Ir al contenido 
El tema de hoy es las seguridad, muchas veces menospreciada por nuestro ritmo de trabajo del día a día, pero infinitamente importante como vamos a descubrir hoy aquí.
Uno de los aspectos que debería importarnos tanto como la captación de alumnos, creación de contenidos formativos o, inclusive, la gestión de los pagos como vimos en el anterior capítulo, es proteger todo nuestro ecosistema y, obviamente, demostrar objetivamente que lo hacemos.
Ganaremos confianza entre nuestros seguidores por el hecho de de ofrecerles un entorno digital de formación protegido donde sus datos, tanto personales como de participación, están bien custodiados.
A lo largo del capítulo de hoy descubriremos aspectos de seguridad activa y pasiva con lo que asegurar la estabilidad. No solo de nuestras plataformas de e-learning, si no también de nuestro negocio.
Cuando sufrimos un ataque informático debemos de tener las espaldas bien guardadas y proteger nuestro medio de vida profesional.
Empecemos hablando sobre qué métodos seguros debemos considerar y en qué situaciones aplicaremos.
Seguridad. Aspectos con sentido común
Securizar es nuestra misión en todo lo relativo a accesos a la plataforma, vulneración de los datos que almacenemos y, por supuesto, proteger el momento de hacer los pagos de nuestros alumnos virtuales.
Porque desde fuera nos tienen que percibir como la solución de aprendizaje segura y tenemos que demostrarles a nuestros estudiantes que sus datos estarán a buen recaudo, durante el pago y la posterior utilización de la herramienta online que ponemos a su disposición.
Si lo recordáis, hace algunos capítulos hablamos sobre los los certificados de seguridad SSL y la importancia de cifrar las conexiones entre el usuario y el servidor.
Esto mejora la seguridad real y la perceptiva de los alumnos potenciales que se interesen en nuestras soluciones de formación online y nos contraten a través de nuestra plataforma de pago digital.
Hoy vamos a hacer un pequeño resumen de los aspectos más relevantes que deberíamos considerar, pero en futuros capítulos del podcast ampliaremos con mayor detalle y buenas prácticas para que la seguridad deje de ser algo abstracto para nosotros.
Y dicho esto, hablemos de cuanto estamos expuestos diariamente a fallos de seguridad y vulnerabilidades en Internet, por lo que blindar nuestra plataforma de e-learning será uno de nuestros principales cometidos del día a día.
¿Por que es importante seguir buenas prácticas a diario en seguridad?
Principalmente, porque hay dos tipos de mecanismos que fortalecen la estabilidad de nuestro proyecto de formación online y hay que ser tenaces en estos asuntos para beneficiarnos de la tranquilidad.
- Seguridad activa: Aquella que impide que nos ataquen de alguna manera.
- Seguridad pasiva: La que nos ayuda a reestablecernos cuando el caos ocurre.
¿Cómo aplicamos la seguridad activa?
Principalmente es usar el sentido común en muchos aspecto como vamos a ver a continuación.
Primero, empecemos hablando de uno de los elementos en seguridad que más importante debería de considerarse pero que, por razones de comodidad, se suele menospreciar muy amenudo.
Contraseñas robustas e infranqueables
La fortaleza de nuestras contraseñas y los requerimientos mínimos que deben tener para nosotros y nuestros estudiantes.
Seguro que conocéis de muchos usuarios que utilizan como passwords fechas de nacimiento o palabras sencillas de recordar que les hacen un flaco favor para protegerse.
Evitar todo esto simplemente aumentando la longitud y complejidad con números, caracteres especiales (*,#,$,€….), mayúsculas y, por supuesto, nada de tomar algo personal como el nombre de un hijo o la matricula del coche como base para construirla.
Para los alumnos de nuestro campus virtual, podemos pensar en aplicar estos condicionantes anteriores al momento de su registro. Podéis establecer, por ejemplo, que no indiquen menos de 7 caracteres para impedir que pongan su fecha de nacimiento.
Si os apetece probar la fortaleza de vuestras contraseñas, en esta herramienta del fabricante del antivirus Kaspersky lo podréis hacer y así os haréis una idea de lo que tardarían en piratearlas.
Como consejo para los que somos administradores de campus y plataformas e-learning, sencillamente y unido a todo esto es que cambiéis vuestras contraseñas cada cierto tiempo. No todas las semanas, pero si cada 3 meses, por ejemplo.
Autenticación de dos factores
Otro de los aspectos a considerar y que podría ser estudiado para cada caso es la autenticación de dos factores.
Básicamente es como tener una doble cerradura para entrar en nuestras casas.
Es cierto, muchos usuarios utilizan la misma contraseña para todos o, casi todos, los accesos a servicios de Internet, como el correo electrónico o la cuenta en Amazon.
Además, no suelen escogerse passwords fuertes y esto puede implicar un riesgo para nuestro alumno y un posible quebradero para nuestro proyecto.
Considerar que el ordenador del alumno puede estar infectado por un virus que captura sus contraseñas o que un buen día accede al campus virtual desde una red wifi abierta en una cafetería. Todo esto entraña un gran riesgo y deberíamos siempre considerarlo.
Para reforzar la seguridad, cuando un usuario se autentifica en nuestra plataforma e-learning, se puede implementar un sistema de dos factores que, además de validar la contraseña introducida, envíe un email o un sms con un código de validez temporal. En ocasiones, con una media hora de duración.
Ese código recibido, se utilizará para introducirlo adicionalmente a nuestras credenciales en la plataforma.
