Embora a transformação digital tenha ajudado a acelerar processos e a melhorar a experiência de aprendizagem, é inegável que os riscos crescem na mesma proporção. De acordo com a 8ª Edição da pesquisa Cyber Signals, realizada pela Microsoft, o setor educacional foi o terceiro mais visado por ataques cibernéticos no segundo trimestre de 2024, com uma média de 2,5 mil tentativas de ataques cibernéticos por semana.
Já a Check Point Research (CPR) apontou que as instituições de ensino superior (IES) sofreram um aumento de 75% nos ataques em relação ao ano anterior, superando 3,5 mil incidentes semanais — uma média global ainda maior que a do estudo da Microsoft. No Brasil, foram 1.540 registros por semana.
Mesmo diante desses números alarmantes, somente 20% das universidades dispõem de orçamento adequado para segurança da informação, ficando mais expostas a violações que podem ultrapassar R$ 7 milhões por ocorrência. E não é só isso: além do rombo financeiro, a vulnerabilidade pode provocar a interrupção das aulas, a perda de dados importantes e prejuízos irreparáveis à reputação da IES.
“Segurança digital não é apenas responsabilidade do setor de TI. É uma missão institucional que deve envolver conselho, professores, alunos e gestores”, defendeu o diretor de Tecnologia da Informação do Tribunal de Contas do Estado de São Paulo, Fábio Xavier, durante o seminário “Cybersecurity — desafios, boas práticas e estratégias para a proteção de dados nas IES”, promovido em setembro pela Associação Brasileira de Mantenedoras de Ensino Superior (ABMES).
Neste post, o Desafios da Educação, elenca os principais desafios e estratégias de segurança da informação no ensino superior, mostrando a importância de criar uma cultura de proteção de dados em universidades e faculdades.
Ameaças em alta
Instituições de ensino superior são repositórios de um “bem” valiosíssimo, especialmente nos dias de hoje: a informação.
“As IES se tornaram atrativas porque concentram dados pessoais, financeiros e de pesquisa de alto valor, muitas vezes ligados a áreas sensíveis como saúde e inovação tecnológica, o que aumenta o interesse dos criminosos”, explica o diretor-presidente da ABMES, Janguiê Diniz.
Ele destaca que os pontos de exposição são diversos, como IPs acadêmicos, ambientes virtuais de aprendizagem, redes wi-fi e aplicativos móveis. “Muitos desses ambientes têm problemas como sistemas desatualizados, ausência de autenticação multifator, credenciais fracas, backups sem teste e redes sem segmentação, o que amplia o impacto do ransomware”, observa.
Além do ransomware (software malicioso usado para extorsão por meio de sequestro de dados digitais usando a criptografia), entre os ataques mais comuns estão o phishing, que usa mensagens falsas para enganar usuários, e a exploração de falhas em softwares desatualizados.
O prejuízo é significativo: um estudo da Sophos, empresa britânica de tecnologia, revelou que 79% das IES globais foram vítimas de ransomware em 2022, com pedidos de resgate que chegaram a uma média de US$ 4,4 milhões.
LGPD e compliance
No Brasil, a Lei Geral de Proteção de Dados (LGPD) acrescentou um peso ainda maior ao tema. Em vigor desde 2020, a legislação estabelece princípios rígidos para coleta, armazenamento e tratamento de informações pessoais. Também exige que incidentes sejam comunicados à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados.
Para as instituições de ensino, a LGPD funciona como um motor de mudança, pois exige que elas revisem políticas de governança, criem mecanismos de auditoria, nomeiem encarregados de proteção de dados e adotem medidas preventivas.
“O efeito mais importante é o cultural. Hoje, os gestores entendem que dados acadêmicos, administrativos e de pesquisa são ativos estratégicos e sensíveis, e que falhas podem gerar sanções e danos à reputação”, acredita Diniz. O presidente da ABMES lembra que a lei também fez com que as IES entendessem a necessidade de elaborar relatórios de impacto, realizar treinamentos contínuos e atuar com mais transparência.
IA: aliada ou inimiga?
A inteligência artificial (IA) tem se mostrado uma ferramenta poderosa no setor educacional. No contexto da segurança cibernética, ela é usada para detectar ameaças em tempo real, monitorando redes, filtrando e-mails suspeitos e antecipando ataques antes que causem um estrago irreversível.
