A medida que las universidades expanden sus funciones más allá de la enseñanza, también aumenta la dependencia de sistemas digitales y, con ello, los riesgos asociados a la ciberseguridad.
Un reporte de EDUCAUSE informa que muchas instituciones educativas aún gestionan la ciberseguridad con enfoques que no reflejan el actual panorama de amenazas ni la creciente complejidad de las operaciones digitales.
La autora, Elizabeth Cole-Walker, especialista en seguridad de la información en la North Carolina State University, sostiene que la ciberseguridad en la educación superior debe alinearse con los objetivos estratégicos de las instituciones y adaptarse a la evolución de su misión.
Según el análisis, históricamente la misión principal de la educación superior fue la formación de estudiantes. Sin embargo, hoy las universidades también cumplen funciones vinculadas a la investigación, la extensión, los servicios de salud y la transferencia de conocimiento, actividades que dependen de infraestructuras tecnológicas complejas.
En ese contexto, Cole-Walker señala que muchas instituciones continúan tratando la ciberseguridad como una función exclusivamente tecnológica. Ante esto, sostiene que esta perspectiva puede limitar la capacidad institucional para gestionar riesgos y proteger sus activos digitales.
Un ecosistema que atraviesa toda la institución
El análisis de la experta propone entender la ciberseguridad como un ecosistema institucional que conecta tres áreas funcionales principales: negocio institucional, tecnología y gestión de riesgos y seguridad.
La primera incluye actividades centrales de la universidad como la investigación, los programas académicos, los servicios estudiantiles, las alianzas externas y la gestión financiera. Estas áreas definen las prioridades estratégicas de la institución y los niveles de riesgo aceptables.
La segunda corresponde al ámbito tecnológico, generalmente liderado por el Chief Information Officer (CIO), e incluye infraestructura digital, arquitectura tecnológica, servicios informáticos e iniciativas de respuesta a incidentes.
La tercera área abarca las funciones de riesgo y seguridad, que pueden incluir auditoría interna, seguridad física, seguridad de la información, gestión de riesgos con terceros, continuidad operativa y seguridad en la investigación.
Según el análisis, en muchas universidades estas funciones se encuentran distribuidas entre distintos departamentos o concentradas en el área de tecnología, lo que puede generar dificultades de coordinación y vacíos en la gestión de riesgos.
La especialista también señala que algunas instituciones están revisando sus modelos de gobernanza para fortalecer la función de seguridad, incluyendo estructuras en las que el Chief Information Security Officer (CISO) tiene un rol equivalente al de otros líderes institucionales.
Para Cole-Walker, abordar la ciberseguridad desde equipos interfuncionales y con una planificación estratégica coordinada es clave para que las universidades puedan proteger sus sistemas, responder a incidentes y sostener sus actividades académicas en un entorno digital cada vez más interconectado.
En esta línea, plantea, las instituciones de educación superior deberán integrar la ciberseguridad en su planificación estratégica y fortalecer la colaboración entre áreas si buscan operar de forma segura y resiliente en el actual ecosistema digital.
