Resumen

Introducción Las plataformas educativas son útiles para docentes y estudiantes pues facilitan el interactuar en un ambiente pedagógico mediado por tecnologías que fortalece los procesos de enseñanza y aprendizaje. Sin embargo, un estudio exploratorio realizado evidencia que se han implementado en las instituciones educativas, sin contemplar aspectos adecuados de seguridad lo que causa que los cursos virtuales con toda la información que albergan, estén expuestas a ataques cibernéticos, siendo indispensable la protección de estos recursos educativos.

Objetivos Proponer buenas prácticas de ciberseguridad para el control de una plataforma educativa.

Método Para el desarrollo de la propuesta, se utilizó como entorno una institución educativa de la provincia de Tungurahua-Ecuador, se aplicó una metodología para la gestión de riesgos de ciberseguridad propuesta por Morales & Medina (2021), que comprende desde la definición de objetivos de ciberseguridad, la identificación de la infraestructura tecnológica a proteger, el analizar las vulnerabilidades y los riesgos, establecer controles y salvaguardas; se trabajó con una muestra de 108 estudiantes, 36 docentes y 8 técnicos del área de tecnología, se utilizaron como instrumentos entrevistas y encuestas para definir los aspectos importantes de seguridad en cada área, además de realizar pruebas de ciberseguridad con varias herramientas informáticas aplicadas sobre el entorno de Moodle, entre las que destacan Legion de Kali Linux, Sucuri, entre otras.

Principales resultados Un primer resultado es el análisis de la infraestructura tecnológica que es necesario proteger en el contexto de las plataformas educativas, obtenida a partir del análisis y clasificación de los activos de información tomando como base la triada CID (confidencialidad, integridad y disponibilidad). En segunda instancia se obtuvo una clasificación de los incidentes de ciberseguridad más comunes con un análisis de frecuencia e impacto; en donde se obtuvieron las vulnerabilidades resultantes de las pruebas de hacking ético realizadas en relación a los activos de información. Una tercera parte comprende la generación de salvaguardas que se enfocan en mitigar los riesgos identificados. Finalmente se estructura un documento con buenas prácticas que parte de la definición de los objetivos de ciberseguridad, una política de seguridad interna, además de la implementación de controles y medidas seguridad que incluyen las salvaguardas definidas. La propuesta se valida mediante juicio de expertos con seis criterios de evaluación, referentes a Estructura, Nivel técnico, Vulnerabilidades, Controles, Salvaguardas y Pertinencia, obteniéndose un 95,53% de validez.

Conclusiones Es fundamental la aplicación de una metodología para la gestión de riesgos de ciberseguridad pues permite la identificación adecuada de vulnerabilidades, un análisis objetivo de los riesgos, valorar el posible impacto, pero al mismo tiempo establecer las medidas de seguridad para protección de los activos de información que se evidencia a través de un documento de buenas prácticas.