Este método no es infalible pero reduce las posibilidades de apropiación de la cuenta de usuario porque es más complicado el que también se acceda a una cuenta de email o se robe un teléfono móvil, por ejemplo.
Plataformas vinculadas con acceso datos económicos como Apple o eBay lo utilizan.
Además, plataformas como Facebook o Gmail tiene diferentes mecanismos de dos factores que son activados automáticamente cuando sospecha que se está utilizando la cuenta de un usuario de manera fraudulenta.
Privilegios de control de acceso
Algo que puede sonar demasiado irrisorio son los permisos que les otorgamos a los demás usuarios, no solo a los alumnos, también podría ser a otros participantes que formen parte de nuestro proyecto como auditores, dinamizadores, tutores u otros profesores.
Nosotros como administradores les permitimos el acceso a la plataforma, pero tenemos que asegurarnos de que sus cuentas de usuario no le otorguen más de los privilegios que consideramos.
Nada de permisos especiales, si no es vitalmente necesario. Y, por supuesto, nada de permitir gestionar aspectos de la configuración o acceso al servidor.
Es preferible revisar cada rol de usuario, haciendo una simulación para descubrir donde tenemos acceso y no donde no.
Podríamos ahorrarnos alguna sorpresa como descubrir que los alumnos pueden ver información personal de otros participantes. Solo con esto estaríamos vulnerando leyes de privacidad y nosotros seríamos responsables legales de todo esto.
Actualizaciones periódicas
Otro aspecto importante es la actualización del sistema en los entornos de aprendizaje es algo fundamental para mantener la seguridad.
Muchas aplicaciones CMS y LMS de código abierto como Wordpress, Moodle o Chamilo publican parches y actualizaciones periódicas con las que fortalecer la seguridad y mejorar la compatibilidad de las plataformas online.
Esto hay que llevarlo al día. Aunque un consejo que os podemos dar es el de no actualizar inmediatamente y esperar unos pocos días para verificar que el resto de personas que utilizan las mismas herramientas no hayan detectado problemas e incompatibilidades con la última actualización publicada.
Peligrosas configuraciones por defecto
Por otra parte, es muy aconsejable no dejar, cuando utilizamos soluciones Open Source, los parámetros de instalación y configuración que vengan por defecto.
Les estaríamos dando a los piratas virtuales la oportunidad de aprovecharse de la información pública y atacarnos de una manera más comoda.
Evitar dejar el acceso original al panel de control de vuestra plataforma. Cambiarlo por otra ruta que sólo vosotros conozcáis. No instaléis la base de datos sin cambiar el prefijo de las tablas, impedir que cualquiera pueda conectarse remotamente a ella.
Estos son consejos muy prácticos que ampliaremos en futuros capítulos con casos aplicables a las plataformas más conocidas, que a la par son las más atacadas.
Esto es normal. Siempre los ámbitos más relevantes atraen a las personas que dedican su tiempo a aprovecharse del esfuerzo de los demás. Pensarlo de cualquier aspecto de nuestra vida cotidiana.
Encriptando la comunicación
Finalmente y como recordatorio, considerar el uso de certificados SSL como ya os comentamos antes y en el episodio 15 del podcast. Es algo muy relevante a tener en cuenta. Dadle un vistazo al capítulo y sacar vuestras conclusiones. Merece la pena, sin duda.
¡La seguridad pasiva al rescate!
Cuando un terremoto y una ciclogénesis explosiva pasa por nuestra casa virtual no nos deja indiferentes, ¿verdad?
Cuando hemos perdido horas de trabajo. Esfuerzo que nos hizo sudar y sólo nos compensaba nuestra motivación. ¿Qué hacemos ahora? ¿Cerramos?
Hemos perdido todo lo perdible porque unas personas han querido demostrar su conocimiento sobre nuestro campus virtual, web o plataforma online.
No, no penséis en lo que váis a hacer entonces, pensar en lo que váis a hacer ahora para que, si esto sucede, tengáis todo preparado para recuperaros rápidamente y corregir las causas que facilitaron el problema.
No tiene porque ser un problema de vulnerabilidad en nuestra plataforma digital lo que ha provocado todo esto. Puede ser que hemos sido descuidados escogiendo nuestra contraseña, tal vez teníamos un virus en nuestro ordenador que la robó o simplemente que accedimos desde una red wifi abierta y nosotros no teníamos nuestra conexión cifrada con un certificado SSL.
Lo primero es buscar las causas, posteriormente corregirlas y finalmente recuperar nuestro sistema de formación online o lo que haya sido atacado en nuestro caso.
Si restablecemos de inmediato, corremos el riesgo de que nos vuelvan a tumbar todo de nuevo. No merece la pena exponernos tan débilmente de nuevo.
Por tanto, queda claro que debemos respaldar diariamente nuestras plataformas haciendo copias de seguridad en un lugar externo a su emplazamiento habitual.
Podemos copiarlas a otro servidor, descargarlas a un ordenador que sólo usemos para estas cuestiones o contratar un servicio de backups con alguna empresa que preste ese servicio.
Soluciones hay muchas, pero hay que decidir con sentido común. La prevención es la mejor protección, sin duda.
Hablar con vuestro proveedor de hosting para disponer de un servicio de backup diario, al menos. Y nunca hagáis copias de seguridad dentro del mismo entorno. Es mejor utilizar otro servidor o inclusive bajar los ficheros al ordenador.
Y con esto acabamos por hoy. ¿Os gustaría que habláramos más extendidamente de algún punto mencionado?
Estáis invitados a dejar vuestras opiniones, casos personales, dudas e invitaciones a un café 😉