0:04 

Hola, bienvenido hoy. Bienvenidos a nuestra discusión de hoy sobre Ciberseguridad en K 12. Mi nombre es Klaire Marino. Soy el vicepresidente de marketing de productos de Lightspeed Systems. Muchas gracias por pasar parte de su tiempo con nosotros hoy. 

0:19 

Tengo un panel increíble de expertos aquí para este seminario web. Nuestro seminario web de hoy se titula: Pesadillas cibernéticas: ataques, infracciones y fugas. 

0:29 

Pero estoy seguro de que saldrá de esta sesión hoy con ideas y acciones procesables que puede tomar con su distrito mañana mismo. 

0:43 

Antes de sumergirme, quiero recordarles que tenemos tiempo al final del seminario web para preguntas. Queremos saber de usted, queremos escuchar sus preguntas. 

0:54 

Troy y John estarán listos para responderlas, así que ingréselas en el chat a medida que avanzamos, y lo haremos, dejaremos tiempo para eso. 

1:03 

Todos. Entonces, primero, quiero presentarles nuestro panel. 

1:08 

Hoy tenemos a Troy Neal. Es el director ejecutivo de Ciberseguridad y Operaciones de TI en Spring Branch ISD en Houston, Texas. 

1:18 

Y luego, también tenemos a John Genter, vicepresidente de seguridad y operaciones en la nube en Lightspeed Systems. 

1:25 

Te lo voy a entregar, Troy, para que puedas compartir un poco de tu experiencia para nuestra audiencia de hoy. 

1:31 

Claro, si Spring Branch ISD estamos ubicados en Houston, Texas, tenemos alrededor de 35,000 estudiantes con alrededor de 6000 miembros del personal, lo que se llama un distrito escolar rico en propiedades, lo que significa que hay algunos problemas de financiación. Enviamos alrededor de $75 millones de regreso al estado de Texas, lo que significa desafíos para las personas en TI. Por lo tanto, he estado en la industria de TI durante unos 20 años. Estoy en mi tercera carrera, como les digo a todos, comencé en el ejército, en el Cuerpo de Marines, fui dueño de mi propia consultoría de negocios, y luego lo que yo, Entonces, todos, solo quería, empresa. Somos más grandes que la mayoría de las empresas en K-12. Y así, lo trato como una empresa al final del día. estamos en educación, así que pasé años entendiendo el lado operativo de K-12. 

2:15 

Genial, gracias, Troy. Y, John, por favor preséntate. 

2:19 

Hola, soy John Genter, vicepresidente de seguridad y operaciones en la nube de Lightspeed Systems. 

2:24 

Llevo 17 años con Lightspeed. Entonces, he estado en este viaje por mucho tiempo con nuestra gente de Lightspeed. 

2:31 

He hecho todo a través del servicio al cliente, el éxito del cliente, el soporte y, recientemente, más recientemente, como Operaciones de seguridad y en la nube, surgió del hecho de que hice la mayoría de nuestros programas y cosas de privacidad y seguridad. 

2:49 

También pasé 22 años de mi vida como fideicomisario de la junta escolar, y eso fue en un pequeño distrito escolar de aproximadamente 3500. Así que Troy es un poco más pequeño que su distrito, pero sospecho que muchos de los desafíos son los mismos, y la financiación ciertamente es uno de ellos. Y en esos 22 años, creo que realmente fue capaz de desempeñar un papel integral en el despliegue de tecnología del distrito y asegurarse de que pensáramos en las cosas e hiciéramos las cosas. 

3:19 

Ciertamente, los desafíos de hoy son muy diferentes a los de hace 20 años. 

3:24 

Pero creo que, eh, lo que no ha cambiado es que el personal de TI generalmente no tiene fondos suficientes en las escuelas y eso es un gran desafío. 

3:36 

Definitivamente. 

Genial, entonces hablemos de esos cambios a medida que avanzamos aquí. 

3:45 

Verá en este gráfico, pero ha habido un aumento dramático en los ataques cibernéticos y, en los últimos, diría, ¿cuánto, de 4 a 6 años? Entonces, comencemos con esta pregunta: ¿Por qué cree que los distritos K-12 son tan atractivos para estos ciberdelincuentes? ¿Y qué son, qué están viendo? 

4:06 

¿Qué tipos de ataques estás viendo? 

4:11 

Claro, puedes saltar sobre él. 

4:13 

Sí, sí, definitivamente comenzaré con este. Porque tienes las amenazas internas y externas. Entonces, comencemos con lo externo. Se trata de datos de ganancias, datos de venta, y ahora vuelve a ser público. 

4:25 

Entonces, al final del día, son ganancias y dinero. Y especialmente en K-12, es identidad. Obtienes la identidad de alguien, para lo cual hay un alto valor. Así que creo que esa es tu amenaza, y la gente lo sabe. 

4:37 

Y luego toma los hechos: fondos insuficientes, personal insuficiente, no tiene herramientas, procesos, políticas. Así que tienes ese tipo de factor externo allí. Entonces entremos en su interior. Y si observa la plataforma de diapositivas: violación de datos, invasión DDoS, 

4:53 

amenaza interna. Recibimos DDos todo el tiempo, especialmente durante las ventanas de prueba. Porque los niños no quieren tomar exámenes. En realidad, no hay intención maliciosa, pero simplemente no quieren probar. 

5:02 

Pero entonces, tienes amenazas internas. Los niños quieren tratar de encontrar acceso. Entonces tienes a estos niños que uno podría aburrirse en clase solo por querer probar algo para los que tienen intenciones maliciosas. Por lo tanto, las amenazas internas y los problemas probablemente sean más relacionados con lo externo. Pero ambos están allí, por lo que debe tener en cuenta todo eso en su estrategia, su hoja de ruta, capacitación de compra, etcétera, etcétera. Pero, al final del día para lo externo, es dinero. 

