giovedì 14 settembre 2017

Scuola

Prendo spunto da questa Intervista della Ministra Valeria Fedeli a Repubblica del 12 settembre 2017 per discutere di alcuni aspetti di IT Security connessi con questa "novità".

Al momento in cui scrivo si possono immaginare due scenari:
  1. la Scuola fornisce a tutti gli studenti gli strumenti (smartphone, tablet) in configurazione predeterminata e immutabile, e contestualmente fornisce la necessaria connettività (wifi)
  2. la Scuola ammette la presenza di dispositivi degli studenti, con qualche limitazione nel loro uso in classe
Il caso 1. comporterebbe un ovvio aumento di spesa a carico della Scuola, ma consentirebbe un discreto controllo sull'effettivo utilizzo dei device.

Il caso 2. prevede due sottocasi:
  • a) la connettività è fornita dalla Scuola (wifi)
  • b) la connettività resta a carico di ogni singolo studente (famiglia)
In particolare il caso 2.a è un classico BYOD, con tutti i problemi di IT Security che comporta questo tipo di architettura, in particolare: 
  • necessità di separare il traffico generato dagli studenti dal restante traffico istituzionale della Scuola (Registro Elettronico, Segreterie, altri organi interni che usano per le attività lavorative la connessione internet)
  • necessità di provvedere ad una sufficiente disponibilità di banda, tenendo conto del numero degli studenti
  • tracciabilità degli accessi e delle operazioni eseguite dagli studenti in classe
 In ogni caso è evidente che l'infrastruttura di connettività attualmente presente nelle scuole non è sufficiente (né quantitativamente, né qualitativamente) a sostenere queste novità con un grado decente di IT Security.

Dopo la macro analisi e lo studio di fattibilità, che può essere fatto genericamente a livello centralizzato, bisognerà affrontare il Change Management per ogni singolo Istituto Scolastico (se si interpretano bene le parole della Ministra, dalle Scuole Elementari fino alla Scuola Secondaria Superiore). Questa fase tra l'altro dovrà necessariamente includere il training per il personale che sarà addetto alla configurazione, manutenzione e gestione degli apparati di comunicazione, e quello ancor più innovativo diretto al Corpo Docente che si troverà a dover gestire l'uso in classe degli smartphone o tablet. Dovranno essere aggiornati i regolamenti interni, le incombenze delle diverse figure garanti della Privacy con le rispettive responsabilità. Indispensabile infine un piano di comunicazione alle famiglie, onde evitare malintesi.

I rischi connessi, anche considerando la numerosità dei punti da tenere costantemente sotto controllo, saranno piuttosto elevati:

  • integrità: i dati e le informazioni poterebbero essere compromessi, a causa di eventi fortuiti o provocati ad arte
  • confidenzialità: per le medesime cause, le informazioni (sia quelle che transiteranno sui device degli studenti, sia quelle eventualmente esposte per errori dell'infrastruttura) potrebbero finire in mano a persone non autorizzate
  • disponibilità: come già ricordato, la numerosità degli accessi prevedibile potrebbe evidenziare colli di bottiglia o altre criticità di tipo quantitativo causate da errato dimensionamento infrastruttura
  • privacy e dati sensibili: particolare attenzione dovrà essere posta nei controlli di sicurezza sui dati in transito e sugli accessi, compresa la memorizzazione dei log per eventuali indagini
Tutte queste considerazioni suggeriscono che non si tratti di una innovazione di poco conto, e soprattutto che non sarà fattibile in breve tempo.