Chi lavora nell’ambito della sicurezza informatica conosce bene l’importanza dell’infosharing e della divulgazione. La scuola è il luogo principale da dove partire per aumentare la cultura della sicurezza, ma la formazione specializzata ai docenti e la gestione dell’ambito ICT nelle scuole, non può essere lasciato alla buona volontà degli addetti ai lavori, dei professori e del personale ausiliario.
La scuola come punto di riferimento dell’istruzione e della cultura. Un’ovvietà in relazione alle materie curricolari standard, che smette di essere ovvia non appena si parla di sicurezza informatica come materia da divulgare fra i ragazzi per i rischi che possono riguardarli in Rete (adescamento e truffe), per i problemi legati al cyberbullismo e per il necessario abbattimento del digital divide.
Alcuni professionisti del mondo della cybersecurity sono impegnati in prima linea nelle attività di divulgazione e diffusione della conoscenza sui temi della sicurezza informatica, proprio per sopperire alla cronica mancanza di organizzazione, risorse e mezzi che affligge il mondo scolastico. Ma questo impegno volontario non costituisce una soluzione di carattere sistematico, né può essere sufficiente. Ne abbiamo parlato con Carlo Mauceli, National Digital Officer di Microsoft Italia che ha recentemente tenuto un workshop informativo ai docenti e personale ausiliario dell’I.I.S.S. Greppi di Monticello Brianza (LC) in collaborazione con il Provveditorato di Lecco. Lo abbiamo intervistato perché dalla sua esperienza emergono evidenze e carenze del comparto scuola, meno marcate nel mondo universitario, ma ancora non ottimali: carenze che dovrebbero far riflettere i decisori sugli interventi a cui dare priorità per garantire quel cambio di passo nella organizzazione e gestione delle scuole che possa riflettersi sul processo formativo, anche per il tema della cybersecurity, intimamente legato ai temi tecnologici e dell’innovazione.
Microsoft è impegnata in quest’opera di sensibilizzazione su tutto il territorio nazionale, anche in virtù dei recenti attacchi informatici subiti dal mondo dell’istruzione, per informare e divulgare temi di sicurezza e protezione dei dati agli operatori scolastici anche vista dell’imminente entrata in vigore del GDPR. L’obiettivo dell’evento all’Istituto Greppi era formare gli operatori scolastici sui giusti comportamenti e sulle tecnologie da implementare per la sicurezza dei dati in Rete, sulle modalità di creazione della consapevolezza tra gli studenti, sui pericoli del mondo digitale e sulle contromisure da adottare per mitigare i rischi.
StartupItalia!: Quali sono i temi che ha ritenuto necessario trasferire agli insegnanti?
Carlo Mauceli: Ho iniziato con una panoramica dei rischi e dei maggiori incidenti di sicurezza, per far capire il panorama della minaccia, ma mi sono soffermato sull’importanza e sui rischi che corrono i dati digitali, ricordando e spiegando anche il nuovo regolamento europeo sui dati GDPR e le conseguenze dal 25 maggio prossimo. Insegnanti, personale dirigente e anche ausiliario si è mostrato colpito e preoccupato dalla constatazione per cui la scuola è una delle realtà con il più alto tasso di dati in senso assoluto e con il minor controllo in termini di processi e organizzazione e gestione. Ho suggerito loro che questo tipo di eventi informativi andrebbe organizzato anche a ragazzi e famiglie sebbene declinato in modo diverso. Ma ho anche dato indicazioni su cosa fare, anche se emerge un problema culturale sulla conoscenza della tecnologia ICT da gestire e poi anche sul regolamento. Sarebbe necessario creare le condizioni per informare e per insegnare sia la tecnologia, sia i risvolti della sicurezza facendo capire i rischi nell’uso degli strumenti digitali a coloro che poi devono istruire i ragazzi.
SI!: Che condizioni ha trovato dal punto di vista della sicurezza e delle contromisure operative?
