Buone pratiche per la cybersecurity nelle scuole

Riceviamo e pubblichiamo un articolo sulla privacy e i dati personali al tempo di internet, realizzato dalla dottoressa Lucia Gamalero, Privacy Specialist e Responsabile GDPR Scuola.

——–

Trattare dati personali è attività fondamentale e componente essenziale del lavoro che le pubbliche amministrazioni – e nello specifico gli istituti scolastici – devono svolgere ogni giorno.

Ai sensi dell’art. 32 del GDPR, la scuola, in qualità di soggetto titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, deve implementare e mettere in atto misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio.

Detto più semplicemente, il titolare ha il dovere di accertarsi che le informazioni personali degli interessati siano protette in ogni circostanza.

Le misure di sicurezza da adottare devono essere finalizzate a ridurre al minimo i rischi di distruzione o perdita dei dati, accesso non autorizzato, trattamento non consentito e modifica degli stessi.

Il GDPR, tuttavia, non spiega nel dettaglio quali siano le azioni da intraprendere a tutela delle informazioni personali.

L’analisi delle attività da svolgere deve quindi essere effettuata da parte del titolare, nel rispetto dei principi di “privacy by design” e “privacy by default”.

Un elemento fondamentale per tutelare i dati trattati e conservarli adeguatamente è porre la dovuta attenzione alla sicurezza informatica della scuola.

Per garantire un’adeguata “cybersecurity”, l’istituto deve controllare quelli che vengono comunemente chiamati “accessi logici”.

Le scuole utilizzano molti software, alcuni dei quali imposti dal Ministero, altri invece – come il registro elettronico – scelti in autonomia, indispensabili per la gestione e l’organizzazione dell’istituto nell’ottica della dematerializzazione.

Un aspetto essenziale è quello di implementare politiche di controllo degli accessi logici e delle autenticazioni degli applicativi in uso.

Ogni utente che deve accedere a specifiche piattaforme per lo svolgimento dei propri compiti di lavoro dovrebbe avere un profilo autorizzato, dotato di user ID e password.

Tali password dovrebbero essere complesse, diverse per ogni servizio, e ovviamente anonime.

Questo per evitare che persone non autorizzate possano entrare nelle piattaforme e violare i dati personali degli utenti.

Il Garante, con provvedimento del 2 luglio 2015, ha definito quali siano le “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche”, e nello specifico ha affermato – al punto 5, lettera e) dell’allegato B – che “nel caso le credenziali siano costituite da una coppia username/password, siano adottate le seguenti politiche di gestione delle password:

• la password, comunicata direttamente al singolo incaricato separatamente rispetto al codice per l’identificazione (user id), sia modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni tre mesi, e le ultime tre password non possano essere riutilizzate;

• le password devono rispondere a requisiti di complessità (almeno otto caratteri, uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteri estesi);

• quando l’utente si allontana dal terminale, la sessione deve essere bloccata, anche attraverso eventuali meccanismi di time-out;

• le credenziali devono essere bloccate a fronte di reiterati tentativi falliti di autenticazione”.

Oltre a ciò, dobbiamo aggiungere che il continuo sviluppo tecnologico determina un costante aggiornamento dei sistemi di protezione da adottare.

Oggi, ad esempio, è consigliabile utilizzare sistemi di autenticazione a due fattori, volti a garantire una maggiore sicurezza dei dati conservati all’interno delle piattaforme.

Fondamentale è dunque che i dirigenti e il personale della scuola siano consapevoli dei rischi a cui possono andare incontro se non vengono adottate politiche di controllo degli accessi logici ai dati trattati attraverso sistemi informatici, secondo ruoli e responsabilità definite e profili personali attribuiti agli utenti.

Quindi – se la scuola non l’ha già fatto – il nostro consiglio è quello di creare per ciascun utente specifici account di accesso ai programmi, evitando che più persone operino con un unico account sugli applicativi dell’istituto.

Lucia Gamalero