La pandemia di COVID come inciderà sul sistema educativo a lungo termine? Quali saranno le conseguenze della sentenza Schrems II della Corte di giustizia dell’Unione europea sui servizi digitali in Svizzera? Quali misure devono prendere le scuole per proteggersi da un attacco ransomware? Tutte queste domande riflettono le incertezze che il sistema educativo deve affrontare nell’era digitale. Ma come si possono fronteggiare queste tematiche in modo sistematico, efficace ed efficiente?
Al giorno d'oggi, la gestione del rischio è diventata una disciplina specializzata, che si ritrova in molti ambiti d'attività. Per la gestione del rischio sono in vigore diversi standard, dallo standard generale ISO/IEC 3100, a standard specifici relativi alla gestione della sicurezza dell'informazione o alla protezione dei dati.
Edulog: focus sulla protezione dei dati e sulla sicurezza dell'infrastruttura
Siccome la gestione del rischio deve sempre riflettere il contesto nel quale viene praticata, le attività specifiche variano a seconda che il rischio sia strategico, legato a un progetto oppure operativo. Ad esempio, nell'ambito di Edulog (francese), cerchiamo regolarmente dei nuovi rischi, che potrebbero violare la protezione dei dati oppure compromettere la sicurezza dell'infrastruttura.
Raggiungiamo questo obiettivo con un approccio proattivo, consultando le banche dati sulla sicurezza oppure monitorando gli sviluppi che avvengono nell’ambito della formazione, del diritto e della tecnologia. Dopo che abbiamo identificato e analizzato un rischio, definiamo le misure appropriate e le implementiamo. Spesso, questo approccio porta ad effettuare ulteriori controlli. Un controllo è un mezzo per integrare le pratiche di gestione del rischio nei processi esistenti. Un esempio concreto di tale approccio, sarebbe quello che riguarda Edulog, nel caso in cui dovesse proteggersi dal rischio di un attacco ransomware. Ciò richiede l'implementazione di una serie di misure tecniche e organizzative, quali ad esempio, la protezione da malware, comprese le precauzioni anti-phishing, delle procedure di backup regolari, il monitoraggio del traffico di rete, ecc. Queste misure sono perciò monitorate continuamente, per assicurarsi che siano effettivamente efficaci. Per Edulog, manteniamo tutti questi rischi, ed i loro controlli, in un sistema di gestione della sicurezza delle informazioni (ISMS), che è certificato secondo ISO/IEC 27001 e verificato da revisori esterni.
Un'opportunità per il sistema educativo
Benché di solito si presume che un rischio si riferisca a qualcosa di negativo, a volte può capitare che l'incertezza di base diventi invece un'opportunità per il sistema educativo. Come nel caso in cui un nuovo sviluppo sistemico, in seno all'educazione, riunisca tutti i cantoni e permetta loro di condividere le migliori pratiche, come ad esempio l'utilizzo di soluzioni per la gestione dell'identità. Tali situazioni richiedono un'analisi appropriata per determinare il modo migliore per generare delle sinergie. Ciò, a sua volta, richiede una comunicazione aperta con tutte le parti interessate.
La gestione del rischio è una pratica che si estende a tutte le attività della nostra agenzia specializzata e serve quindi a rendere consapevoli tutti i dipendenti sulla sicurezza dell’informazione e sulla protezione dei dati durante la loro attività, al fine di poter prendere delle decisioni ponderate e aggiornate.