5:31 

Sí, yo también creo que los actores de amenazas creen que las escuelas son vulnerables y la falta de fondos piensan que son buenos objetivos, hay, eh, sistemas de nómina en las escuelas que los malos actores quieren que se les envíe el cheque de pago. Y luego, creo, al final del día, y Troy dijo esto, ahí hay información valiosa. Si puede obtener un niño de kínder, número de seguro social e información. Tienes 15 años que, puedes estar corriendo, y probablemente no verás que se ejecuten verificaciones de crédito contra esas cuentas, y los malos actores saben eso, y ven, esos son datos muy valiosos. 

6:09 

Eso me hace pensar que necesito entrar y verificar que todos los números de seguro social de mis hijos brillen. Algunas de las empresas en realidad están ofreciendo eso. Ahora, donde puede monitorear a sus hijos, números de seguro social y cosas, así que no es una mala idea investigar. 

6:24 

Sí, definitivamente. Vamos a ver. 

6:29 

Entonces, desde la perspectiva de la mayor amenaza, ¿qué ves? Quiero decir, creo que tocaste esto un poco, pero ¿es malware, DDoS, violaciones de datos de estudiantes? ¿Dónde los estamos viendo que ha sucedido con sus instituciones pares? ¿Y de qué hablas con tus compañeros? 

6:51 

Es todo lo anterior. Quiero decir, no creo que haya uno específico, depende del objetivo y el objetivo, por lo que los DDO tienen en común, especialmente internos versus externos. Quiero decir, todavía estás ahí, pero más eso. Ahora es malware ransomware. 

7:06 

Porque quieres movimiento lateral en etcétera. Entonces, creo que ese factor externo, dije, ahí, siempre están buscando su vulnerabilidad externa. Primero es cómo entran por la puerta, todos hacemos clic en los enlaces. 

7:18 

El vector número uno en cualquier organización es a través del spam. Alguien hace clic en el enlace y se vuelve creativo. Con los años, es cada vez más difícil encontrarlo. Y eso es volver a la concientización, formación o capacitación, y es responsabilidad de todos. Y hablando un poco, un poco dentro de las cosas, hablamos, y John habló sobre niños de primaria. 

7:39 

Es que, como adultos, tenemos miedo de, no, los niños no pueden recordar contraseñas largas y todas estas cosas, los niños están muy por delante del mundo visual, el adulto o en el camino de algunas de estas cosas. De vuelta a la educación, la ciudadanía digital, enséñales lo correcto y lo incorrecto, y su responsabilidad de ayudar en esto. 

7:57 

Porque estamos todos juntos en esto. 

8:01 

8:04 

Sí, iba a decir, ese es un buen paso a mi próxima pregunta, que se trata de comenzar a pensar, estamos pasando de la amenaza a, o ¿cuáles son algunas de las cosas que los distritos podrían estar haciendo? 

8:15 

Y, si nosotros, si hablamos primero, estoy interesado en algunas cosas inmediatas, sencillas y de poca importancia. ¿Qué tipo de 2 o 3 en esa área deberían estar haciendo los distritos tan pronto como terminen esta llamada? Si aún no lo están, ¿cuáles serían sus recomendaciones allí? 

8:36 

El número uno es la conciencia, y es responsabilidad de todos. Ese es nuestro mensaje en nuestra organización, a nivel de directorio, nivel de liderazgo senior, en todos los niveles. Es responsabilidad de todos. Formación, formación, formación y sensibilización. Y no tengas miedo, 'si hice clic en algo, díselo a alguien'. 'Ver algo, decir algo', también se aplica a la tecnología. Parchar, todos, parche, parche, parche, esas son cosas simples de hacer, eso, fruta al alcance de la mano. 

9:02 

contraseñas Y obtienes la filosofía equivocada de listas de contraseñas versus contraseñas crípticas, frases. Me refiero a tener políticas establecidas primero. Y luego la comunicación. Aceptación del liderazgo. No tengas miedo de hablar. Diga algo con la alta dirección de su gabinete. Necesitan entender, porque estamos juntos en esto y porque ayudan a impulsar parte de esta política. Ellos pueden ayudar a impulsar ese cambio. Esta es la razón por la que lo estamos haciendo, en K 12, mi papel es la concienciación sobre el riesgo, la mitigación del riesgo. 

9:38 

Hay ciertas cosas que no creo que debamos hacer, en un rol de seguridad, y nuestra función o política de seguridad, porque no es lo mejor para los niños. Y ese es un riesgo que asumimos como organización. 

9:51 

Porque al final del día, estamos aquí para educar a los niños. Entonces, hay mecanismos que no implementaremos porque no es lo mejor para los niños. Pero tienes que estar bien con eso. Pero, el liderazgo necesita entender cómo se ve ese riesgo. Y no tengas miedo de decir lo que es. Porque hoy, todos tenemos que hacerlo. 

10:10 

Entonces, eso es solo algo de bajo costo. 

10:13 

Agregaría, a eso, también, creo que las personas pueden sentirse intimidadas por la ciberseguridad y sentir que tienen que ser expertos en ciberseguridad. Me gusta compartir, necesitas que todos sean cibernéticos. 

10:27 

Y no los expertos cibernéticos, bien lo dijo Troy, sepan a quién preguntar. Esto no se siente, esto no se ve, verdad, '¿a quién le pregunto?' Eso es cibernético, no necesitas saber cómo resolver el problema. Pero creo que la conciencia cibernética para el personal y los estudiantes es muy importante. 

10:44 

Creo que otra cosa que se puede hacer de manera bastante sencilla es agregar autenticación multifactor, digamos, a nivel de distrito y en sistemas de distrito. Es un poco más difícil implementarlo en todo el distrito escolar de 35,000 estudiantes y todo, pero si lo aborda como un componente pequeño y solo observa esos sistemas comerciales, creo que es una gran victoria. 

11:08 

Sí. Agregaré una fruta madura más que hacemos. Tenemos un proceso de incorporación muy estricto para el software. 

