La sicurezza informatica nelle scuole è importante. Forse ancor più che in altri settori, poiché si tratta di proteggere i dati personali di bambini e ragazzi. Molte scuole devono affrontare la sfida di garantire sia l'accesso a Internet che il massimo livello di sicurezza possibile. Scoprite in questa pagina cosa dovete considerare, come dirigenti di una scuola, in merito alla sicurezza della rete. In collaborazione con gli esperti, abbiamo anche creato un modello per un progetto di sicurezza ICT.
Direttamente al tema
Condividi la pagina
Le scuole sono il bersaglio preferito degli attacchi di hacker esterni o attacchi alla rete. I dati vengono rubati o la scuola viene esclusa dall'accesso ai propri dati e quindi ricattata. Per evitare ciò, il firewall è un elemento centrale della sicurezza.
I firewall sono disponibili come hardware o software. Entrambe le versioni impediscono efficacemente gli attacchi dall'esterno, ma ciascuna presenta vantaggi e svantaggi nell'utilizzo:
Un firewall locale viene installato su un particolare computer o dispositivo di rete che di solito si trova al gateway di accesso a Internet. Il firewall monitora il traffico dati in entrata e in uscita dalla rete. Funziona come una guardia di sicurezza digitale che monitora il traffico dati e blocca automaticamente le attività sospette.
Il traffico dati di una scuola viene instradato attraverso una speciale infrastruttura cloud che utilizza un firewall basato sul cloud prima di raggiungere Internet. Il firewall basato su cloud protegge il traffico dati.
Rispetto al firewall locale, questa struttura non richiede alcun hardware presso la scuola, ma solo una configurazione del router: Il traffico dati viene instradato esclusivamente verso il firewall del cloud e il traffico in entrata è consentito solo da lì.
La migliore pratica di sicurezza: per una sicurezza informatica a più livelli nelle scuole, si consiglia di utilizzare firewall sotto forma di hardware e sotto forma di software. Se una scuola non dispone di sufficienti competenze in materia di sicurezza, può affidarsi a un fornitore di servizi di sicurezza professionista. Inoltre, un firewall basato su cloud tende ad avere prestazioni migliori e a offrire più funzioni di sicurezza rispetto a un firewall locale.
Soprattutto nell'ambiente scolastico, si pone spesso il problema di utilizzare anche computer di terze parti (bring-your-own-device). In questo caso è particolarmente consigliato un firewall basato su cloud.
L'iniziativa «Scuole in Internet» di Swisscom fornisce a tutte le scuole della Svizzera una connessione a Internet e una soluzione di sicurezza.
I singoli collegamenti scolastici sono protetti da un'infrastruttura di sicurezza nel sistema centrale di Swisscom e gestiti da Swisscom. I parametri di sicurezza delle reti didattiche delle scuole elementari e cantonali possono essere impostate individualmente dai Cantoni in base alle loro esigenze.
I virus e i malware vengono spesso inviati via e-mail sotto forma di allegati, link o script incorporati. È possibile prevenire tali attacchi con misure tecniche mirate, a livello di sistema.
Il software dannoso viene spesso inviato come allegato (ad esempio come file eseguibile, documento o immagine) a un'e-mail. Se il destinatario apre questo allegato, il malware può installarsi sul computer.
Ma i link sono anche una porta d'accesso frequente per i software dannosi: un'e-mail con contenuti emotivi attira gli utenti verso un sito web dannoso. In questo contesto va menzionata anche la parola chiave phishing.
Oltre agli allegati e ai link, anche gli script incorporati possono trasportare virus e malware che vengono eseguiti quando l'e-mail viene aperta. Il pericolo è particolarmente elevato nel formato HTML, che oggi è lo standard per la visualizzazione delle e-mail.
Esistono misure tecniche che potete adottare per proteggere la vostra scuola da questi attacchi via e-mail:
Installate un software antivirus affidabile sui computer della scuola. A seconda della qualità del software, è possibile bloccare molte e-mail dannose.
Mantenete sempre aggiornato il sistema operativo dei computer della scuola per colmare le lacune di sicurezza nel modo più rapido e affidabile possibile. Anche tutti gli altri componenti della rete devono essere sempre aggiornati (ad es., firewall locale, punti di accesso, server locale).
Alcuni fornitori e-mail offrono una protezione da virus e malware. Scoprite cosa offre il vostro fornitore e approfittate dei servizi di protezione.
I firewall (hardware o software) menzionati in precedenza sono un'opzione popolare per bloccare non solo il traffico Internet sospetto, ma anche il traffico e-mail sospetto.
Ma anche tutte le misure tecniche combinate non possono offrire una protezione al 100%. Nonostante le misure adottate, potrebbe tuttavia succedere che delle e-mail dannose finiscano nella vostra casella di posta in arrivo. È quindi importante che la persona incaricata sappia come comportarsi. Qui potete scoprire da cosa riconoscere le e-mail fraudolente.
