Buone pratiche per la cybersecurity nelle scuole

Il seguente articolo è stato pubblicato anche sulla testata specializzata “La Tecnica della Scuola” in data 16 luglio 2020 a firma della dott.ssa Lucia Gamalero (Responsabile GDPR Scuola): https://www.tecnicadellascuola.it/buone-pratiche-per-la-cybersecurity-nelle-scuole


Trattare dati personali è attività fondamentale e componente essenziale del lavoro che le pubbliche amministrazioni – e nello specifico gli istituti scolastici – devono svolgere ogni giorno.

Ai sensi dell’art. 32 del GDPR, la scuola, in qualità di soggetto titolare del trattamento, “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”, deve implementare e mettere in atto misure tecniche e organizzative tali da garantire un livello di sicurezza adeguato al rischio.

Detto più semplicemente, il titolare ha il dovere di accertarsi che le informazioni personali degli interessati siano protette in ogni circostanza.

Le misure di sicurezza da adottare devono essere finalizzate a ridurre al minimo i rischi di distruzione o perdita dei dati, accesso non autorizzato, trattamento non consentito e modifica degli stessi.

Il GDPR, tuttavia, non spiega nel dettaglio quali siano le azioni da intraprendere a tutela delle informazioni personali.

L’analisi delle attività da svolgere deve quindi essere effettuata da parte del titolare, nel rispetto dei principi di “privacy by design” e “privacy by default”.

Un elemento fondamentale per tutelare i dati trattati e conservarli adeguatamente è porre la dovuta attenzione alla sicurezza informatica della scuola.

Per garantire un’adeguata cybersecurity, l’istituto deve controllare quelli che vengono comunemente chiamati “accessi logici”.

Le scuole utilizzano molti software, alcuni dei quali imposti dal Ministero, altri invece – come il registro elettronico – scelti in autonomia, indispensabili per la gestione e l’organizzazione dell’istituto nell’ottica della dematerializzazione.

Un aspetto essenziale è quello di implementare politiche di controllo degli accessi logici e delle autenticazioni degli applicativi in uso.

Ogni utente che deve accedere a specifiche piattaforme per lo svolgimento dei propri compiti di lavoro dovrebbe avere un profilo autorizzato, dotato di user ID e password.

Tali password dovrebbero essere complesse, diverse per ogni servizio, e ovviamente anonime.

Questo per evitare che persone non autorizzate possano entrare nelle piattaforme e violare i dati personali degli utenti.

Il Garante, con provvedimento del 2 luglio 2015, ha definito quali siano le “Misure di sicurezza e modalità di scambio dei dati personali tra amministrazioni pubbliche”, e nello specifico ha affermato – al punto 5, lettera e) dell’allegato B – che “nel caso le credenziali siano costituite da una coppia username/password, siano adottate le seguenti politiche di gestione delle password:

  • la password, comunicata direttamente al singolo incaricato separatamente rispetto al codice per l’identificazione (user id), sia modificata dallo stesso al primo utilizzo e, successivamente, almeno ogni tre mesi, e le ultime tre password non possano essere riutilizzate;
  • le password devono rispondere a requisiti di complessità (almeno otto caratteri, uso di caratteri alfanumerici, lettere maiuscole e minuscole, caratteri estesi);
  • quando l’utente si allontana dal terminale, la sessione deve essere bloccata, anche attraverso eventuali meccanismi di time-out;
  • le credenziali devono essere bloccate a fronte di reiterati tentativi falliti di autenticazione”.

Oltre a ciò, dobbiamo aggiungere che il continuo sviluppo tecnologico determina un costante aggiornamento dei sistemi di protezione da adottare.

Oggi, ad esempio, è consigliabile utilizzare sistemi di autenticazione a due fattori, volti a garantire una maggiore sicurezza dei dati conservati all’interno delle piattaforme.

Fondamentale è dunque che i dirigenti e il personale della scuola siano consapevoli dei rischi a cui possono andare incontro se non vengono adottate politiche di controllo degli accessi logici ai dati trattati attraverso sistemi informatici, secondo ruoli e responsabilità definite e profili personali attribuiti agli utenti.

Quindi – se la scuola non l’ha già fatto – il consiglio è quello di creare per ciascun utente specifici account di accesso ai programmi, evitando che più persone operino con un unico account sugli applicativi dell’istituto.



Iscriviti alla community di GDPR Scuola!

Riceverai aggiornamenti costanti sul GDPR
tramite una newsletter settimanale e potrai usufruire di tante
risorse utili per saperne di più sulla normativa!

Letture consigliate dal blog

Il concetto di raggiungibilità del DPO

Facciamo un po' di chiarezza sul concetto di raggiungibilità del DPO, figura adibita alla protezione dei dati per il GDPR.LeggiIl concetto di raggiungibilità del DPO

Curriculum dello studente: di che cosa si tratta e come va compilato

Il curriculum dello studente è uno specifico documento introdotto in occasione della Maturità 2021: di cosa si tratta e come va compilato.LeggiCurriculum dello studente: di che cosa si tratta e come va compilato

Protezione dei dati e GDPR: la tua scuola è pronta?

Ecco in breve i principi che la scuola dovrebbe adottare per gestire in maniera corretta le informazioni personali dei propri utenti.LeggiProtezione dei dati e GDPR: la tua scuola è pronta?

Iscriviti alla community di GDPR Scuola
e scarica subito i bonus a tua disposizione!

Iscriviti

Cliccando sul pulsante dichiaro implicitamente di avere un’età non inferiore ai 16 anni nonché di aver letto l’informativa sul trattamento dei dati personali reperibile alla pagina Privacy e note legali.