11:13 

Y en eso hay una sección completa de requisitos técnicos que examinamos desde integraciones hasta estándares, ¿dónde pueden vivir los datos? Destrucción de los datos, y luego tuvimos hasta las piezas de ciberseguridad de ¿tienes seguro, y tuvimos una brecha, qué, qué modelos nos sigues?. estamos haciendo a nuestros proveedores exactamente las mismas preguntas que queremos hacernos a nosotros mismos. 

11:39 

Sí, eso es genial ¿Cuando dices proveedores? ¿A quién te refieres allí? 

11:45 

Así que cualquier tipo de proveedor o proveedores fiscales. Si, afortunadamente, hace un par de años, Texas aprobó una legislación que requería tener un coordinador de seguridad cibernética, adoptar una política de seguridad cibernética, informar una infracción y luego agregamos capacitación de concientización sobre seguridad cibernética. 

12:07 

Y, por lo tanto, contrataríamos a los contratistas para que realicen la misma capacitación, porque si va a acceder al sistema, asegurémonos de que comprendan los conceptos básicos de lo que deben buscar. 

12:14 

Quiero decir, en realidad es volver a la concientización y la capacitación, pero sí, todas las partes involucradas si van a acceder al sistema o quieren algún tipo de información o datos de nosotros, estos son los requisitos. 

12:27 

Sí, genial, genial. Pasemos de la fruta al alcance de la mano a planes a más largo plazo que tal vez haya implementado Troy, o algo que haya visto. Johnson, algunos de los pasos en los que los distritos podrían estar pensando durante los próximos 12 meses o más. 

12:45 

Claro, voy a empezar con algunos de esos. Copia de seguridad, copia de seguridad, copia de seguridad, tengo una estrategia de cinco niveles. Tengo Air Gap Solutions. Y nuestro Colo y nuestro sitio DR. Tengo buenos discos duros USB antiguos, los más críticos. También tengo una copia de la nube en varios proveedores de la nube, copias de seguridad, todo, también, validando sus copias de seguridad y la estrategia. Pero, quiero decir, en general, debes comenzar con una estrategia y una hoja de ruta. Y tus frameworks, ¿hacia dónde quieres seguir? Lo grande, lo grande ahora tu confianza es ¿cómo llegas a la confianza cero? 

13:15 

Lo mejor que puedas en K-12 porque hay ciertas cosas que no podrás hacer en K-12 con cero confianza. Visibilidad, información, cómo usar esa información. 

13:24 

Automatización y proceso, qué conjuntos de herramientas puede hacer y traer para ayudar a automatizar y orquestar esas cosas, de modo que elimine los factores humanos. 

13:34 

Pretende que soy, estoy seguro de que también podrías estar de acuerdo con esto. Que puede sentirse abrumador cuando miras cómo hacer todo esto. Pero debe comenzar identificando realmente cuáles son los sistemas más críticos que necesita proteger, y luego enfocarse en protegerlos y luego expandirse a partir de ahí. 

13:51 

Claramente, las copias de seguridad de los datos más críticos y el espacio de aire son fundamentales para poder recuperarse rápidamente, en caso de que algo suceda. 

14:00 

Entonces, creo que si alguien aún no ha comenzado este viaje, asegúrese de comenzar por comprender qué es lo más importante para proteger. 

14:10 

Sí, y luego agregaré planes de respuesta a incidentes. Tienes que hacer un ejercicio de simulación, un plan de respuesta a incidentes. Usted identifica sus sistemas de origen para su organización y, luego, quién es el propietario de esos sistemas. Y luego no tuviste conversaciones con esos dueños de, en realidad '¿qué significa eso?' Y luego, ¿cómo los examinas? ¿Cómo se asegura de que sus políticas de privacidad cambien con algunos de sus proveedores? ¿Cómo te mantienes al tanto de eso? es un pueblo Estamos todos juntos en esto. 

14:38 

Hay ayuda disponible, socios o proveedores, hay una gran cantidad de información sobre recursos y personas para ayudarlo, solicite ayuda. 

14:49 

Hicimos una pregunta sobre su proveedor de edtech y sus políticas de privacidad. Lightspeed hizo un registro de la aplicación Edtech recientemente que encontró que 91% de la aplicación que usaron los estudiantes cambió sus políticas de privacidad al menos una vez en el último año escolar. 

15:14 

Entonces, ¿por qué es importante monitorear las políticas de privacidad? 

15:20 

¿Es eso parte de tu estrategia de ciberseguridad, Troy? 

15:24 

Absolutamente, somos dueños de CatchOn, Lightspeed Analytics, creo que es lo que llamamos ahora, shadow IT. Tenemos más de 4000 aplicaciones en uso. Y así, es un vasto catálogo de aplicaciones. Y hay un gran uso y necesidad para ellos, pero necesita saber cuáles son. Entonces: política de privacidad, gobernanza. ¿Quién tiene los datos? Quién tiene acceso a los datos, y uno de los hechos de los que hablamos ahora, especialmente en este clima, es que nuestros factores externos son los padres. El mundo de, sin transparencia, '¿Qué están haciendo mis hijos?' todo eso ahora se expandió a los padres.  

15:58 

Los padres están más involucrados y lo que sus hijos están haciendo dentro de la escuela, desde todas las facetas. Entonces, saber cómo se ven esas actualizaciones porque ha habido algunos cambios, incluso, digamos, Google de donde ha ido, 13 y hasta ahora 18 en adelante, ¿usted usa esas aplicaciones? ¿Has hecho esos ajustes? Pero, si no estás prestando atención, no estás viendo esto. Y, por lo tanto, algunas de estas políticas y cambios podrían haber ocurrido, y ahora no cumple, desde un punto de vista regulatorio, desde un punto de vista legal. Y, entonces, tienes que tener ese tipo de visibilidad. 

16:30 

Si. 

