网信动态
网信动态
当前位置: 首页 > 网信动态 > 正文

EDUCAUSE 2022年度十大IT议题②:高校需应对网络安全新挑战

时间:2022-05-16

编者按

EDUCAUSE《2022年度十大IT议题:我们应有的高等教育》报告指出,要实现应有的高等教育目标,应从制定共同愿景和战略开始,进而构建以学生的成功为中心的可持续经营模式。我们将逐期刊载该报告,本期为第二期,主要介绍议题一和议题二。

01

网络无处不在!

我们准备好了吗?

开发相关流程和控制、增强学校基础设施及员工技能,以保障数据和软件供应链的完整性。

在全球范围内,网络安全威胁和网络安全事件正在不断增加;并且,用户和网络安全程序越来越难以识别和检测这些威胁和事件。一次网络安全事件可能导致学校名誉受损,学生失去受教育机会。无论是学校还是个人,经济和名誉都可能受到影响。

随着技术为高等教育院校开展核心业务提供更多的基础设施,建立流程、控制和培训,以确保这些基础IT产品的访问连续性和完整性,成为业务的关键所在。没有这一点,一个学校的运作可能会陷入停滞。

为了取得成功,学校不应该把网络安全仅仅视为一个技术问题。而应该将其作为学校的优先完成事项。网络安全不仅是学校内部,也是国家、地区和整个世界高等教育领域的团队工作。这个行业的所有人都需要共同努力来保护我们的大学。

“作为学校,为了最好地履行使命,我们愿意承担什么级别的风险水平?我们正在努力创造合适的技术环境来共享和访问数据。因此,我们需要更多的信息,并让更多的人掌握这些信息。同时,安全人员将会变得更加小心,因为人们在获取数据方面变得越来越聪明,我们无意中以不应该的方式共享数据的风险是真实存在且值得关注的。”明尼苏达州立大学校长罗恩·安德森(Ron Anderson)表示。

2022年的挑战

疫情和不断变化的技术架构正在使学校提供和确保供应链的能力变得复杂,而机构的基础设施非常依赖于供应链。此外,全球供应链的中断会产生深远的影响。例如,计算机运输短缺影响了计算设备、消费品、汽车、云计算等可用性。云计算供应商和学校都在努力获得新的有限资源。

根据研究,远程工作和在线/混合课程将在新冠疫情危机后继续存在。这意味着教职员工和学生在工作和学习中使用的学校设备或者个人设备也可能被家庭成员使用或用于个人用途。这两种情况都可能带来安全挑战。

硬件、软件、云和服务之间以及主要和次级供应商之间曾经有明确的区别,现在这些区别则变得模糊和重叠,以至于不再作为单独的类别进行区分。由此,我们提出了确定边界的问题和挑战,或者说,学校拥有和管理的技术基础设施的终点在哪里?

此外,学校内部运行的技术和外部供应商运行的技术之间的整合又进一步模糊了消费者责任和供应商责任之间的边界。这反过来又带来了一个挑战,即澄清哪些技术和数据内容可以且应该由学校、供应商或终端用户来保护,以及明确安全风险因素和责任的归属。有时,供应商的安全和隐私控制可能没有学校要求和意识到的那么严格。

如果学校的领导者在疫情期间尚未解决这些风险,他们需要在将来把网络安全政策、流程、培训和其他保护措施扩展到上述情况中。

EDUCAUSE高等教育社区供应商评估工具包EDUCAUSE Higher Education Community Vendor Assessment Toolkit等为整个教育行业开发的工具,有助于明确学校安全要求和供应商满足这些要求的能力。

对文化的影响

心态和行为都需要改变。学校的所有教职员工和学生都需要了解其网络安全责任,并适应(通常是法律规定的)学校控制和流程中引入的新的访问限制和访问权限。

最近发生的事件,包括燃气管道运营商(Colonial Pipeline)勒索软件攻击、高等教育行业勒索软件攻击、基于Accellion和SolarWinds公司软件的供应链攻击等事件在内,表明高校迫切需要在解决IT供应链完整性方面采取额外的措施。