CM: Ho spiegato l’importanza della “Lead by example” che vale in Microsoft ma che rappresenta una buona pratica generale. In sostanza, ho chiarito al personale docente che deve essere credibile su certi temi, proprio come già viene fatto su altre tematiche: l’Istituto Greppi porta avanti progetti come quello relativo a Mouseup, un dispositivo che permette di controllare uno smartphone Android usando solamente il movimento della testa, ma è anche stato dato l’avvio a tre startup sui i big data. Certo sono isole felici, ma purtroppo non rappresentano una consuetudine. Il personale docente deve assorbire le considerazioni che abbiamo condiviso e poi non girarsi dall’altra parte, ma agire e non solo sui dati ma anche sull’accesso ai dati, sulla gestione del sistema informativo scolastico per intero. E qui nascono i problemi: non sono persone dedicate al parco PC, alla gestione e amministrazione della rete. Esistono persone volenterose che cercano di aiutare. Nell’istituto attualmente viene utilizzato il registro elettronico fruito in cloud, e rappresenta sostanzialmente una black box perché non condivide dati con i sistemi dell’istituto dato che tutto viene gestito via web. Inoltre, l’istituto utilizza già la piattaforma Microsoft office 365 e quindi una sorta di conformità è esistente perché data dal prodotto, ma certamente ci potrebbero essere trattamenti dei dati scambiati via mail che possono essere fuori controllo e non essere conformi.
SI!: In che modo la scuola può operare per predisporre le opportune contromisure?
CM: Durante l’incontro ho suggerito azioni semplici, che possono costituire una fase iniziale: creare un comitato nella scuola in cui le persone con competenze sui temi tecnologici, di sicurezza e protezione del dato, diventino owner di una attività interna, volta a creare un infrastruttura di autenticazione locale per implementare accessi controllati (mediante username e password associati a singoli utenti verificandone identità e autorizzazione n.d.r.), o anche attraverso servizi cloud, per creare una anagrafica utenti, con una appropriata profilazione (configurazione autorizzativa n.d.r.) secondo il tipo di utente. È necessario implementare una difesa perimetrale e anche in questo caso il cloud potrebbe essere di aiuto, poiché in presenza di una parco PC è possibile collegare i device in rete garantendo anche la gestione degli endpoint. Per la posta esistono strumenti nativamente pensati per il comparto education. Un modello semplificato di questo tipo, dopo una prima realizzazione in una scuola come progetto pilota, potrebbe essere replicato in altri istituti. Ma almeno dovrebbe iniziare un percorso: il volontariato non basta, ma può essere un punto di partenza. Dopo sarebbe necessario avere un programma, strategie, a livello di ministero e a livello locale ci vorrebbero risorse concrete.
SI!: Ci vuole un impegno istituzionale in tal senso?
CM: In Italia la digitalizzazione non sembra una priorità dei programmi politici, anche se esiste una agenda digitale e un piano innovazione per la PA. Sembra che i grandi programmi stentino a permeare la realtà locale. Nelle scuole si vedono manifestazioni di buona volontà e sebbene come qualità dell’insegnamento siamo ancora tra i migliori, gli strumenti digitali e l’organizzazione per la gestione e insegnamento della sicurezza informatica per la protezione dei dati, devono migliorare con investimenti mirati perché è nelle scuole che si inizia il processo di creazione di una cultura.
SI!: Com’è la situazione nelle università?
CM: Ho tenuto recentemente un webinar per le università sullo stesso tema. È interessante notare la differenza fra gli atenei e la scuola dalle primarie fino alle superiori. L’elemento differenziante verte sulla presenza di infrastrutture ICT negli atenei, con persone dedicate. La consapevolezza sui temi di sicurezza e protezione dei dati è maggiore come è anche più approfondita la conoscenza della normativa. Se vogliamo si potrebbe dire che nelle università c’è un “problema da ricchi”, ovvero esiste già una base solida su cui effettuare migliorie e interventi di ottimizzazione, come può essere la definizione della profilazione delle fasce di utenza, a fronte di una già presente gestione delle identità. Oppure una miglioria potrebbe essere l’evoluzione verso piattaforme in cloud adottando il modello di responsabilità condivisa fra loro e Cloud Provider.
SI!: La sicurezza rappresenta una “gestione da ricchi” per quello che ha visto fra scuola e università, ovvero se la possono permettere solo quelle entità che hanno certe condizioni economiche?
CM: Non direi che sia corretto, la sicurezza nasce dalla cultura, dalla competenza e da infrastrutture. Farla e farla bene è un passaggio ulteriore ma dipende dal tipo di rischio che si vuole gestire. Per tutto il resto si può ricorrere all’outsourcing. Nella scuola l’asset principale sono i ragazzi, ed i loro dati vanno protetti, in un modo che sia efficace. Certamente sono necessarie risorse, anche economiche, per farlo.