16:31 

Y creo que en el mundo de la privacidad porque el panorama cambia a diario, los estados están aprobando leyes de privacidad, a nivel internacional hay nuevas leyes de privacidad. 

16:41 

Observamos las políticas de privacidad que no se han actualizado en los últimos dos años y lanzamos una bandera roja. Es, vaya, no tienen una actualización aquí. ¿Qué están haciendo? ¿Están prestando atención? 

16:51 

Entonces, estas políticas actualizadas ocurrirán con más frecuencia, porque las empresas están tratando de reaccionar a los cambios en las leyes y todo eso. 

17:01 

Lo sé, cuando era fideicomisario, mi personal de TI estaba terriblemente sobrecargado de trabajo. No tenían los recursos para ir a la caza y, de repente, ahora tendrán que mantenerse al día con las políticas de privacidad y el cambio regular puede ser un pensamiento y un proceso un poco abrumador. . 

17:22 

Entonces, la otra cosa es que probablemente no sean expertos legales. Entonces, ¿cómo leo todas estas políticas de privacidad e incluso descubro qué cambió? Eso es un gran problema. Entonces, me alegro de que Troy haya mencionado nuestra edición Lightspeed Analytics CatchOn, porque ha sido parte de ese producto para tratar de sacarlos a la luz y asegurarse de que las escuelas puedan ver fácilmente cuándo se actualizó una política de privacidad y recibir una notificación al respecto. Y luego creo que tal vez, lo que es más importante, resaltar las secciones de la política que cambiaron, y luego evaluar eso y decir, ¿eso significa algo para nosotros? ¿Eso entra en conflicto con lo que son o no son las políticas de nuestro distrito? Y si lo hace, entonces tal vez haya un punto de decisión allí. Si no es así, ¿todavía está dentro de las pautas? Excelente. Puede usarlo rápidamente o continuar usándolo. 

18:06 

Pero es una evaluación muy rápida, más o menos, presentada a usted, en lugar de tener que estar al tanto de cada uno de sus proveedores, y luego pasar, ¿cambió? ¿Cuándo cambió? ¿Que tengo que hacer? 

18:18 

Permítanme agregar una cosa más a eso, también. También es asegurarse de que las personas adecuadas participen en él, de modo que, sin Analytics CatchOn, nuestros equipos de liderazgo académico tengan acceso a él. Así que en realidad están mirando los datos. Están analizando el uso, así que tienen esa visibilidad. Y luego nuestro equipo de edtech también estuvo involucrado, porque ayudan a incorporar nuestro software o descubren cuándo dejamos de usar el software. Así que dije, todavía es volver a ese esfuerzo de equipo. No estamos en silos, no es una función de TI. Es multifunción, multi-departamentos y solo para asegurarse, así es como se usan los datos. Y sentarse y tener la conversación. Me reúno con mis compañeros, los directores ejecutivos, el apoyo curricular, el superintendente de tecnología, el superintendente académico, una vez a la semana para tener una alineación de equipo dual entre las dos funciones básicas académicas y tecnológicas. Así que es esa asociación, lo que significa todo. 

19:16 

Sí. Estaba mirando, vino una pregunta, que entró aquí. Entonces, esto en realidad está relacionado con los padres, Troy, estabas hablando de que los padres son una parte tan importante de la comunidad educativa, especialmente después de COVID, y todo lo que hemos pasado. Una pregunta de nuestra audiencia es: “¿Involucra a los padres en la capacitación en seguridad cibernética? Y, si es así, ¿cómo? 

19:41 

Sí, entonces, cuando hacemos las noches de regreso a la escuela, y los eventos de regreso a la escuela o las noches de padres, lo que sea, ofrecemos ese tipo de capacitación. Y nosotros, pegamos mucho a los factores externos versus las cosas internas. Y luego dirijo nuestro comité de filtrado de contenido, que está compuesto por personal de tecnología, administración, directores, maestros, miembros de la comunidad y padres, y hablamos sobre muchas de nuestras políticas. No solo filtrar, sino solo en general, en torno a la seguridad de nuestros hijos en la ciudadanía digital y el uso dos veces al año. Entonces, de esa manera, están involucrados en la conversación, porque también hay defensores. 

20:18 

Si, exacto. 

Ejecutamos lo que se llama la estafa o la semana. Estoy seguro de que probablemente has visto eso. Donde realmente estamos prestando atención a lo que está sucediendo en el mundo de hoy, y lo que están usando los malos actores. Y lo enviamos a todos nuestros empleados, y los alentamos a que lo envíen a sus familias, amigos y todos los demás. 

20:37 

Porque es solo la forma de estar informado de lo que está pasando, y lo que está pasando en el mundo. 

20:44 

Entonces, creo que hay oportunidades allí para involucrar a la comunidad, así como en un tipo proactivo de conciencia de seguridad cibernética sin que sea un trabajo pesado. 

21:00 

Hacemos un boletín trimestral, y en realidad proviene de nuestro Jefe de Policía, Director de Seguridad y yo mismo. De esa manera, estamos hablando de finales del trimestre de, aquí está la cosa, Mes de Concientización sobre Seguridad Cibernética. Entonces, tendremos cositas de, aquí están las temporadas navideñas. Esto es lo que debe buscar. Juntamos todo eso en este pequeño boletín informativo que se envía a toda nuestra comunidad. 

21:25 

Sí, eso es genial. 

21:26 

También surgió una pregunta: "¿La sucursal de Spring tiene MFA?" 

21:36 

Sí. Entonces, es una gran pregunta. Entonces, he estado en Spring Branch durante tres años. Quería hacer MFA. El primer año que empecé. Pero pasé, durante seis meses, solo haciendo un análisis de brechas. Entonces, la forma en que hacemos cualquier cosa en Spring Branch desde una perspectiva de gestión del cambio, es lo que llamamos iniciativa New-November. 

