Il Miur ha inviato alle scuole la nota n. 3015 al fine di fornire indicazioni in merito alle misure minime di sicurezza ICT per le pubbliche amministrazioni.
Le misure suddette devono essere adottate entro il 31 dicembre 2017.
Cosa sono e a cosa servono
Le misure minime di sicurezza vanno adottate al fine contrastare le minacce più comuni e frequenti a cui sono soggette le amministrazioni.
Le predette misure non sono da considerarsi come un obbligo da adempiere ma come uno strumento tramite il quale le Amministrazioni possono verificare autonomamente, anche senza ricorrere a specialisti del settore, la propria situazione attuale e avviare un percorso di monitoraggio e miglioramento.
L’attività di monitoraggio e miglioramento, leggiamo nella nota, è quanto mai necessaria per le scuole, che risultano spesso carenti dal punto di vista della sicurezza del loro patrimonio informativo.
Obiettivi
Tramite le misure minime di sicurezza, ci si propone di raggiungere i seguenti obiettivi:
- Supportare le Amministrazioni, in particolare quelle meno preparate, mediante la messa a disposizione di un riferimento operativo direttamente utilizzabile (checklist), nell’attesa della pubblicazione di documenti di indirizzo di più ampio respiro (linee guida, norme tecniche);
- Stabilire una baseline comune di misure tecniche ed organizzative irrinunciabili;
- Fornire alle Amministrazioni uno strumento per poter verificare lo stato corrente di attuazione delle misure di protezione contro le minacce informatiche, e poter tracciare un percorso di miglioramento;
- Responsabilizzare le Amministrazioni sulla necessità di migliorare e mantenere adeguato il proprio livello di protezione cibernetica.
Il modulo di implementazione
Il modulo di implementazione costituisce:
- uno strumento di lavoro, utile a fotografare lo stato del percorso di adeguamento alle succitate misure minime;
- una traccia per l’implementazione di un percorso di miglioramento della sicurezza complessiva del sistema informativo dell’amministrazione.
Il modulo va compilato distinguendo tra sistemi e personal computer collegati in rete e quelli isolati (eventualmente utilizzando due distinti moduli).
La distinzione è necessaria in quanto i sistemi isolati hanno caratteristiche di vulnerabilità differenti. Per strumenti isolati si intendono, ad esempio, tablet e smartphone, che vengono collegati alla rete solo in precisi momenti.
L’analisi deve riguardare anche eventuali servizi erogati in rete dai fornitori, tramite la loro infrastruttura tecnologica e ospitanti dati della scuola (come ad esempio il registro elettronico di classe e del docente). In tal caso si deve richiedere al fornitore la compilazione delle informazioni relative alla sicurezza del servizio erogato all’istituzione scolastica.
Il modulo, una volta compilato, va conservato e aggiornato in funzione dei cambiamenti e dei miglioramenti conseguiti nel tempo.
Il modulo può essere firmato digitalmente (naturalmente dal dirigente scolastico).
Livelli di applicazione
Le misure di sicurezza possono essere implementate gradualmente, considerata la complessità del sistema informativo e la realtà organizzativa dell’Amministrazione cui si riferiscono.
Al fine suddetto, si distinguono diversi livelli di sicurezza, di seguito riportati.
Livello Minimo: è quello al quale ogni Pubblica Amministrazione, indipendentemente dalla sua natura e dimensione, deve necessariamente essere o rendersi conforme. Questo livello può ritenersi sufficiente per gli istituti scolastici.
Livello Standard: può essere assunto come base di riferimento nella maggior parte dei casi.
Livello Avanzato: deve essere adottato dalle organizzazioni maggiormente esposte a rischi (ad esempio per la criticità delle informazioni trattate o dei servizi erogati), ma anche visto come obiettivo di miglioramento da parte di tutte le altre organizzazioni.
