No es ningún secreto que el sistema educativo está luchando por adaptarse a los nuevos riesgos digitales que vienen con su cambio apresurado a lo digital forzado por la pandemia. Pero es algo a lo que los legisladores apenas están comenzando a darse cuenta.
Apenas la semana pasada, la directora de la Agencia de Seguridad de Infraestructura y Ciberseguridad, Jen Easterly, incluyó a K-12 como uno de los tres “objetivo rico, recursos pobres” sectores prioritarios para la agencia, que tiene la tarea de fortalecer la infraestructura de ciberseguridad del país.
En el trasfondo del comentario de Easterly se avecinaba un ataque de la "pandilla de ransomware" educativa. Vice Sociedad, que se infiltró en los sistemas del Distrito Escolar Unificado de Los Ángeles, recopiló algunos de los datos de los estudiantes y el personal, y luego descargó 500 GB de archivos en la web oscura a principios de octubre después de que el sistema escolar se negara a pagar un rescate no especificado.
Pero no son solo las escuelas las que son objetivos fáciles: los piratas informáticos también han atacado a los proveedores de edtech con los que trabajan las escuelas, en particular Illuminate Education, donde un incumplimiento a principios de este año expuso los datos de millones de estudiantes en todo el país.
Tales incidentes terminan causando gran gasto y pérdida de aprendizaje para los estudiantes que ya están estresados, ya que las escuelas tienen que cerrar herramientas tecnológicas críticas mientras investigan y refuerzan los sistemas.
¿Qué es lo siguiente?
Los legisladores han estado tomando nota, lo que ha resultado en un fuerte aumento en las facturas relacionadas con los datos que afectan a la educación desde el inicio de la pandemia de COVID-19. Pero aún no está claro qué tan efectivas serán las nuevas medidas legislativas para resolver estos problemas enredados, que están conectados con el funcionamiento interno de nuestra infraestructura digital.
Una nueva revisión anual realizada por el grupo de defensa sin fines de lucro Data Quality Campaign analizó la nueva legislación para ver qué hay de nuevo y si se está moviendo en la dirección correcta. Ellos encontraron que este año se presentaron 131 proyectos de ley relacionados con datos educativos, y 42 de ellos se convirtieron en nuevas leyes. Esas leyes cubren todo el espectro, desde la primera infancia hasta cuestiones laborales.
Entonces, ¿qué tan efectivos son esos proyectos de ley? Si le pregunta a la organización sin fines de lucro, le darán una "B".
“Creo que, en general, las cosas van bastante bien”, dice Taryn Hochleitner, directora asociada de políticas y defensa de la Campaña de calidad de datos. “Creo que la mayoría de los [proyectos de ley] que vemos podrían tener mucho impacto o no, dependiendo de cómo se implementen”.
¿Qué hay en las facturas?
La multitud de proyectos de ley de este año indica el deseo de saber más sobre los entornos de aprendizaje de los estudiantes de K-12, incluidos los que están fuera del ámbito académico, dice la Campaña de calidad de datos.
Eso significa que muchos proyectos de ley ponen un mayor énfasis en conocer el ambiente escolar, la asistencia y la disciplina. Por ejemplo: New Jersey pasó un proyecto de ley que hace que las escuelas informen sobre la cantidad de profesionales de salud mental que tienen, así como cuánto personal de seguridad emplean.
Pero los proyectos de ley también han reflejado otra gran tendencia en la educación: preocupaciones sobre la fuerza laboral.
Con los estudiantes cuestionando el rendimiento de su educación, los legisladores se apresuran a brindar más información sobre lo que sucede después de la escuela secundaria, incluso una factura en Virginia que publica información sobre los salarios medios de los graduados universitarios y el costo promedio de asistencia.
¿La tendencia más alentadora? Se requiere que las agencias hablen más entre sí y compartan datos.
Uno de los problemas más complicados es lograr que las agencias y los distritos compartan información, lo que, según algunos observadores, podría ayudar a frustrar las pandillas de piratas informáticos que tienden a reciclar los mismos ataques. Aunque no pasó, Alabama introdujo una ley, elogiado por Hochleitner, que habría llevado a miembros del público y estudiantes a tomar decisiones sobre cómo se recopilan y utilizan los datos.