No entanto, a mesma tecnologia pode ser explorada por cibercriminosos. Algoritmos de IA são capazes de criar malwares sofisticados, deep fakes (vídeos falsos) e-mails de phishing mais convincentes e ataques automatizados, aumentando a complexidade das ofensivas digitais. Isso coloca IES, empresas e usuários em constante alerta, exigindo soluções igualmente inovadoras.
“A expansão digital abre oportunidades, mas também amplia vulnerabilidades. As instituições precisam repensar suas estratégias para que a transformação tecnológica venha acompanhada de proteção consistente”, argumenta o diretor da Integratto Tecnologia, Dominique Fernandes.
Como relator no CNE da resolução que estabelecerá diretrizes para a integração da IA na educação, o presidente do Conselho de Administração da ABMES, Celso Niskier, alerta ainda para a necessidade de proteger a produção intelectual dos docentes. “Não podemos permitir que o conhecimento produzido nas universidades brasileiras seja usado apenas para rentabilizar empresas que não são do nosso país.”
Estratégias eficazes incluem o uso de IA para monitoramento de redes, análise de comportamento de usuários e detecção de anomalias, sempre combinadas com políticas de governança, treinamento de equipes e protocolos de resposta a incidentes. Assim, é possível transformar um potencial risco em uma ferramenta de proteção robusta.
Segurança como prioridade
A maioria das universidades e faculdades brasileiras ainda enfrenta limitações orçamentárias, o que dificulta investimentos consistentes em cibersegurança. Mas especialistas defendem que os custos da prevenção são muito menores do que os prejuízos decorrentes de um ataque.
Além disso, há uma necessidade urgente de alinhar tecnologia e gestão, tratando o tema como parte da estratégia institucional de transformação digital — e não como algo periférico. Nenhuma tecnologia é suficiente se não houver uma cultura de segurança dentro das instituições.
Isso significa engajar toda a comunidade acadêmica em práticas responsáveis no uso de dados. Campanhas educativas, treinamentos periódicos e simulações de phishing ajudam a aumentar a consciência coletiva.
Algumas dicas para criar uma cultura de segurança cibernética na sua IES
Para Felipe Maciel, CEO da Estuário TI, o fator humano é hoje o ponto mais crítico. Durante o seminário da ABMES, ele destacou que a maioria dos incidentes pode ser evitada se os colaboradores forem treinados continuamente para identificar golpes.
“Prevenir é sempre mais barato do que remediar. Cada minuto conta na resposta a um ataque, e a transparência com estudantes e a comunidade é fundamental para preservar a confiança”, assegura.
Entre as medidas práticas sugeridas pelo especialista, estão:
- Autenticação em dois fatores (MFA): reduz em até 99% os riscos de acesso não autorizado;
- Política de backup 3-2-1: manter cópias seguras, redundantes e periodicamente testadas;
- Segmentação de redes: separar redes acadêmicas das administrativas para limitar o impacto de possíveis invasões;
- Planos de resposta a incidentes: definir responsabilidades claras e realizar simulações periódicas;
- Fortalecimento da governança: envolver conselhos e altas lideranças, incluindo especialistas em inovação e segurança, para que a proteção de dados seja incorporada às decisões estratégicas desde o início.
A essas dicas, Diniz acrescenta outras, como:
- Controle de acesso a sistemas e informações estratégicas;
- Mecanismos de criptografia dos dados;
- Protocolos de segurança para e-mails;
- Cláusulas claras de proteção de dados em contratos com fornecedores;
- Atenção ao uso de inteligência artificial, assegurando tratamento ético e seguro de dados e conteúdos produzidos com essas ferramentas.
“Muitas dessas medidas são simples e podem ser rapidamente implementadas pelas instituições de ensino superior”, ressalta o diretor-presidente da ABMES.
Desafios práticos
Apesar dos avanços, as IES convivem com barreiras reais quando o assunto é segurança da informação. Muitas operam com infraestrutura legada, sistemas de gestão acadêmica antigos e plataformas terceirizadas de educação a distância (EaD) com níveis variados de proteção. Outras esbarram na falta de profissionais especializados em segurança cibernética, um campo onde a demanda supera a oferta.
Também há obstáculos culturais: em alguns casos, a segurança ainda é percebida como custo adicional, e não como requisito para a qualidade e continuidade dos serviços educacionais.
Criar uma cultura de proteção de dados é, ao mesmo tempo, uma obrigação legal, uma demanda ética e uma vantagem competitiva. As IES que investirem em boas práticas, tecnologias adequadas e capacitação das pessoas estarão mais preparadas para enfrentar um cenário de riscos que se intensifica ano a ano.
Categorias
Conteúdo Relacionado