Com conduir un security check de les aplicacions usades a la teva escola (I)

Com conduir un security check de les aplicacions usades a la teva escola (I)

Temps de lectura: 6 minuts

Com conduir un security check de les aplicacions usades a la teva escola (II)

Mai he treballat a Catalunya a l’àrea de l’e-learning en l’educació reglada. L’experiència que tinc usant i administrant programes d’e-learning l’he recopilada a universitats i empreses alemanyes i suïsses. Per això, quan durant la pandèmia les conegudes meves que treballen de professores a diferents països van haver de passar a impartir els seus cursos online, em vaig interessar pels programes que usaven i la seva organització. La meva sorpresa va ser extrema quan vaig saber que, a Catalunya, el Departament no ofereix cap suite o arquitectura de programes d’e-learning, que la majoria de centres usen Google Classroom i que els docents creaven comptes a Zoom de manera privada, perquè el Departament no els oferia cap producte.

Els meus amics que donen classes a Alemanya utilitzen programes seleccionats i gestionats pel land corresponent. Accedeixen a ells amb les credencials de l’escola o la universitat i cap centre usa Google Classroom, sinó entorns virtuals d’aprenentage (EVA) transparents i auditables, administrats per una companyia o institució local.

Aquesta deficiència és molt greu perquè posa les dades dels menors en mans de no se sap qui. No tinc res en contra de Google Classroom o Zoom, però un servei gratuït usat com a eina de treball ha d’aixecar les nostres suspicàcies. La primera: on està situat el servidor que allotja el programa?

No sóc experta en seguretat ni en xarxes, però he participat en la decisió i selecció d’algunes eines d’e-learning i hem basat la nostra decisió en les següents preguntes d’acord amb els requeriments del departament d’IT i Seguretat. És el que s’anomena el Security Check.

Sobre el proveïdor

A quina plataforma està allotjat el servei?

Respostes acceptables són:

  • on-premise (és a dir, a les pròpies installacions)
  • virtual machine (VM) dedicada amb el nom i la homepage de companyia d’allotjament web (idealment situada a un país de la UE)

Quines certificacions o certificacions de seguretat de tercers té l’organització?

Recursos Humans

Hi ha una política formal de seguretat de la informació i es comunica als empleats i a altres parts interessades rellevants?

Els empleats estan obligats a signar acords relacionats amb la no divulgació i la confidencialitat?

Hi ha procediments per a l’eliminació o la destrucció de suports físics (per exemple, documents en paper, discs, etc.)?

La vostra organització realitza proves periòdiques de vulnerabilitat, penetració i seguretat del sistema per determinar l’adequació de la protecció de la xarxa i del sistema?

Té una política de contrasenyes documentada i s’aplica tècnicament?

La resposta a totes o a la majoria d’aquestes preguntes hauria de ser afirmativa.

Foto d’ Elias Sch. a Pixabay

Share this

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.