiere el consentimiento de los interesados o de sus familiares si se trata de menores de 14 años.
No obstante, en situaciones en las que pudiera estar presente el interés público, como cuando se ponga en riesgo la integridad de algún menor (situaciones de ciberacoso, sexting, grooming o de violencia de género) el centro educativo podría, previa ponderación del caso y conforme al protocolo que tenga establecido, acceder a dichos contenidos sin el consentimiento de los interesados/as.
- ¿Puede el profesorado crear grupos con aplicaciones de mensajería instantánea con su alumnado?
Con carácter general, las comunicaciones entre profesores y alumnado deben tener lugar dentro del ámbito de la función educativa y no llevarse a cabo a través de aplicaciones de mensajería instantánea (exceptuando las propias que nos ofrece la Junta de Castilla y León).
Si fuera preciso establecer canales específicos de comunicación, deberían emplearse los medios y herramientas establecidas por el centro educativo, teniendo en cuenta la protección de datos y puestas a su disposición (por ejemplo, áreas específicas en la intranet del centro o uso de plataformas que cumplan los requisitos que se verán más adelante) o por medio del correo electrónico.
En situaciones concretas, como la realización de una tarea o trabajo específico, por ejemplo, con motivo de la participación en un concurso escolar, o de refuerzo que fueran necesarias, se podrían crear con carácter excepcional, siendo aconsejable la participación en el grupo de un tercero.
Con todo ello, existen variedad de herramientas que permiten dotar de seguridad nuestros perfiles, las cuales todo centro educativo debería utilizar para evidenciar una correcta gestión y configuración de redes sociales y evitar un asalto a datos personales de cualquier miembro de la comunidad educativa.
Se exponen los siguientes ejemplos de herramientas que puedes ser utilizadas según las necesidades propias:
- LastPass: es una herramienta muy útil que permite solucionar el problema de tener contraseñas simples y fáciles de hackear.
- LogDog: es una aplicación Android que permite saber si están intentando hackear alguna de nuestras cuentas.
- HTTPS Everywhere: Con el objetivo de defender los derechos de privacidad de los ciudadanos en la red, se pensó en esta extensión que permite el cambio de HTTP a HTTPS en los sitios webs a los que se acceden.
- AVG PrivacyFix: Esta aplicación, disponible para Android, Chrome y iOS, es un complemento que ayuda a los usuarios a ajustar las configuraciones de privacidad de las Redes Sociales más utilizadas como Facebook, LinkedIn, Twitter y Google+. A su vez, posibilita bloquear el seguimiento no deseado.
- Digi.me: es útil por estar diseñada para almacenar los datos de las Redes Sociales en caso de que toda la información se pierda por piratería, hackers o cualquier otro motivo. Te brinda la oportunidad de realizar copias de seguridad y de ver el contenido de hasta cuatro cuentas diferentes.