21:53 

Entonces, en noviembre, estaremos frente al liderazgo senior y diremos 'aquí están los nuevos cambios que queremos implementar el próximo año escolar' de esa manera obtenemos su aceptación, sus comentarios y sus preocupaciones. Y luego, si lo aprueban, en diciembre tendremos una reunión de administradores en la que participarán todos los administradores del distrito. Y luego, como cada división, hablamos sobre lo que cambiará el próximo año. Entonces, he llegado completamente allí. Entonces, de hecho, implementaremos MFA el próximo año, año escolar, para todo el personal en todos los ámbitos. Y entonces, en realidad, en un par de semanas, pasaré al liderazgo senior. Ya saben que viene. Porque todos sabemos que el seguro de ciberseguridad lo requiere ahora, todos los mecanismos que existen. Entonces, debe descubrir qué significa para usted, cómo se ve, qué tiene sentido para su organización. Porque hay diferentes formas de abordarlo en diferentes escuelas que lo han hecho de manera diferente. 

También es percepción, porque mucha gente dirá "No puedo y no quiero un factor dual" en su sitio. 

22:54 

90% de personas en este mundo tienen un teléfono inteligente, ya lo están haciendo. Entonces, tenemos este nombre inapropiado en la percepción errónea sobre oh, eso es demasiado difícil. Si estás en la banca en línea, lo has hecho. Pero creo que solo me aseguro de que las personas sepan realmente qué es eso. Usted dice, MFA, multifactor, solo dígales lo que eso significa realmente. Sólo unos términos normales. Sí, y está cambiando todo el tiempo ahora en cualquier cosa que estemos usando, lo estamos haciendo con nuestras cuentas bancarias... 

23:23 

 entonces, no es diferente la expectativa de hacerlo por su escuela. 

23:30 

Me gusta cómo Troy dijo eso. Ayuda a la gente a hacer la conexión. 

23:35 

Siempre me gusta enseñar a las personas a estar seguras en su vida personal y entender por qué eso es importante para ellas, porque siento que llegan a la oficina preparadas para llevar esos mismos hábitos. Y, hoy en día, difícilmente puede actualizar su cuenta de Hulu sin MFA, y ciertamente no puede ingresar a su cuenta bancaria, y no tiene por qué ser un proceso terriblemente complicado. Solo tiene que ser un proceso que se implemente en los sistemas y cosas correctos, de modo que solo agregue esa capa adicional de seguridad contra alguien que acceda a los datos críticos a los que no desea que accedan. 

24:12 

Sí, está bien, otra pregunta, nos alejamos de esto, pero puedes retroceder en el tiempo. OK, entonces, se trata de capas de protección. 

24:22 

¿Es un cortafuegos una protección lo suficientemente eficiente? O, ¿necesitamos más protección? 

24:30 

Más, montones y montones de más. Quiero decir, y esto es en realidad, uno, la hoja de ruta: a dónde vas, y esto en realidad es tener herramientas que se integren, cómo funcionan juntas. Porque hay más, hay tantas herramientas por ahí. El cortafuegos es solo la línea de base. Quiero decir, hace mucho. Y especialmente los cortafuegos de Nixon, siempre y cuando los agrupe y termine comprando el cortafuegos y no solo lo básico, pero eso es solo administración de identidad. 

24:57 

¿Cómo definiste la identidad? La administración de acceso privilegiado está disponible, ahora, qué mecanismos están implementados, EDR, luego, lo siguiente que todos deben tener es un requisito del usuario. Endpoint Protection, autenticación, visibilidad. 

25:14 

Vulnerabilidades: ¿eres consciente de todas tus vulnerabilidades? ¿Existen herramientas que te ayudan a identificar lo que realmente hay? 

25:19 

Aplicación de parches: ¿cómo se aplican parches dentro y fuera de la red? 

25:23 

Hay tantos mecanismos por ahí, pero primero hay que volver a empezar con la hoja de ruta de la estrategia. ¿A donde quieres ir? Cómo llega allí, qué hay disponible y qué está disponible, Siguiente, genial, socios y herramientas, eso es solo uno, copias de seguridad también. Pero, el firewall es solo el comienzo de las cosas. 

25:39 

Las capas son la clave aquí. Y creo que es difícil proteger lo que no se puede ver, y es posible que tengas suerte de vez en cuando y tropieces con algo y luego descubras cómo asegurarlo. Pero, si no sabe lo que se está ejecutando en su red, es realmente difícil asegurarlo. 

25:55 

Y creo que esa es una de las cosas que aborda CatchOn Analytics de Lightspeed, está tratando de brindar esa visibilidad, haciendo que esas aplicaciones sean visibles, ayudando a las personas incluso a saber qué se está ejecutando en la red y qué está sucediendo allí. 

26:09 

Y poder ver esas políticas de seguridad y políticas de privacidad con un nivel de confianza si eso coincide con lo que necesitan en el distrito Lightspeed Filter también agrega una capa de protección, porque está bloqueando los sitios de malware y otros sitios que los estudiantes y el personal podrían tropezar con Y dependiendo de cómo lo haya configurado y para qué lo haya configurado. Podría bloquear los sitios web de comando y control para que no puedan comunicarse con los ataques de ransomware allí. Entonces, creo que todas las personas de seguridad le dirían que se trata de capas y, nuevamente, creo que, desde las escuelas muy grandes hasta las escuelas muy pequeñas, es realmente comprender cuál de esas capas les da el mayor rendimiento por su dinero. y cuáles pueden implementar. Y realmente administrar en su, en su entorno para darles la mejor protección. 

27:02 

Sí. Y agregaré a eso, también, debes conocer todos tus activos. 

27:06 

Y quiero decir, todos sus activos, y eso no es solo hardware, reúna todos sus activos. 

27:11 

Y usted dijo, es capa sobre capa, y luego, ¿cómo minimiza el riesgo? Porque no es si es cuándo, y luego de vuelta, ¿puedo restaurar? ¿Puedo saber? ¿Qué tan rápido puedo volver? 

