Il Miur ha fornito indicazioni alle scuole con la nota prot. 3015 del 20 dicembre 2017 circa gli obblighi previsti dalla circolare Agid n. 2/2017 sull’adozione delle misure minime di sicurezza ICT per le pubbliche amministrazioni.
In particolare, la scuola deve definire il raggiungimento dei livelli di sicurezza attesi e compilare il modulo di implementazione.
La sicurezza è un processo dinamico. Non esistono soluzioni preconfezionate, o applicabili a tutti. E’ impossibile raggiungere la sicurezza “assoluta”, in
quanto non esistono sistemi sicuri.
Occorre puntare a un grado ragionevole e adeguato di sicurezza. Bisognerà includere nel perimetro dell’analisi anche eventuali servizi erogati in rete dai fornitori tramite la loro infrastruttura tecnologica, ospitanti dati dell’istituzione scolastica (es. registro elettronico di classe e del docente).
In quest’ultimo caso si dovrà richiedere direttamente al fornitore la compilazione delle informazioni relative alla sicurezza del servizio erogato all’istituzione scolastica.
Le direttive ministeriali suggeriscono un modello per la gestione della sicurezza, da adattare alla realtà di ogni amministrazione che prevede essenzialmente i seguenti passi:
• definizione delle strategie generali (politiche);
• formalizzazione delle procedure e delle regole;
• controllo del rispetto delle norme (auditing);
• gestione dei problemi di sicurezza (incident management).
Responsabile della sicurezza informatica: Ins. Andrea GROMPONE