在新环境里,这个复杂的IT生态系统中任何一点的可用性、完整性或保密性被破坏,都可能对系统里的其他方面产生意想不到的重大影响。

学校领导层需要意识到并采取行动支持采购部门、信息技术部门、网络安全部门和法律部门之间建立强有力的合作关系,以有效降低IT供应链的风险。

随着高等教育机构引入更保守的数据记录保留政策和流程,数据保存者和学校风险/法务管理者之间的冲突可能会加剧。那些能够为不同立场的数据保护方和隐私保护方构建合作关系的学校,将会更少看见这类文化冲突。

帮助学校员工取得成功

寻找和资助网络安全人员变得越来越困难,因为前疫情时代网络安全专业人员短缺的情况仍在继续,且疫情使得相关预算下降,这让学校难以负担合格的工作人员。负担都落到了现有员工身上,但他们已经筋疲力尽、工作过度。

然而,一些网络安全任务可以外包出去,以扩充员工并提升员工的专业技能。例如,学校可以聘请顾问来执行信息系统安全审计,找出不足,并与现有员工合作制定计划来确定不足之处的优先级并加以解决。

更好的方法是,如果学校的所有工作人员对安全事件如何发生以及如何预防安全事件有最新的了解,就可以共同减轻网络安全人员的运营负担,并更好地保护数据和隐私。

所需的技术和信息技术能力

补丁管理、端点检测和响应(EDR)、数据防泄漏(DLP)以及安全信息和事件管理(SIEM)等技术都很有用。不过,建立安全运营中心(SOC)比技术工具更重要,因为可以有合格的员工使用适当的工具并进行监控。

一旦学校投资了云计算解决方案,被学校领导者认为是内部的信息技术基础设施就会扩展到全球,并引入新的安全依赖性和风险。对云计算供应商的攻击可能会危及和破坏学校的服务和数据。学校需要的另一项能力是业务连续性,以帮助预测和解决此类问题。

转变高等教育

网络安全既昂贵又具有挑战性,而且正变得越来越贵,也越来越具有挑战性。学校之间可以通过合作管理网络安全来共享成本和专业知识,既能减轻单个学校的负担,又能提高各种规模学校的网络安全水平。我们已经看到高等教育领域朝着这个方向迈出的充满希望的步伐。

例如,在美国,北达科他州大学系统内的学校正在与北达科他州合作,与供应商合作伙伴共同努力,推出惠及所有人的项目。加州大学系统的学校正在共同努力,与一流的信息技术安全工具供应商建立合作协议。

在澳洲,高等教育机构正在和澳大利亚、新西兰政府结成区域伙伴关系,提供网络安全意识培训,并分担安全运营中心(SOC)的费用。

此外,学校需要更好地认识到并优先考虑将学生作为网络安全的主要利益相关者。当学生不理解其所在学校如何使用个人数据时,他们对这种使用的信任以及对学校如何保护个人数据的信心就会受到侵蚀。学生要求学校对其数据的安全性负责。

学校的领导者和网络安全专业人员除了需要关注学校,还需要关注学生。永远不要忽视数据或隐私泄露对学生造成的潜在的财务、声誉和心理健康影响,因为数据隐私泄漏可能发生在任何一个学生身上。

02

进化还是灭绝

加快数字化转型,以提高运营效率及灵活性,推动学校员工队伍发展。

无论我们喜欢与否,技术转型都会发生,而且速度会越来越快。有效管理复杂的IT产品和服务的基本集合以及相关集成,可以转变学校运营,实现更高的效率和创新。实现这一目标需要学校领导层的高度协调和规划,包括将技术及其采购纳入相关的战略规划进程。

高等教育数字化转型的一个障碍是,流程、服务和数据的使用往往不是设计出来,而是演变出来的,没有对效率、效益和结果进行结构化思考。

数字化转型需要通过文化、劳动力和技术的深刻转变来优化学校的运作方式、战略方向和价值主张。数字化转型举措以战略成果为起点,需要全面而协同的努力。

数字化转型计划不是把提高运营效率、引入数据治理和集成,或实施技术解决方案作为单独的、不相关的项目来管理,而是将其作为一个整体来处理,以实现特定的产出。今天的许多数字化转型工作都侧重于学生的成果和体验。

数字化转型计划不但有助于实现战略成果,而且还会提高学校能力,从而提升学校的灵活性、运营效率以及员工知识和技能。学校也因此能更好地进行更深层次的转型。

“我认为技术转型将发挥非常重要的作用。我们必须开发可以自动化的流程,或者至少使用人工智能、机器人等技术进行数据过滤。我认为,一些非常关键的流程示例,比如大学招生等流程,在未来五年将通过技术的使用发生根本性的转变。如果技术转型失败,我们将面临的问题是,拓展市场的速度和开展业务的成本将会对学校构成挑战。”澳大利亚南十字星大学副校长泰洛·卡林(Tyrone Carlin)表示。

