Ciò che rende più difficile la questione della sicurezza delle informazioni è che alcuni, se non parecchi, di chi dovrebbe presidiare alla loro sicurezza nelle istituzioni scolastiche non sempre ha le competenze tecniche né tempo sufficiente da dedicare da soli allo sviluppo, all’implementazione e al monitoraggio delle politiche e delle procedure di sicurezza delle informazioni all’interno delle loro organizzazioni scolastiche. Tuttavia, la responsabilità sia di soddisfare le richieste dell’utenza (alunni e genitori, ma anche lavoratori) sia di proteggere le informazioni sensibili è inevitabilmente in capo al dirigente di un istituto scolastico. Piaccia o no. Ecco perché, ancora una volta, ci lasciamo accompagnare dal dottore Fabrizio Bottacchiari in questo viaggio lungo il crinale della sicurezza. Ricordiamo che l’ingegnere Bottacchieri è da considerare, indubbiamente, una delle autorità del settore anche nel campo scolastico. A lui rivolgiamo alcune domande specifiche ma prima comprendiamo, ancora una volta, l’importanza di questo percorso.
Perché i dirigenti scolastici dovrebbero prestare attenzione alla questione della sicurezza
Ciò che rende più difficile la questione della sicurezza delle informazioni è che molti, se non la maggior parte, degli amministratori dell’istruzione non hanno le competenze tecniche né, dati i loro altri compiti di vitale importanza, tempo sufficiente da dedicare da soli allo sviluppo, all’implementazione e monitorare le politiche e le procedure di sicurezza delle informazioni all’interno delle loro organizzazioni. Tuttavia, per parafrasare il presidente Harry Truman, è sulle teste di quegli stessi amministratori dell’istruzione che “il dollaro si ferma”. La responsabilità sia di soddisfare le richieste di responsabilità del pubblico sia di proteggere le informazioni sensibili è inevitabile per il direttore amministrativo di un istituto scolastico. Piaccia o no, viene con il lavoro. Ed è per questo che è ci rivolgiamo al dott. Fabrizio Bottacchieri per approfondire, con ulteriore slancio, la questione.
I siti delle scuole, costantemente, trasferiscono dati verso terzi (Caso di Google Analytics e altri). Che significa e come deve operare una scuola?
«Cerco di riassumere in poche righe cosa si intende “trasferimento di dati verso terzi” nel nostro (complesso) mondo informatico! Tutti conosciamo i colossi come Microsoft, Amazon, Apple, Google e tanti altri. Operando in tutto il mondo hanno sempre cercato di posizionare diverse sedi nei principali continenti così da “adattarsi” anche alle varie giurisprudenze. Fortunatamente negli ultimi anni l’Europa sta cercando anno dopo anno di tutelare la privacy e relativa sicurezza dei cybernauti applicando numerosi controlli e restrizioni su tutti gli “scambi” di dati che avvengono tra dispositivi e piattaforme su Internet. Cosa è successo? Da qualche tempo è “crollato” il Privacy Shield, questo era un accordo tra gli Stati Uniti e l’Unione Europea che consentiva alle aziende americane (come Google, Meta, ecc.) di raccogliere e trasferire dati personali dell’UE negli Stati Uniti in conformità con il Regolamento Generale sulla Protezione dei Dati (GDPR). L’accordo è stato annullato nel luglio 2020 dalla Corte di giustizia dell’Unione europea a causa di preoccupazioni sulla protezione dei dati personali degli europei. Quindi se nel sito della scuola è installato Google Analytics per monitorare il traffico del proprio sito questo non è conforme al GDPR! Perché anche se i server sono posizionati in Irlanda (EU) possono essere controllati da Google Inc. con sede in USA. Cosa bisogna fare? Toglierlo quanto prima e per rispettare gli utenti che sono stati “colpiti” da Google Analytics bisogna cancellare tutti i dati. Oltre Google Analytics consiglio di rimuovere ogni richiamo a librerie esterne con jQuery, Google Fonts, ecc.»
Quale ruolo di supporto ha il DPO?
