Sebbene ormai a ridosso dell'imminente scadenza del 31 dicembre 2017, il Miur ha fornito indicazioni sull'applicazione alle scuole delle “Misure minime di sicurezza ICT per le pubbliche amministrazioni” di cui alla circolare Agid 18 aprile 2017, n. 2/2017. Tali misure devono essere adottate a cura del responsabile della struttura per l'organizzazione, l'innovazione e le tecnologie di cui all'art.17 del Codice dell’Amministrazione digitale, oppure, in sua assenza, del dirigente allo scopo designato.
La circolare del Miur, predisposta d’intesa con l’Agenzia per l’Italia Digitale, ha l’obiettivo di indirizzare le crescenti preoccupazioni provenienti dalle istituzioni scolastiche e dalle associazioni di categoria inerenti le difficoltà di implementazione del provvedimento in oggetto, fornendo chiarimenti e spunti di riflessione. "La circolare - scrive il Ministero - va infatti considerata come un’opportunità di miglioramento della sicurezza dei sistemi informativi scolastici, considerati gli scenari di crescente utilizzo degli strumenti informatici che sono a disposizione delle scuole".
Innanzitutto, l'obiettivo delle misure minime di sicurezza per le PA è quello di fornire alle Pubbliche Amministrazioni un riferimento pratico per valutare e migliorare il proprio livello di sicurezza informatica, al fine di contrastare le minacce più comuni e frequenti a cui sono soggette le amministrazioni. Pertanto, le misure minime non sono da intendersi come un obbligo fine a se stesso, né tanto meno come uno strumento ispettivo, ma devono essere considerate come un importante supporto metodologico, oltre che un mezzo attraverso il quale le Amministrazioni, soprattutto quelle più piccole e dunque con meno possibilità di potersi avvalere di professionalità specifiche, possono verificare autonomamente, anche senza ricorrere a specialisti del settore, la propria situazione attuale e avviare un percorso di monitoraggio e miglioramento.
Si tratta in sostanza di un'attività di autovalutazione, quanto mai opportuna nelle scuole, spesso carenti dal punto di vista della sicurezza del loro patrimonio informativo. Attraverso le misure minime si intendono perseguire i seguenti risultati:
- Supportare le Amministrazioni, in particolare a quelle meno preparate, mediante la messa a disposizione di un riferimento operativo direttamente utilizzabile (checklist), nell’attesa della pubblicazione di documenti di indirizzo di più ampio respiro (linee guida, norme tecniche);
- Stabilire una baseline comune di misure tecniche ed organizzative irrinunciabili;
- Fornire alle Amministrazioni uno strumento per poter verificare lo stato corrente di attuazione delle misure di protezione contro le minacce informatiche, e poter tracciare un percorso di miglioramento;
- Responsabilizzare le Amministrazioni sulla necessità di migliorare e mantenere adeguato il proprio livello di protezione cibernetica.
Come fare?
Tenuto conto del contesto delle scuole, per il raggiungimento dei livelli di sicurezza attesi, la compilazione del modulo di implementazione può essere realizzata distinguendo tra sistemi e personal computer collegati in rete e quelli isolati (eventualmente utilizzando due distinti moduli), in quanto questi ultimi presentano evidentemente caratteristiche di vulnerabilità differenti (come strumenti isolati sono da intendersi, ad esempio, tablet e smartphone, che vengono collegati alla rete solo in precisi momenti).
Inoltre, è necessario includere nell’analisi anche eventuali servizi erogati in rete dai fornitori tramite la loro infrastruttura tecnologica, ospitanti dati dell’istituzione scolastica (ad es. il registro elettronico di classe e del docente). In quest’ultimo caso si dovrà richiedere direttamente al fornitore la compilazione delle informazioni relative alla sicurezza del servizio erogato all’istituzione scolastica.
Livelli di applicazione
Le misure di sicurezza, in funzione della complessità del sistema informativo a cui si riferiscono e della realtà organizzativa dell’Amministrazione, possono essere implementate in modo graduale facendo riferimento ai livelli di seguito riportati.
- Minimo: è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme. Questo livello può ritenersi sufficiente per gli istituti scolastici
- Standard: può essere assunto come base di riferimento nella maggior parte dei casi
- Avanzato: deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni.
Firma del modulo
Per quanto riguarda l’adempimento relativo alla firma del “modulo di implementazione”, lo stesso assume principalmente la veste di uno strumento di lavoro, in grado di fornire una fotografia dello stato attuale del percorso di adeguamento, e una traccia per l’implementazione di un percorso di miglioramento della sicurezza complessiva del sistema informativo dell’amministrazione. Il modulo, che potrà essere firmato digitalmente dal Dirigente scolastico, andrà compilato e conservato dalla scuola che dovrà aggiornarlo proprio in funzione dei cambiamenti e dei miglioramenti conseguiti nel tempo.
Le indicazioni della Flc Cgil
Riportiamo in proposito le seguenti indicazioni ai Dirigenti scolastici proposte dalla Flc Cgil:
- sono i soggetti esterni a cui le scuole hanno affidato la gestione dei loro dati attraverso l’acquisto degli applicativi per le segreterie ad avere l’obbligo di dichiarare alle scuole quali sono i livelli di sicurezza di cui si sono dotati per proteggere l’integrità di quei dati;
- non esiste nessun obbligo tassativo di adeguamento entro il 31 dicembre 2017 ma occorre mettere mano alla sicurezza dei dati e dei sistemi informatici attraverso una ricognizione della situazione esistente e un programma di implementazione che tenga conto della necessità di prevedere le risorse necessarie in bilancio;
- i soggetti esterni a cui le scuole hanno eventualmente affidato la gestione e la manutenzione dei sistemi informatici sono tenuti in forza del contratto stipulato e del rapporto fiduciario che li lega all’istituzione scolastica ad individuare tutte le misure necessarie per proteggere quei sistemi e non dovrebbero chiedere ulteriori compensi per compilare la check list allegata alla circolare (elenco delle misure minime di protezione adottate) o il modulo di implementazione (individuazione delle ulteriori misure necessarie per raggiungere il livello minimo di protezione richiesto).
Per approfondimenti
- "La sicurezza informatica a scuola" di Guido Mondelli nel n. 75 - Dicembre 2017 di Sinergie di Scuola, in cui sono indicati i maggiori pericoli dai quali difendersi e le misure minime da attuare su PC e altri dispositivi.
- Pagina dell'AGID con i moduli di implementazione