Los proyectos de ley también reflejan un nuevo énfasis en involucrar a la comunidad en la toma de decisiones. “Nos alienta mucho ver que hubo un enfoque bastante claro en las audiencias de datos que no son responsables de formular políticas”, dice Hochleitner.
Aun así, las políticas por sí solas no son suficientes. Más de un tercio de los proyectos de ley agregan responsabilidades adicionales para los distritos, escuelas o instituciones postsecundarias, dice el informe de DQC. Pero es mucho más raro que esos proyectos de ley le den a las escuelas más recursos para implementar esas políticas. “Así que siempre queremos que los legisladores piensen en brindar apoyo a esa capacidad, porque los datos requieren personas”, dice Hochleitner.
'Tarros de miel de información altamente sensible'
Pero, ¿toda esta legislación está preparada para resolver los problemas de datos en la educación en este momento?
Los formuladores de políticas apenas comienzan a abrir los ojos a la magnitud de las vulnerabilidades de la seguridad cibernética en las escuelas, dice una de las voces más destacadas en este espacio, Doug Levin, director nacional de K-12 Security Information Exchange, una comunidad sin fines de lucro que comparte inteligencia sobre amenazas y mejores prácticas. .
A menudo hay un enfoque demasiado estrecho en los problemas de privacidad de datos, sugiere Hochleitner de Data Quality Campaign. Esos proyectos de ley amplían cosas como los requisitos para el consentimiento de los padres sobre la recopilación de datos. Pero ese tipo de políticas pueden interferir con la capacidad de las escuelas para brindar servicios esenciales. Sin embargo, hasta ahora, ninguno de estos proyectos de ley de "consentimiento de los padres" demasiado amplios presentados este año se convirtió en ley.
Los distritos escolares, y los maestros, son los que realmente usan los datos, dice Cody Venzke, asesor principal del Proyecto de Equidad en Tecnología Cívica del Centro para la Democracia en Tecnología. Y eso significa que cualquier legislación tiene que caminar entre la protección de la privacidad de los estudiantes y permitir que las escuelas realicen los servicios necesarios, dice.
Una de las soluciones que defiende el DQC son las nuevas medidas de recopilación de datos por parte de los estados. La organización sin fines de lucro señala que muchas de las últimas medidas legislativas adoptan este enfoque, y 120 de los proyectos de ley especifican nuevas recopilaciones de datos o actualizaciones de las existentes.
Pero a los investigadores como Levin les preocupa que la acumulación de tal cantidad de datos sea parte del problema en primer lugar. Los departamentos estatales de educación son blancos gordos, que históricamente no han sido capaces de proteger los datos, el argumenta.
“En un país cada vez más politizado, la creación de estos, esencialmente, tarros de miel de información altamente confidencial sobre los miembros de la comunidad escolar (estudiantes, maestros, padres, familias, educadores) está casi garantizado que será explotada en algún momento para beneficio personal o político. ”, dice Levin.
Y existe la posibilidad de que los funcionarios hagan un mal uso de los datos. la organización de Venzke, CDT, publicó un informe en agosto sugiriendo que los distritos están usando datos para disciplinar a los estudiantes con más frecuencia que para mantenerlos seguros. Después de Roe, los senadores Elizabeth Warren y Edward Markey, de Massachusetts, sugirieron que los datos recopilados por al menos cuatro plataformas de vigilancia estudiantil —Gaggle, Bark Technologies, GoGuardian y Securly—plausiblemente podría usarse para castigar a los estudiantes que buscan información sobre el cuidado reproductivo.
Para Levin, este es un problema que las agencias educativas, especialmente las escuelas K-12, deben abordar, a pesar de que sus recursos ya están al límite. “Esto no es algo de lo que alguien más los vaya a proteger”, agrega. “No existe un policía de Internet que proteja los sistemas de datos de los estudiantes que esté separado de lo que están haciendo las escuelas”.
Pero hay lecciones de otros sectores que se pueden aprender, dice.
Los acuerdos de divulgación son un buen comienzo, indica. Por ejemplo: California acaba de pasar para facturar exigir a los estados que informen los incidentes que afecten a más de 500 estudiantes. Y, en última instancia, las recopilaciones de datos a nivel estatal y regional deben adoptar un "marco de gestión de riesgos de ciberseguridad", que son enfoques para manejar los riesgos de ciberseguridad. Existen varias nacionalidades reconocidas, él añade.
