Il nuovo regolamento dell’ Unione Europea n.679/2016 per la protezione dei dati personali, conosciuto con l’acronimo GDPR (General Data Protection Regulation) entra in vigore, il 25 maggio prossimo, che riguarda appunto la protezione dei dati nell’epoca digitale nella Pubblica Amministrazione.
Su questa necessità di tutelare la conservazione dei dati e la prevenzione delle intrusioni, nell’Istituto di Istruzione Superiore “Trani-Moscati” di Salerno, retto dal D.S. Prof. Claudio Naddeo, nell’aula “Angelo Vassallo”, si è tenuto lunedì 26 marzo, un seminario di formazione inerente l’applicazione delle misure minime di sicurezza informatiche in vista della data di scadenza del 25 maggio quando sarà immediatamente applicabile il regolamento europeo relativo alla protezione dei dati, a seguito dell’abrogazione del vecchio Codice della Privacy.
Dopo i saluti della Prof.ssa Carmela Bove, Presidente Provinciale ANP Salerno, hanno relazionato il Prof. Claudio Naddeo, D.S. “IIS “Trani-Moscati”, su “Dirigenza scolastica e Management dei Tool per la protezione dei dati”, l’Ing. Biagio Garofalo, esperto sistemi informatici – Confindustria, su “Il ruolo della normazione nell’ambito della sicurezza informatica, e nella gestione della privacy”, il Dott. Fabrizio Illiano, esperto in sicurezza informatica e Dirigente ITS Information Technology Service, su “I nuovi adempimenti introdotti dal regolamento UE – Misure minime di sicurezza” e, infine, il Dott. Vincenzo De Prisco, esperto in materia di Protezione dei dati, su “Il DPO Data Protection Officier, condizioni, requisiti, compiti, responsabilità. La valutazione di impatto – DPIA Data Protection Impact Assestement”.
Si tratta di un seminario di formazione che rientra nelle iniziative della A.N.P., Associazione Naz. Presidi, organizzato dalla sezione di Salerno – precisa il Preside Naddeo – e che garantisce momenti di formazione, di supporto, per Dirigenti, Personale Amministrativo e Docenti della scuola. In vista di questa importantissima scadenza ci stiamo confrontando questa mattina sia sugli adempimenti di carattere normativo da mettere in ordine, sia per concordare una strategia comune anche in rete tra i soci dell’ANP per quanto riguarda le procedure da attivare per essere pronti il 25 maggio, considerato che il regolamento è già esecutivo, quindi, non sarà un punto di partenza, il 25 maggio, ma è un punto di arrivo e dobbiamo essere già pronti e predisposti per garantire ciò che è previsto dalla normativa”. Verte sulla definizione e sulla spiegazione del motivo per cui si devono associare delle norme tecniche al mondo privacy, il commento dell’Ing. Garofalo,Direttore Tecnico Consiglio Nazionale degli Ingegneri: “ La privacy, col nuovo G.D.P.R., divulga norme tecniche, ma si lega a quelle emanate dall’AgID, Agenzia per l’Italia Digitale, con la circolare n°2, dell’aprile 2017, dove sono state riportate delle regole di sicurezza informatica standard, imposte dal mondo internazionale dal SANS Institute (SysAdmin, Audit, Networking, and Security) dal quale l’AgID ha prelevato, grazie agli studi fatti dalla Sapienza per il Cyber Security Report, per il piano di sicurezza nazionale, le regole fondamentali per la sicurezza informatica.
Il concetto è che la norma viene applicata dal GDPR in funzioni di regole specifiche e tecniche emanate dall’AgID; quindi l’applicazione di queste, permetteranno di impostare le proprie infrastrutture privacy by design (n.d.r. – che riguarda il principio di incorporazione della privacy a partire dalla progettazione di un processo aziendale con le relative applicazioni informatiche di supporto) o in privacy by default (n.d.r. –che stabilisce, invece, che per impostazione predefinita le imprese dovrebbero trattare solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini.), quindi, il riferimento della privacy rispetto alla parte tecnica è relativo al mondo AgID. Il perché dell’importanza delle norme è dovuto al fatto che tramite le norme si rendono standard gli interventi da fare all’interno delle infrastrutture e all’interno delle organizzazioni.
Riassume in vari punti principali, il Dott. Illiano, i punti affinché un istituto scolastico possa porsi a norma, quindi, adeguare quelle che sono le misure minime: “Quest’incontro voluto dal Preside Claudio Naddeo, ha lo scopo, praticamente, di focalizzarci su quello che è l’ultima normativa in merito alla protezione dei dati, conosciuta come GDPR. Questo è un regolamento varato dalla Comunità Europea e riguarda, appunto, la protezione dei dati nell’epoca digitale. Il nostro ruolo in questo convegno è quello di porre l’attenzione su quelle che sono le misure minime tecniche informatiche da adottare per proteggere i dati gestiti, in questo caso, all’interno di una istituzione scolastica, quindi, all’interno di una Pubblica Amministrazione. Il tutto si sintetizza in vari punti che sono : gestione delle credenziali in modo centralizzato e consentire, grazie a questa centralizzazione, un controllo delle policy di sicurezza comuni a tutta l’organizzazione, quindi, il primo punto si ottiene andando ad adottare un dominio di rete Microsoft, grazie al quale riusciamo a impostare le regole di sicurezza generali.
Poi, altro punto, sui cui poniamo l’attenzione, è quello della sicurezza da virus o anche “malware” che, purtroppo, oggi, sappiamo essere una delle principali cause di perdita o compromissione di dati, per cui il consiglio che diamo ai dirigenti è di adottare sistemi di antivirus e antispam che servono proprio a prevenire questo tipo di attacchi. Ancora una volta, puntiamo i riflettori su una sicurezza perimetrale, quindi, sul “Firewall” perché il “Firewall” ci consente di adottare delle policy IPS (Intrusion Prevention System), sistemi anti-intrusione, grazie ai quali cerchiamo di bloccare minacce, prima che esse possano provocare dei danni all’interno dei sistemi informativi. In seguito, ci occupiamo delle misure cautelative e tocchiamo il punto del back-up, delle copie di sicurezza che diventano fondamentali nello scenario della protezione dei dati che consentiranno, qualora un’organizzazione, in questo caso un istituto, venisse colpita da un attacco informatico, consentiranno il ripristino di quei dati e quindi si va a tutelare quella che è la perdita eventuale di quei dati. L’ultimo punto, riguarda la cifratura dei dati. Siamo arrivati, ormai, ad avere coscienza che comunque vengano attivate misure di sicurezza all’interno di un sistema, queste misure possono essere eluse e quindi l’obiettivo della cifratura è proprio quello di non consentire, ai non autorizzati, di poter leggere i dati che sono stati preventivamente cifrati.”