规模较大的企业有足够的资源,不仅提供在数字时代成长所需要的技术,但他们也有预算和人力来构建安全企业整体生态系统。
K-12教育部门有办法做到这一点吗?随着科技在公立学校的应用越来越普遍,收集更多数据是否会潜在地增加K-12教育部门的网络安全风险?
今年秋天早些时候,数据创新中心发布了一份报告,在美国建立一个数据驱动的教育体系,雷竞技比分在他们说教师的93%经常使用数字工具来帮助一些能力的课堂教学。
研究人员希望利用这些数据来改变教育;然而,这些利用数据收集来推进公共教育的逐步升级的计划引发了对学校风险的质疑。
全球安全情报公司Nuix USG的高级副总裁基思·劳里(Keith Lowry)说,“K-12在州和地方一级运行,他们将各自负责保护这些基础设施。”
谁那么,在国家和地方层面,是关于教育保障的思考?“总体而言,”洛瑞说,“大多数人都和机构,包括政府机构要么视而不见,或尚未在出现这种情况是在我们在我们的数字世界的家门口的巨大威胁,技术上调整。”
安全始于管理者和领导者。之前学校开始收集学生这无数的数据,就必须花费一定的时间和写入政策和工作的过程和程序,以计划的攻击,但他们为时已晚?
现实情况是,学校不是在没有数据的情况下运行的。
丹尼尔·卡斯特罗,主任,中心数据创新,他说,在某些方面对教育的挑战不是来自你在其他行业看到什么太大的不同。“我们知道有很多的最佳做法,从思考身份验证漏洞测试,但学区没有拥有所有的专业知识。”
〔也可CSO:学校会跟踪学生的网上行为,但家长们知道吗?]
除了云服务,卡斯特罗说,很多安全将来自供应商自己。卡斯特罗说:“学校、学区、合作伙伴和州政府可以对不同的供应商进行监督,这样当系统存在安全漏洞时,它们就会被发现并广泛传播。”
Being able to differentiate between secure and insecure products and having model clauses for cloud computing within the education sector are other ways to think about risk, said Castro, but "The solution can’t be each school needs to do X, Y, and Z. It has to be looking at how do you get vendors to secure the quality of their products?"
为供应商创建一个认证系统,以确保广泛的安全承诺,并让业界同意同样的做法是另一个解决方案,卡斯特罗说,可能会取得巨大成功。
丹尼尔·卡斯特罗,主任,中心数据创新
卡斯特罗说:“这种情况有可能使教育达到一个更好的水平。”“另一个挑战是认证,这也超出了教育的范畴。没有它,您在安全方面就无法做很多事情。对于美国能否解决这个问题,我并不十分乐观,但学校可以施加更大压力来解决这些挑战。”
卡内基学习中心的首席产品架构师Steve Ritter说,不幸的是,法规并没有跟上技术的步伐。“FERPA是一个非常古老的法律。即使是最善意的人也很难绘制地图。它的模式是学校向第三方提供数据,但学校没有数据,并决定将其发送给供应商,”里特说。
两种潜在的问题,包括技术的安全性和加密,使数据不加密发送的标准做法。还有一般的隐私保护。
制定一个通用的标准围绕数据是如何收集的,它是用来做什么用途,与谁是共享的,它是如何存储,因为似乎有过一些矛盾如何消除将有助于使每个人都在同一页什么样的数据具有最大的价值。
瑞特说,最佳实践的经验法则是:“不要收集任何你不需要的信息。你不需要知道性别、种族,或者学生是否有资格享受免费或减价午餐。这只是一个要小心的问题。如果你被黑了,后果应该尽可能的小。”
Koedinger, professor in the Human-Computer Interaction Institute at Carnegie Mellon's School of Computer Science said, "If vendors are using the data to improve the curriculum, they don’t need to know who the students are. If the data is vigorously de-identified, eliminating record and demographic information, we might not have so much to worry about."
Steve Ritter, Carnegie Learning的首席产品架构师
在另一方面,在卡普兰,BR或Saxberg首席学习官,说,“有办法做到的大型数据集的丰富的分析了匿名处理,并同时做了一些非常有价值的工作,这可能会导致你了解学生也保护身份如何个性化,但如果我们的目标是去标识数据,则不会收集数据“。
到地址问题的一种方式是作为风险去越高,获得更高度的限制。“我们有K-12学生互动,任何人都可以访问,因为他们是如此去标识的公共数据集,” Koedinger说。
据Koedinger,教育国家科学院正开始对这些谈话,但需要有某种方式得到了这个词来学校,他们应该把压力对开发商和供应商。
“学校应,要求安全性。一所学校可以说给供应商‘我们将使用你的产品,但前提是你保证你保持数据是完全去鉴定’,” Koedinger说。
拥有清晰的数据治理策略,为数据的可靠使用建立过程,将有助于降低风险。Saxberg说:“确保你清楚人们有什么权限查看、分析和下载数据,这样人们就不会把各种数据放到不该放的地方。”
风险在于,人们做着对自己来说很方便的事情,却把东西放在不该放的地方。Saxberg说:“有很多层面的数据安全思考是所有教育工作者都应该思考和敏感的,但很多人并没有考虑负责任地使用数据。”
里特说,就像大多数行业一样,大多数人直到遇到问题时才会考虑安全问题。“那些在安全方面做得不错的教育工作者正在询问有关数据隐私和安全的细节。他们想知道供应商是如何收集和存储数据的,他们纠正数据的策略是什么,以及他们是否有违约响应策略?”
在这一点上,绝大多数学校已经开始运作,并收集了大量的数据,因此不可能完全停止制定政策和程序。我们所能做的就是牢记安全措施,并在发生重大事故前采取预防措施。
这个故事,“在学校里保护更多的隐私”最初是由CSO 。