Le misure tecniche da adottare devono essere messe in atto tenendo in considerazione i tempi della platea scolastica per prendere confidenza con questi sistemi ed aumentare la consapevolezza del personale scolastico (docenti e personale ATA), studenti e genitori su quanto i propri dati siano preziosi e che basta cambiare poche semplici abitudini per diminuire esponenzialmente i dati esposti verso queste piattaforme e di conseguenza diminuire i rischi di sicurezza derivanti.
Al link la comunicazione che spiega nel dettaglio (tecnicamente e legalmente) i problemi derivanti dall’utilizzo di piattaforme Extra-EU.
https://www.info-studio.it/allegati/Comunicazione%20del%20DPO%20relativa%20al%20trasferimento%20dati%20verso%20paesi%20Extra-UE–24-04.pdf
Le misure da adottare si suddividono in:
- Misure Comportamentali (MC) (4 misure che devono seguire docenti, personale ATA, studenti e genitori)
- Misure Tecniche per l’amministratore di sistema (MTA) (1 misura che deve applicare chi gestire le reti di didattica ed amministrazione della scuola)
- Misure Tecniche (MT) (che deve applicare l’amministratore della piattaforma)
Consigliamo di seguire questi passaggi dandone comunicazione per tempo alla platea scolastica e secondo i loro tempi. I tempi di applicazione sono indicativi e devono essere stabiliti sempre in relazione al proprio personale scolastico (docenti e ATA), ai propri studenti ed ai propri genitori.
Ai seguenti link due bozze di circolare:
Bozza di circolare per la sospensione del servizio:
Bozza di circolare per la riattivazione del servizio dopo l’applicazione delle misure minime di sicurezza:
Riepilogo di tutte le Misure Tecniche da applicare con relativi esempi e soluzioni.
https://aiuto.info-studio.it/kb/misure-minime-workspace-365/
Per una lista di altre applicazioni e siti web e se utilizzabili o meno rimandiamo questo link:
https://aiuto.info-studio.it/kb/lista-piattaforme-e-siti-web-per-la-didattica/
Una volta che la scuola avrà iniziato ad implementare le Misure Tecniche e le Misure Comportamentali potremo iniziare la valutazione per la redazione di TIA e DPIA.
Data la complessità della situazione abbiamo creato un indirizzo email dedicato in caso di dubbi o si desiderino maggiori informazioni sulla correttezza della procedura che si sta applicando è possibile scrivere a supporto@info-studio.it
1 Fase Informativa (durata 30-60 giorni)
In questa prima fase si deve:
- Informare la platea che Google Workspace e Microsoft 365 sono piattaforme che vanno utilizzate correttamente.
- Informare sulle piattaforme e sui siti Europei (utilizzabili) ed Extra-EU (non utilizzabili)
- Applicare le prime Misure Tecniche (MT)
- Disattivazione delle applicazioni non Core delle piattaforme
- Disattivazione delle piattaforme di videoconferenza incluse nelle piattaforme non Europee
- Disattivazione della posta elettronica della piattaforma (O almeno limitarne l’uso al solo interno della piattaforma) e nel caso abilitare un Relay per inviare la posta dei docenti e del personale ATA verso @posta.istruzione.it
- Attivazione del DLP di Google/Microsoft (Il DLP è un software che cerca dati personali in GoogleDrive/OneDrive ed informa l’amministratore di quanti dati personali circolano all’interno della piattaforma)
- Far applicare le Misure Comportamentali (MC)
- Utilizzare solamente le applicazioni di essenziali (Classroom e Drive / Teams e OneDrive)
- Utilizzo di applicazioni di videoconferenza Europee
- Utilizzo di browser con blocco dei traccianti e VPN
- Svuotare Google Drive/OneDrive di tutti i documenti contenenti dati riservati
- Utilizzare correttamente Google Drive / OneDrive
- Utilizzare la mail @posta.istruzione.it o il registro elettronico per le comunicazioni ufficiali
- Far eseguire dall’amministratore di sistema le Misure Tecniche su PC e rete dell’Istituto
In questa prima fase i docenti ed il personale ATA devono essere guidati ad un utilizzo corretto, possono utilizzare Classroom, possono utilizzare Drive, ma devono fare attenzione, evitare comportamenti scorretti ed a svuotare i propri Drive da tutti i documenti contenenti dati personali e sensibili.
La scuola può decidere di applicare le Misure Tecniche a scaglioni di settimana in settimana se la platea scolastica può incontrare difficoltà all’applicazione di tutte le misure in contemporanea.
Al link infografica ed informazioni della prima fase per docenti, personale ATA, studenti e genitori.
[Link]
2 Fase Pseudonimizzazione (durata 30-60 giorni)
Questa fase è cruciale, una volta che docenti, personale ATA, studenti e genitori hanno iniziato a limitare i traccianti inviati alle piattaforme ed imparato ad utilizzare correttamente la piattaforma si può passare alla fase di pseudonimizzazione.
Con pseudonimizzazione s’intende la trasformazione di mail come mario.rossi@scuola.edu.it in mario.685735@scuola.edu.it e comprende:
- L’eliminazione di tutti gli Account dalla piattaforma
- La creazione di tutti gli Account ex novo già pseudonimizzati
- La creazione da parte dell’amministratore di dominio delle classroom con docenti e studenti
- Disattivazione di tutte le applicazioni non essenziali della piattaforma
Dato che la pseudonimizzazione impatterà in maniera determinante sull’utilizzo della piattaforma la scuola può decidere di rinviare questa fase all’inizio dell’anno scolastico così da creare tutto ex novo già pseudonimizzato e già con le classroom pronte con i ragazzi all’interno.
La pseudonimizzazione è una procedura che va eseguita annualmente. A fine anno scolastico si eliminano gli utenti ed ad inizio anno scolastico si creano gli utenti (sempre con codici diversi).