27:23 

Y entonces, quiero decir, todos, esos son factores, sí. Tienes una capa de todo y, cómo lo tomas, acceso con privilegios mínimos. tienes que mirar todo lo que hay ahí fuera. Y luego dije, tienes que aplicar a organizaciones y filosofías, pero tienes que empezar con el liderazgo y esas conversaciones. Porque todavía va a costar mucho dinero. 

27:45 

Excelente. Entonces, un par de preguntas más están llegando, pero hay una que solo quería pedirles que respondan a esta pregunta adicional. 

27:59 

Pasa de cómo te proteges a qué sucede si hay algún tipo de incidente y, claro, mencionaste la respuesta a incidentes, pero, según nuestra investigación, el tiempo de inactividad promedio para una red escolar después de un ataque cibernético es de cuatro días con un 30 días adicionales, en promedio, para la recuperación total. 

28:19 

Así que eso es mucho, y eso es un montón de recursos de TI, tiempo y dolores de cabeza. Estoy seguro. 

28:26 

Puedo imaginarlo, pero ¿qué debe hacer si es víctima de un ciberataque y cuáles serían los pasos inmediatos que tomaría dentro de las primeras 24 horas? 

28:41 

Esto se remonta al primer plan de respuesta a incidentes. 

28:43 

Tendrías que asegurarte de que realmente funciona, y puedes ejecutarlo. Y si no estás probando, no lo sabes, porque la comunicación va a ser el número uno. Lo que se comunica externo versus interno. Hay una gran diferencia ahí, y luego hay toneladas de recursos que están dispuestos a ayudar. Estado de Texas, tienen un equipo voluntario de respuesta a incidentes. Tienes sociedades. Tienes que saber quiénes son esas personas antes de tiempo. Y luego ese plan, en realidad debería tener todo eso documentado. Porque hay ciertos pasos y ciertas personas a las que desea llamar de inmediato. 

29:14 

No tenga miedo de preguntar, la gente está dispuesta a participar y ayudar, estamos todos juntos en esto, he pasado por una brecha en mi carrera, hace años. Son recursos y es salud. ¿Es caro? 100%. Y restauras los tiempos y sabes que vuelve a funcionar completamente dependiendo de lo malo que sea. Volviendo a, si tiene capas y herramientas, en ese plan, puede conocer y establecer esas expectativas para la organización. De las necesidades del negocio y entender realmente lo que eso significa. No va a ser normal como está, incluso si sucede y lo restauras. Nunca hay normal después, después de que esto sucede. No hay normalidad en nuestro mundo. 

29:52 

De todos modos, sí. 

29:56 

No estás solo, y existen todos estos recursos, no creas que tienes que hacer todo por tu cuenta. Lo siento, adelante, John. 

Creo que Troy está aquí, hay muchos recursos. CISA tiene el marco de seguridad cibernética, que le brinda un buen diseño de cómo, cómo pasar por esto. 

30:15 

Creo que una de las claves es prepararse por adelantado, al menos, saber a quién vas a llamar, qué, cuál es el número de tu compañía de seguros y a quién llamas. Qué, cuál es el número del FBI, en caso de que necesites entrar, y quién es tu contacto en el FBI. Y todo eso, en un lugar, de modo que si te encuentras en medio de una brecha, no estás dando vueltas tratando de averiguarlo, lo tienes. Y creo que los pasos básicos serán, una vez que te des cuenta de que tienes una brecha, quieres contenerla, quieres mitigarla. Quieres, haz, quieres evitar que se propague. Y una vez que ha impedido que se propague, es realmente entonces decidir cuáles son los próximos pasos y cuál es el daño. Y sabes qué, cómo es la recuperación. 

30:51 

Y al punto de Troy, habiendo pensado en eso antes de tiempo y habiéndolo practicado, ejercita esos músculos, así que cuando estás en medio de una brecha, y Troy la ha atravesado cuando estoy seguro de que puedes decirnos, Esta es una situación muy estresante. No está sentado, relajado, repasando su plan de respuesta a incidentes. Quiero decir, si es público, esperas que no sea así, pero si es público, los teléfonos de todos suenan sin parar. Es un estrés extremadamente alto, y ese no es el momento de intentar averiguar el número de teléfono al que tienes que llamar. 

31:28 

Entonces, tome un poco de tiempo y comience poco a poco. Comience con un plan de respuesta a incidentes. Eso tiene 2 o 3 cosas en él, y luego iterar sobre él, iterar sobre él, e iterar sobre él. Y mejora con el tiempo a medida que practicas. Es realmente importante. 

31:46 

Lo he encontrado, incluso en mi propio viaje a través de esto. 

31:49 

A veces, cuando está mirando una hoja de papel en blanco y piensa, tengo que crear un plan de respuesta a incidentes, se siente abrumado, porque si buscó en Internet, hay planes de respuesta a incidentes de 40 páginas. Pero, creo que empezar poco a poco. Utilice algunos de los recursos allí, dijo Troy, y realmente, apóyese en sus colegas y pídales consejos y sugerencias. 

32:09 

Y lo mejor de la educación K 12 es que a todos les encanta compartir, y es un lugar maravilloso para estar. 

32:16 

Sí, pregúntele a su distrito vecino, por ejemplo, trabajen juntos en esas políticas, en ese plan, hagan los ejercicios juntos, de esa manera tienen ese vínculo y tienen una buena comprensión de los entornos de los demás, todos somos aquí por la misma razón, los niños. Exactamente. 

32:37 

Bien, Troy te hizo otra pregunta y se trata de aplicaciones que no se envían a TI para su revisión. 

32:44 

Así que supongo que estas serían aplicaciones educativas o aplicaciones potencialmente administrativas que tal vez termines en este sistema. A veces las llamamos aplicaciones maliciosas, ¿qué haces? 