Sensibilizzare con urgenza tutti gli utenti (insegnanti e alunni) sui potenziali pericoli delle e-mail dannose, al fine di evitare l'installazione di virus e malware sui computer della scuola.
Ecco alcune idee per campagne di formazione o di sensibilizzazione:
I servizi, le applicazioni o i sistemi di gestione dei dati locali basati su cloud consentono diversi livelli di sicurezza per l'autenticazione degli e delle utenti. La sicurezza deve avere la massima priorità per i dati che necessitano di particolare protezione.
In linea di principio, maggiore è la protezione dell'accesso, minore, purtroppo, è la facilità di utilizzo. Sebbene i processi di login con più fasi di autenticazione possano essere complicati, non bisogna scendere a compromessi quando si tratta di dati personali di dipendenti o studenti e studentesse, voti, rapporti di apprendimento e così via, e bisogna sempre scegliere il livello di sicurezza e protezione più elevato possibile.
Per proteggere l'accesso a dati, archivi o dispositivi:
È quasi sempre possibile impostare password per proteggere l'accesso a dati, archivi o dispositivi. Assicuratevi che le password siano complesse e sufficientemente lunghe per garantire un elevato livello di sicurezza. Conservate le password al sicuro (ad esempio in un password manager della scuola), poiché purtroppo le password, a differenza delle chiavi biometriche, non sono a prova di furto(vedere phishing).
Inoltre, è possibile non utilizzare più le password come dati di accesso, ma ricevere codici di accesso limitati nel tempo o link di accesso via e-mail o SMS.
Spesso è possibile selezionare il metodo di autenticazione di un login. Per i dispositivi mobili come smartphone, tablet e laptop si sono affermate modalità di login quali impronta digitale e riconoscimento facciale. Rispetto alle password, le chiavi biometriche sono resistenti al phishing e quindi fondamentalmente più sicure.
Come suggerisce il nome, la MFA combina due fattori:
È ancora più sicuro se il codice del secondo passaggio è sostituito da una chiave biometrica (nota come inerenza).
Per proteggere l'accesso a dati, archivi o dispositivi della scuola, consigliamo:
Ad esempio, dopo aver corretto un esame, si desidera salvare i voti in formato digitale. Qual è il luogo più sicuro per conservare questi dati sensibili, in locale sul computer, su un server di dati locale o nel cloud?
I computer portatili non sono più adatti all'archiviazione dei dati. Da un lato, spesso non c'è molto spazio di archiviazione disponibile sul disco rigido e, dall'altro, i computer portatili possono cadere a terra o venire rubati. Per questo motivo, per l'archiviazione dei dati nelle scuole prevalgono le due varianti seguenti, spesso combinate tra loro:
Un'opzione è quella di archiviare i dati su un server interno alla scuola non direttamente collegato a Internet. Spesso si trova nell'infrastruttura scolastica e quindi è possibile accedervi solo dall'interno della rete scolastica.
Tuttavia, poiché Internet, i dispositivi scolastici e il server di dati sono collegati tra loro, non si può escludere un attacco esterno. Un virus che entra nella scuola tramite e-mail o chiavetta USB, ad esempio, può comunque raggiungere questa infrastruttura e causare danni, ad esempio identificando i punti di incursione e trasmettendoli agli hacker.
Questi luoghi di archiviazione digitale sono forniti da servizi professionali come Swisscom, Microsoft, Google o Amazon. Tutti hanno la responsabilità di proteggere particolarmente bene i dati loro affidati e investono molto in questa sicurezza.
Se i dati sono nel cloud, possono anche essere archiviati fisicamente all'estero, a seconda dell'azienda e delle sedi dei server. Ciò significa che i dati hanno lasciato lo spazio giuridico svizzero e che i Paesi terzi possono chiedere l'accesso ai dati sulla base della loro legislazione.
Tuttavia, l'Associazione dei responsabili cantonali della protezione dei dati è riuscita a far sì che Microsoft, con la sua popolare soluzione Office Microsoft 365, abbia foro competente in Svizzera. Ciò significa che i cittadini svizzeri e l'amministrazione possono intraprendere azioni legali contro Microsoft in caso di accesso illegittimo a tali dati in Svizzera.
L'unità specializzata educa dei Cantoni e della Segreteria di Stato per la formazione, la ricerca e l'innovazione (SEFRI) offre alle scuole un processo di analisi di facile comprensione per valutare quali aspetti richiedono un'attenzione particolare nella rispettiva scuola.
Molte scuole utilizzano già soluzioni basate sul cloud. Tuttavia, sebbene i dati siano archiviati online, in molti casi le scuole mantengono un'ulteriore struttura di archiviazione locale dei dati. Questo è particolarmente utile per la funzione di backup IT.
La gestione manuale di un archivio dati locale come archivio dati aggiuntivo e separato non è molto sensata. Lo sforzo richiesto per la gestione, ma anche il rischio di inutili ridondanze e, al contrario, di varianti diverse è troppo grande.