«Il Data Protection Officer (DPO) ha un ruolo di supporto fondamentale nell’assicurare la conformità alle normative sulla protezione dei dati all’interno della propria organizzazione scolastica. Durante la pandemia ha svolto un ruolo fondamentale per via della didattica a distanza e scambio di dati attraverso piattaforme online. Un buon DPO deve prendere per mano il Dirigente Scolastico trasferendo tutte le informazioni sulle obbligazioni ai sensi della normativa sulla protezione dei dati, fornire formazione e sensibilizzazione al suo personale in merito alla normativa sulla protezione dei dati e alle procedure interne, collaborare con l’autorità di controllo in caso di verifiche e ispezioni, infine lavorare in tandem con tecnici informatici così da manutenere l’intera infrastruttura rendendola sempre aggiornata e sicura».
Quali sono le criticità comuni alle Istituzioni Scolastiche?
«Oltre alle criticità menzionate nel paragrafo relativo al sito web, una grande criticità molto spesso risiede nella poca manutenzione ed obsolescenza delle postazioni di lavoro all’interno dell’istituto scolastico. Purtroppo, le buone pratiche suggerite dal DPO come l’aggiornamento costante delle password, aggiornare l’antivirus e non inserire dispositivi di archiviazione esterni vengono spesso tralasciate, questo oltre a mettere a rischio l’intera rete interna può comportare un data-breach, ossia una fuga di dati. Ognuno di noi ha già sentito questo genere di incidente e nella maggior parte dei casi colui che ha messo in pratica questa azione può richiedere un’ importante transazione economica per ripristinare l’integrità dei dati!».
Quale supporto possono ricevere le scuole e da chi?
«Lavorando da molto tempo con le scuole, posso dire che negli ultimi anni la sinergia tra una figura come la mia e quella di un DPO ha permesso a molti istituti scolastici di salvaguardare la propria integrità dei dati e trasferire a tutto il proprio personale scolastico un assetto mentale oltre una semplice formazione. Questo perché tutto il mondo del GDPR non deve esser preso come un solo adempimento burocratico, ma con un approccio lavorativo per la propria sicurezza e di chi ci circonda. Oggi non bisogna essere degli esperti informatici per saper trattare con sicurezza i dati, basta solo conoscere alcuni aspetti fondamentali (ad esempio distinguere se l’email ricevuta è stata inviata da un mittente certificato o un malintenzionato) per non andare incontro a problematiche menzionate nei paragrafi precedenti!».
«La formazione è fondamentale! Nel mio caso non passa settimana senza dedicare un momento alla lettura di un articolo o l’ascolto di un podcast per aggiornarmi sugli ultimi sviluppi di questo settore! Per chi vuole semplicemente restare “sul pezzo” consiglio uno dei migliori podcast, ossia 2024 di Radio24, in circa un’ora a settimana riesce a sintetizzare tutti gli avvenimenti più importanti della tecnologia invitando esperti del settore così da approfondire per bene ogni genere di fatto trattato! Oppure altra sorgente di sapere è il canale YouTube “Ciao Internet di Matteo Flora” un esperto di cybersecurity che tratta con parole semplici tutti gli avvenimenti».
Ingegnere, crescono gli adempimenti per le scuole?
«In conclusione, posso dire che la pandemia ha rivoluzionato questo mondo permettendo a tutti gli istituti scolastici di avere un rapido progresso dal punto di vista delle infrastrutture informatiche. Non bisogna avere timore del quantitativo di adempimenti e dati che ogni giorno dobbiamo manipolare, il trucco per restare tranquillo è quello di sapersi affidare a professionisti certificati, purtroppo non basta avere conoscenza (acquisita durante un corso) ma nel mio mestiere è necessaria tanta competenza, che si acquisisce esclusivamente dopo tanto tempo di operatività. Invito tutti i dirigenti scolastici ad essere scrupolosi nella scelta del proprio consulente ma soprattutto di cedergli incarichi pluriannuali così da avere il tempo di conoscere e comprendere tutte le angolazioni dell’istituzione scolastica».
Glossario Istituto di Istruzione Superiore Volterra-Elia
Si allega il brillante Glossario dell’Istituto di Istruzione Superiore Volterra-Elia di Ancona brillantemente diretto dalla Prof.ssa Rosa Martino. Si tratta delle definizioni previste dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Ricevi ogni sera nella tua casella di posta una e-mail con tutti gli aggiornamenti del network di orizzontescuola.it