2022年的挑战

多样化的技术和IT服务以及对集成的需求,将继续带来挑战。另外一个挑战是在实现上述目标的同时,还需有效地建设源自新冠疫情的新的混合学习和工作环境。学校可能缺乏资源来资助转型。

即将到来的人口悬崖——由于2008年经济衰退期间出生率下降,预计2025年入学的全日制新生将急剧下降——可能会进一步侵蚀美国院校的招生收入。随着疫情的持续,疫情对工作人员健康的影响加剧了这一问题。包括领导者在内,学校员工可能会丧失重新构想、重塑和重组的能力。

虽然疫情在许多方面加速了数字化转型,但在此过程中使用的部分方法和应对措施必然是仓促和战术性的,导致修复措施可能无法扩展或适用于疫情以外的地区。

学校领导层需要制定一项全面的战略计划,其中包括需要优先考虑和逐步解决的要素,在有限的精力、资源和持久、有意义的结果间取得平衡。

对文化的影响

技术变化迅速,往往提供了提高效率和效益的机会。学校领导者必须打破孤立封闭的系统,让学校变得更好。系统孤岛反映的是组织结构,而不是学校的战略成果,如学生的成功或健康的财务。流程、准则、工具和技术以及数据往往是孤立的。共享的战略成果可以激励利益相关者理解更大的利益,以及建立公平、包容和更实惠的共同解决方案的必要性。

这种调整涉及学校的变革,而变革不能闭门造车。需要让员工团体和学生团体进行对话,以便让所有利益相关者理解和认同变革目标,并意识到在变革过程中,所有利益相关者在选择和时机方面都拥有发言权。学校领导者需要适应变革的灵活性,同时也要保持对战略目标的关注。

帮助学校员工取得成功

数字化转型需要整个学校群体具备一套新的技能和能力。这些新技术和技能包括战略采购、合同管理、供应商关系管理、用户体验和设计思维、产品管理和企业架构等。

整个员工队伍需要更深入的数据技能和更强的协作和合作能力。人力资源工作人员和劳动力管理人员需要在劳动力规划和人才管理方面变得更加有效。

如果学校继续作为一个基于办公室和居家办公的混合组织运作,所有员工还需要获得在这种混合工作环境中管理、沟通、协作和高效工作的技能。

所需的技术和信息技术能力

虽然数字化转型取决于技术和IT能力,但可以说,转型成功更多取决于如何选择和采用技术,而不是选择和采用哪些技术。技术选择应该基于,而不是先于对结果和功能的共识。

学术和行政领导明白他们想要实现的目标,但最有效的技术决策需要从整个学校而非特定院系部门的角度出发来制定。

领导者必须邀请不同的员工来参与决策:技术专家在可访问性、互操作性、安全性和可持续性方面提供建议;公平专家评估公平性和安全性;IT战略采购专家有效地管理竞争性选择流程并协商出最有利的条款。

转变高等教育

数字化转型可能会让学校打破经典的“铁三角”规则,即在成本、速度和质量这三个理想的结果中,最多只有两个结果可能实现最大化。

数字化转型工作通常涉及系统和数据集成,这可以带来更低的成本以及更好的服务体验。数字化转型将提供涵盖学生、校友、员工、资源的整体视角,从而产生更有益的结果。新的体系结构增加了对数据和资源的访问,可以更好地了解学校产品和服务,并做出更快、更准确的决策。

这些变化为向学生提供更实惠的教育及其所需的技能和证书奠定了基础,使其能够在适合各自生活的时间内拥有自己想要的工作和就业机会。

来源:中国教育网络

议题一作者:Michelle Rakoczy、Nina Reignier-Tayar、Thomas Trappler、Gina White

议题二作者:Bella Abrams、Jeremy Anderson、Tiffni Deeb、Thomas Trappler

来源:EDUCAUSE Review

翻译:庞乃瑜、杨望

版权所有:山西师范大学网络信息中心   邮箱:wlzx@sxnu.edu.cn

邮政编码:030031     联系地址:山西省太原市小店区太榆路339号