Le scuole sono pronte ad assicurare la sicurezza informatica?

Il FESR avviso n. 20480, “Realizzazione di reti locali, cablate e wireless, nelle scuole”, ha posto l’accento sul “Cablaggio strutturato e sicuro all’interno degli edifici scolastici”. L’obiettivo del progetto è “dotare gli edifici scolastici di un’infrastruttura di rete … omissis … assicurando, altresì, il cablaggio degli spazi, la sicurezza informatica dei dati, la gestione e autenticazione degli accessi”

L’utilizzo dell’informatica, nella didattica e nell’organizzazione generale della Scuola, è ampiamente diffuso per ricercare informazioni, per svolgere esperienze formative, per le funzioni amministrative-gestionali. Il concetto di protezione dell’accesso all’hardware è sufficientemente chiaro ai più ed è noto che che occorrono le password, i filtri antivirus, i firewall: magari non si conosce con precisione il funzionamento di queste protezioni, ma certamente si sa che sono indispensabili.

Qualitativamente diversa è la sicurezza delle informazioni, che è caratterizzata dai seguenti aspetti:

• Confidenzialità: garantire che l’informazione sia accessibile solamente a coloro che hanno l’autorizzazione ad accedervi;
• Integrità: garantire l’accuratezza e la completezza dell’informazione e dei metodi di elaborazione;
• Disponibilità: garantire che gli utenti autorizzati possano accedere all’informazione quando ne hanno necessità.

L’attenzione si pone sui dati perché le scuole sono diventate fornitrici di servizi informatici, cioè abilitano l’accesso a una o più funzionalità di diverse attività, attraverso un’interfaccia predefinita e in modalità coerente con vincoli e politica della sicurezza. La politica della sicurezza ha assunto il rango di norma, in particolare con la definizione del c.d. “perimetro di sicurezza” introdotto dal decreto-legge 21 settembre 2019, n. 105 e convertito con modificazioni dalla L. 18 novembre 2019, n. 133 “al fine di assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici delle amministrazioni pubbliche, degli enti e degli operatori pubblici e privati aventi una sede nel territorio nazionale, da cui dipende l’esercizio di una funzione essenziale dello Stato, ovvero la prestazione di un servizio essenziale per il mantenimento di attività civili, sociali o economiche fondamentali per gli interessi dello Stato e dal cui malfunzionamento, interruzione, anche parziali, ovvero utilizzo improprio, possa derivare un pregiudizio per la sicurezza nazionale”.

In particolare la politica della sicurezza informatica dovrà definire:

1. cosa sta dentro e cosa sta fuori dal “perimetro”;
2. la lista di chi sta dentro al “perimetro” ed aggiornarla con continuità;
3. che tipo di obblighi deve osservare chi sta dentro al “perimetro”;
4. che succede quando “chi sta dentro al perimetro” comunica/scambia dati con “chi sta fuori dal perimetro”;
5. chi controlla i processi.

Fermo restando che è sempre utile ed opportuno affidarsi a professionisti esperti di sicurezza informatica, altrettanto opportuno è conoscere gli elementi fondanti della sicurezza informatica: se non si conosce il rischio, non si saprà che esiste

La struttura attraverso la quale passa il maggiore numero di informazioni è Internet; essa rende possibile l’interconnessione tra i computer, ma è anche una fonte di rischio che è tanto maggiore quanto meno si conoscono modalità di utilizzo e funzioni di difesa.

Qui entra in gioco la sicurezza informatica: cioè rendere l’utente consapevole della gestione del rischio e fargli assumere un atteggiamento critico attraverso le seguenti domande :

• Cosa voglio proteggere? La sicurezza informatica coinvolge sia entità materiali che immateriali, ma suscettibili di valutazione economica.
• Da cosa mi voglio proteggere? Occorre prendere atto quali minacce possono aggredire i sistemi informatici.
• Perché mi voglio proteggere? Valutare in che misura i sistemi e gli accessi possono costituire le vulnerabilità della struttura.
• Come mi posso proteggere? Individuare le contromisure da adottare.

In chiusura di questa prima carrellata, prendiamo in esame i costi della sicurezza che sono legati alla “Valutazione quantitativa del rischio”. Questa valutazione si baserà sull’esame di due quantità:

la probabilità di un evento che infici la sicurezza, cioè quanto spesso la sicurezza del sistema verrà compromessa;

l’impatto sul sistema, cioè quale danno produrrà la violazione della sicurezza.

I costi della sicurezza informatica trovano i limiti nel “paradosso di Mayfield”. In sintesi si può affermare che “tenere tutti fuori dal perimetro di sicurezza” richiede una quantità infinita di denaro, analogamente anche “portare tutti dentro al perimetro di sicurezza” richiede denaro infinito, mentre i costi tra questi estremi sono relativamente bassi.

Come sempre la sicurezza richiede una “ottimizzazione”, nel senso che non può esserci una regola unica per tutti, ma discende da un attento esame delle condizioni operative di ciascun istituto.