32:57 

Bueno, en su mayor parte, con CatchOn, Lightspeed Analytics, para nosotros, toda la TI en la sombra, las aplicaciones no autorizadas. Ahora, tenemos visibilidad para ellos. Entonces, nuestra política, si no han sido examinados a través de nuestro proceso de aprobación, ahora los bloqueamos. Pero eso es mucha conversación con el liderazgo primero. Y alineación con lo académico. Porque quizás descubras una aplicación realmente buena, pero no está aprobada. Muy bien, hagamos que lo aprueben porque en realidad necesitamos usarlo, porque tiene valor. Ese aspecto de la comunicación y la alineación entre lo académico y la tecnología. Pero adoptamos un enfoque de bloque para proteger a la organización, por muchas razones. No, y no solo desde una perspectiva cibernética, su gobierno, política, privacidad, preocupaciones de datos. Pero, tienes que tener el apoyo del liderazgo, para poder hacer eso primero. 

33:47 

Sí, ese es realmente un buen punto sobre el apoyo de liderazgo y muchas conversaciones para llegar a ese punto, pero tener la visibilidad de todas las aplicaciones y herramientas que se usan en todo el distrito probablemente sea el primer paso, si no lo tienes. . 

34:04 

¿Cómo obtienes eso? 

34:06 

Sí, sí, tengo que tener la visibilidad primero. Y entonces usted puede tener la conversación. O tenga las conversaciones de, hemos agregado la visibilidad, estas son las razones por las que necesitamos esta visibilidad. Y, dije, hay una perspectiva de costos en esto. 

34:20 

Desde el punto de vista de la financiación, la duplicación de la adaptación, las preocupaciones sobre la privacidad, la gobernanza y luego la cibernética, esos son los temas de inicio de la conversación. 

34:29 

Si empiezas en esa dirección y luego te das cuenta, ¿cómo lo resuelves? No lo sabía. ¿Cómo te identificas? ¿Qué tengo que hacer para poder descubrir esas cosas? 

34:38 

Solo le diré a la audiencia, lo hemos intentado y solo tomamos unos 45 minutos de su tiempo a través de estos seminarios web, por lo que queremos que obtenga respuestas a sus preguntas. Y si hay algún tema que no hemos cubierto que es quemando y realmente necesita algunos recursos internos, escríbalos ahora. 

34:58 

Hemos estado respondiendo preguntas en todo momento, así que ahora, con suerte, estamos llegando a algunas de ellas. 

35:04 

Hubo uno, Troy, que también llegó un poco antes. 

35:07 

Y esto probablemente fue pertinente a la respuesta anterior que tuviste, pero estaba alrededor, ¿con qué frecuencia rotas o volteas tus boletos, KGBT? 

35:22 

Así que es una gran pregunta, pero no la responderé públicamente. 

35:32 

Si quieren comunicarse directamente, podemos hablar sobre algunas de las políticas y cosas que hacemos internamente. 

35:39 

Eso es un gran problema, pero sí. Hay ciertas cosas que no diré públicamente. 

35:46 

Excelente. Eso es un movimiento inteligente. 

35:49 

Sí, solo que no hago códigos QR en las conferencias. 

35:54 

Sé que hemos hablado de esto de un par de maneras diferentes, pero una u otra, una de las otras preguntas que teníamos, hemos hablado sobre soluciones técnicas, pero, de hecho, hemos cubierto algunas de este. 

36:07 

Pero, ¿hay otras protecciones que los distritos puedan implementar para mantener seguros sus sistemas, y tal vez se trata de no compartir algunas cosas públicamente? 

36:18 

Sí. Quiero decir, digamos, internamente. Definitivamente deberíamos estar compartiendo. 

36:23 

Sí. Porque, quiero decir, volviendo a, deberíamos compartir con nuestros distritos escolares vecinos lo que estamos haciendo. Porque estamos en la misma lucha, y podemos aprender unos de otros. Así que ahí está esa parte. Quiero decir, es volver a, ¿cuál es tu hoja de ruta? A donde quieres ir. Porque la confianza cero es lo siguiente. ¿Y cómo llegamos allí? 

36:39 

 Tenemos algunas herramientas para nosotros. Su vulnerabilidad fue diligente en la forma en que parcheamos nuestros sistemas, pero tenemos que identificar que tenemos herramientas internas y ayudar a identificar todas las vulnerabilidades. Y luego, volviendo a lo que John mencionó, Cyber Hygiene tiene servicios gratuitos, recibimos su informe semanal de nuestros escaneos de IP externos, hacemos su NDBR. Entonces, es bloque abierto, ver solicitudes del sistema, aunque tenemos nuestro asistente de herramientas internas; retrocede las capas. 

37:08 

Entonces, primero hay recursos gratuitos, hay tantas herramientas por ahí, es solo, ¿cuál es su prioridad? Fruta al alcance de la mano frente a las cosas técnicas complejas y el camino para llegar allí. Tienes que empezar con esos. Porque de lo contrario, podría intentar resolver un problema y causar otro problema. 

37:29 

También creo que varios estados tienen requisitos. Los distritos tienen que publicar todos sus proveedores en sus aplicaciones, en sus sitios web. Lo cual es una mina de oro para los malos actores. Como saben exactamente lo que estás usando, y ese es un lugar difícil, entiendo por qué las leyes son lo que son. Ciertamente queremos dar a nuestros padres esa visibilidad. 

37:50 

Por lo tanto, comparta toda la información que necesite compartir, para cumplir con la ley y todo eso, pero también comprenda qué información podría poner allí que puede ser muy dañina en manos de las personas equivocadas y luego elaborar ese mensaje en ese sitio web. . 

38:07 

Por lo tanto, informa a la comunidad de la manera en que necesitan estar informados, pero no brinda más información de la que necesita. 

38:21 

Una cosa más muy rápido, alrededor, y no es una herramienta, es la gente. Invierta en la capacitación de su gente, trayendo a todos a la mesa, todos involucrados. 

38:30 

Haga que los estudiantes se involucren allí, los niños que despiertan interés, los niños piensan diferente a nosotros. 