La soluzione migliore: configurate un backup IT che copi automaticamente i dati rilevanti a intervalli regolari e li salvi in una seconda posizione indipendente. È importante che questo backup IT sia salvato e conservato in una posizione diversa da quella dei file originali, in modo che in caso di danni non vadano persi l'originale E il backup. È inoltre importante che il backup sia protetto dai virus: l'infrastruttura di backup deve quindi essere isolata dal resto della rete.
Sin dall'avvento dei servizi basati sul cloud o sull'archiviazione dei dati, la protezione dei dati nelle scuole è sempre stata una questione fondamentale. Dopo tutto, è importante assumersi la responsabilità di dati particolarmente sensibili e proteggerli nel miglior modo possibile.
Dati particolarmente sensibili? Questo include, ad esempio, le relazioni degli studenti e delle studentesse, i voti, i compiti a casa e gli stipendi del personale docente.
Se tali dati sono memorizzati in servizi di archiviazione online come Apple iCloud, Microsoft SharePoint, Dropbox o Google Cloud, vi sono diversi requisiti che devono essere soddisfatti. L'Associazione dei responsabili cantonali della protezione dei dati ha pubblicato un opuscolo(apre una nuova finestra) che descrive in dettaglio i passi necessari.
Il centro specialistico per l'ICT nell'istruzione (educa, www.educa.ch(apre una nuova finestra)) ha anche compilato le risorse specifiche per ogni cantone(apre una nuova finestra), «Materiale informativo sull'uso e la protezione dei dati».
Se, nonostante tutte le precauzioni di sicurezza, si verifica un attacco ai dati o ai sistemi della scuola, è necessario reagire il più rapidamente possibile. Alcune misure immediate sono ormai obbligatorie, altre possono essere adattate alla situazione.
Se, nonostante tutte le precauzioni di sicurezza, si verifica un attacco ai dati o ai sistemi della scuola, è necessario reagire il più rapidamente possibile. Alcune misure immediate sono ormai obbligatorie, altre possono essere adattate alla situazione.
In caso di furto di dati, è necessario procedere immediatamente come segue:
Chiarite il più rapidamente possibile quali dati sono interessati dall'incidente. Le misure devono essere adattate in base alla sensibilità.
Se sono interessate solo alcune parti dei dati, mettete in sicurezza l'accesso ai dati rimanenti in relazione al rischio che si è verificato. Ad esempio, scollegate altri server dalla rete, bloccate gli accessi dai terminali interessati o modificate le password ecc.
S seconda della forma di attacco, potreste non essere in grado di fermarlo senza un aiuto esterno. Informate il vostro fornitore di servizi di sicurezza e il punto di contatto presso il Dipartimento dell'Istruzione del vostro Cantone. Vi sosterranno in tutti gli ulteriori passi e misure.
Informate le persone interessate dal furto di dati nel modo più rapido e chiaro possibile. Rapidamente, in modo che queste persone possano aggiornare immediatamente le password o avviare altre misure di sicurezza. Con la massima chiarezza, in modo da restringere il più possibile la portata del furto di dati. Assicuratevi inoltre che il vostro messaggio non possa essere frainteso come un attacco di spam o di phishing.
I progetti di crisi sono obbligatori nelle scuole svizzere di molti Cantoni. Una squadra di intervento in caso di crisi (SIC) segue un addestramento speciale per essere preparata ad affrontare minacce e disastri.
I progetti di crisi convenzionali riguardano spesso casi come incendi, inondazioni, prese di ostaggi, incidenti ecc. Purtroppo, spesso manca un capitolo sulle crisi ICT. Per sapere quali aspetti sono rilevanti per un progetto di crisi ICT, consultate il sito Modello progetto ICT.
I progetti di crisi sono obbligatori nelle scuole svizzere di molti Cantoni. Tuttavia, questi progetti di crisi spesso mancano di un capitolo sulla crisi delle ICT, le quali possono avere conseguenze devastanti. Raccomandiamo di redigere tempestivamente un progetto per le crisi ICT e forniamo anche un modello esemplificativo che è stato esaminato da esperti.
Un progetto di crisi ICT aiuta voi e il vostro team ad acquisire una comprensione comune delle aree dell'architettura di rete della scuola, a identificare i rischi esistenti e a poter contare su un processo definito in caso di perdita di dati o di guasto informatico.
Che il progetto di crisi ICT sia incorporato nel progetto di crisi esistente o creato come documento separato è irrilevante, purché esista in una forma o nell'altra. Come il progetto di crisi, anche quello di crisi ICT deve essere rivisto e praticato a intervalli regolari con tutti i settori coinvolti.
Al seguente link troverete il modello esemplificativo di un progetto di crisi ICT. A seconda della struttura e dell'organizzazione della scuola, alcuni aspetti possono essere omessi e altri possono essere aggiunti.
Qui abbiamo raccolto ulteriori informazioni e contenuti sul tema della "sicurezza informatica nelle scuole".