2 minute read
Sicurezza e cybersecurity: è un problema di metodo
Rebecchi
La premessa Gestire e saper trattare ad hoc i dati personali è ad oggi un’attività fondamentale del lavoro delle pubbliche amministrazioni, un’attività quotidiana che gli istituti scolastici devono avere come priorità del loro operato.
L’art. 32 del GDPR determina, infatti, che la scuola, come titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, debba saper implementare e mettere in atto misure tecniche e organizzative consone a garantire un livello di sicurezza adeguato al rischio. Le informazioni, dunque, di studenti e personale devono essere garantite nella loro riservatezza e le misure di sicurezza da adottare per un istituto scolastico dovranno quindi essere finalizzate a ridurre al minimo i rischi quali distruzione o perdita dei dati ma anche di accesso non autorizzato, trattamento non consentito e modifica dei dati stessi.
La sicurezza informatica della scuola
La cybersecurity di una scuola prevede che questa possa, anzi debba controllare quelli che gli accessi logici e le autenticazioni degli applicativi in uso, trattandosi di realtà che quotidianamente utilizzano diversi software, in primis il registro elettronico, taluni imposti dal Ministero e altri scelti in autonomia.
Pertanto, ogni utente che accede a queste piattaforme per lo svolgimento dei propri compiti di lavoro dovrebbe avere un profilo autorizzato, tra user ID e password. Parliamo quindi di password complesse, diverse per ogni servizio, e anonime.
Quali sono le misure di sicurezza e le modalità di scambio dei dati personali tra amministrazioni pubbliche?
Nella gestione delle password, ad esempio, si definisce che venga comunicata direttamente al singolo incaricato separatamente rispetto al codice per l’identificazione (user ID), modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni tre mesi, e le ultime tre password non possano essere riutilizzate.
Il GDPR prevede anche che le password debbano rispondere a specifici requisiti di complessità e che, quando l’utente si allontana dal terminale, la sessione deve essere bloccata anche attraverso even- tuali meccanismi di time-out. Infine, le credenziali devono essere bloccate a fronte di reiterati tentativi falliti di autenticazione.
L’infrastruttura di rete e la sua evoluzione
L’infrastruttura di rete moderna deve essere concepita e progettata per supportare la continua espansione ed integrazione dei prodotti, compresi quelli per la sicurezza. La complessità della rete stessa è aumentata esponenzialmente con l’introduzione di tutta una serie di prodotti IoT che ne hanno aumentato la fragilità, la complessità e la dimensione.
Ad affermarlo è stato nel suo intervento proprio Luca Giroldo - Responsabile Divisione CCTV e Cybersecurity per Securindex, che nell’ambito di Smartbuilding. edu a Didacta Firenze è intervenuto sul tema della sicurezza delle reti informatiche nelle scuole aggiungendo che “da questa aumentata complessità sono conseguiti i problemi di sicurezza dell’infrastruttura poiché oggi sono inseriti all’interno dei prodotti di tipologie anche molto distanti tra loro...e continueranno ad esserne inseriti di nuovi”.
Oggi in una rete oltre ai classici computer troviamo access point, strumenti per il controllo accessi, telecamere di videosorveglianza, videocitofoni, telefonia e via discorrendo.
Da dove partire?
“ Prendiamo la norma ISO 27001: non unicamente uno standard di sicurezza informatica in quanto, oltre alla sicurezza logica include la sicurezza fisica ambientale e la sicurezza organizzativa
Obiettivo della ISO 27001 è proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo al fine di assicurarne integrità, riservatezza e disponibilità”.
Un sistema di gestione della sicurezza delle informazioni deve quindi prevedere la pianificazione e progettazione, l’implementazione, il monitoraggio, il mantenimento e miglioramento della stessa e l’ individuazione di perimetro e limiti di applicabilità nell’identificazione delle «figure professionali».
“L’infrastruttura deve essere di facile utilizzo e a prova di attacco hacker. Lo sviluppo dell’infrastruttura deve far accrescere la consapevolezza (awareness) per dirigenti scolastici, insegnanti e alunni”. ■
I 4 punti salienti per la sicurezza informatica nelle scuole
• Identificazione dei diversi livelli di responsabilità
• Identificazione di nuove figure professionali
• Formazione dedicata su ogni livello
• Consapevolezza di ogni tipologia di utente