38:35 

Programas de pasantías, aproveche su capacidad intelectual. Porque dicen, definitivamente que lo hacemos como adultos, utilízalos a tu favor. Crea esto, esta tubería de talento interno. Dales su próxima oportunidad, ya sabes, dales a las personas la oportunidad de aprender, y lo que siempre le digo a mi equipo, mi trabajo es habilitar, empoderar y salir del camino. 

38:58 

Me encanta. 

39:00 

Sí. Eso es un gran. Les voy a pedir a cada uno de ustedes uno de sus recursos favoritos. Desde la perspectiva de la ciberseguridad. Podría ser una conferencia a la que asistas. Podría ser un sitio, un marco, que recomiende a la audiencia que visite. 

39:26 

Quiero decir, paso la mayor parte de la noche y los fines de semana leyendo artículos de LinkedIn porque hay una gran red de recursos. 

39:36 

Quiero decir, solo leyendo y escuchando, hay toneladas de suscripciones. MSISAC. tienes que suscribirte a los que tienen material fácil, material de referencia, conferencias, vamos a eso el próximo año como grupo. 

39:49 

Hay algunas cosas sobre esa parte, pero también es ¿qué local? Organice su propio evento. Asociarse con las escuelas y las oportunidades internas de aprendizaje, pero no tengo un favorito principal, solo soy, cualquier recurso o información que esté disponible, que pueda encontrar y leer. Paso mucho de mi tiempo. 

40:07 

Si. 

40:08 

Creo que una gran elección, LinkedIn, es ese fabuloso recurso. Es fácil unirse a los grupos de seguridad cibernética, que mejor se alinean con lo que desea, y luego le envían información, y puede obtenerla regularmente y luego usarla para ir a otra parte. Creo que, si alguien está comenzando su viaje, probablemente mi recurso favorito sea CISA y los marcos de ciberseguridad y privacidad. 

40:35 

Porque esta es una gran comunidad que se unió y trató de establecer un plan, que casi cualquier organización puede seguir, y establece esa hoja de ruta sobre dónde comenzar y cómo seguirlo. Entonces, para cualquiera que sea nuevo, recomiendo encarecidamente que consulte CISA. también hacen un gran trabajo al mantener actualizadas las vulnerabilidades y los parches. 

41:03 

Excelente. Gracias. que esos eran buenos. Esos son buenos recursos. Y Troy dice que es posible que deba volver a escuchar esto. Pero es una pregunta final, y diré, si hay alguna pregunta final, simplemente escríbala. Pero gracias, para aquellos de ustedes que han hecho varias preguntas hoy. Ha sido genial. 

41:25 

Pero, ¿tiene alguna predicción sobre tendencias, sobre ciberseguridad para la educación? 

41:30 

Cualquier cosa que veas venir en el futuro en los próximos años, o cosas que hayas oído sobre empezar a pensar. 

La ley de ciberseguridad que Biden acaba de aprobar recientemente a nivel federal. Y hace el nivel estatal, luego harán el nivel del distrito escolar. 

41:53 

Sabes que estas cosas llegarán, por supuesto, para cuando lleguen a nosotros estarán obsoletas, pero, quiero decir, todo el asunto de la privacidad, los estados son apasionantes. Todo el RGPD, está llegando, así que, ¿cómo te adelantas? Tienes que mirar esas cosas, esas son las tendencias que están por venir. 

42:10 

Y es, Privacidad, privacidad, privacidad. Siempre es un objetivo en evolución, pero dije. Y entonces, ¿qué está haciendo tu estado? Porque no sabes lo que hace el Estado, así que tienes que hacer un seguimiento con ellos y tener esas interacciones. Pero, todo el RGPD relevante para los EE. UU. está en camino. 

42:26 

Y luego, la herramienta obligatoria, de toda esa parte, depende de qué organización y entidad a nivel de gobierno participe. Que mal va. 

42:35 

Entonces, no espere que ellos hagan las cosas, solo tiene que innovar usted mismo lo que es mejor para su distrito. 

42:42 

Sí, genial. John, ¿algo último, alguna última cosa para agregar allí? 

42:47 

Para que la gente piense en la seguridad aquí, lo único en lo que dejaría a la gente pensando es que tenemos esta imagen de la sudadera con capucha negra, realmente no puede ver la cara, sentada detrás de una computadora pirateando. Y aunque esa es una buena imagen y se imprime muy bien en una camiseta, la realidad actual es que los ciberdelincuentes se han organizado de manera muy eficiente. Y tienen un soporte de nivel uno que trata de obtener los recursos, y luego lo escalan a un nivel dos, que tiene más habilidades para pasar al siguiente nivel. Y luego escalan a un nivel tres, que realmente sabe cómo entrar y entrar en las cosas. 

43:26 

Entonces, creo que la clave aquí es que las personas se den cuenta de que los ataques cibernéticos en las escuelas probablemente aumentarán en los próximos años a un ritmo exponencial solo porque son objetivos valiosos y lo que han hecho es que realmente se han organizado para Aprovechar. 

43:49 

Absolutamente. 

43:50 

Todos, entonces, sigan trabajando, sigan trabajando hacia un mejor perfil de ciberseguridad. 

43:56 

OK, bien, vamos a terminar ahí, Troy y John, muchas gracias por su tiempo hoy, lo apreciamos. Y a los miembros de la audiencia, gracias por acompañarnos. 

44:08 

En Lightspeed Systems tenemos formas en las que puede ayudar, en las que podemos ayudarlo en este viaje, y nos encantaría que responda la encuesta que aparecerá después. También obtendrá una grabación de esto, para que pueda compartirlo con otros en sus equipos si lo encuentra valioso. Y también, le diría que no dude en descargar nuestra guía de ciberseguridad. Es un muy buen tutorial de las diferentes capas de defensa y las cosas que se deben observar. Pero, de nuevo, gracias por su tiempo y que tenga un gran, gran día.