Idee e suggerimenti per la sicurezza e il filtraggio nelle Scuole
Transcript
Idee e suggerimenti per la sicurezza e il filtraggio nelle Scuole
Protezione web e sicurezza informatica Collini Consulting s.a.s. via Cervese, 1424 47521 Cesena (FC) tel. +39 0547 632314 fax +39 0547 635019 www.flashstart.it dott. Ivan Cangini esperto di finanziamenti via Casetti, 10, Cesena [email protected] www.studiocangini.it Idee e suggerimenti per la sicurezza e il filtraggio nelle Scuole Il capitolato - allegato a un contratto d’appalto tra Fornitore e Pubblica Amministrazione - indica le specifiche tecniche richieste e le modalità di attuazione, insieme ai costi e alle tempistiche di realizzazione. E’ importante scrivere un buon capitolato che - dall’analisi degli effettivi bisogni - permetta di valutare con criterio e in una scala di prodotti e prestazioni paritetiche le offerte presentate. Acquistare sicurezza per internet nella Pubblica Amministrazione, oggigiorno, non equivale a installare un dispositivo, configurarlo e poi dimenticarsene. Fare sicurezza in Rete, nel vero senso della parola, presuppone una serie di caratteristiche imprescindibili ed un servizio continuo di aggiornamento e monitoraggio. Abbiamo sintetizzato di seguito una serie di caratteristiche secondo noi importanti per acquistare una buona soluzione di sicurezza corredata da un adeguato servizio post-vendita, basandoci sulla nostra esperienza quindicennale nelle Scuole. FIREWALL PERIMETRALE E SEPARAZIONE RETI UFFICI E DIDATTICA E’ la protezione del perimetro di rete e la corretta gestione del traffico da e verso Internet. Il firewall permette di selezionare le porte ed i servizi da concedere e da bloccare. E’ fondamentale, in una Scuola, disporre di due LAN fisicamente separate fra di loro per gestire in modo autonomo la rete della Segreteria da quella della Didattica. Il firewall, unico, dovrà poi applicare differenti regole alle due reti che convergeranno in esso. AUTENTICAZIONE DEGLI STUDENTI Le recenti Direttive sul Cyberbullismo impongono l’adozione di un sistema di accesso ad internet autenticato da username e password personali. E l’Amministratore di Rete, insieme al Dirigente scolastico, è responsabile anche sul piano personale di eventuali illeciti commessi dai propri utenti su internet. E’ quindi necessario per un Ente regolamentare l’accesso ad Internet e proteggere così anche i suoi Dirigenti. Il sistema di autenticazione deve prevedere, all’apertura del programma di navigazione, l’inserimento delle proprie credenziali che verranno abilitate alla Rete associate al corretto profilo di navigazione Protezione web per le Scuole, Protezione web Microimpresa. Soluzioni Appliance, Hybrid e Cloud per Imprese e PA. Protezione web e sicurezza informatica Collini Consulting s.a.s. via Cervese, 1424 47521 Cesena (FC) tel. +39 0547 632314 fax +39 0547 635019 www.flashstart.it (studenti, insegnanti, personale amministrativo, ecc.), con differenti restrizioni e politiche di navigazione. Il sistema di autenticazione dovrà essere centralizzato nella Sede principale e gestire le eventuali richieste di accesso provenienti dalle Sedi periferiche in modo da garantire la circolarità degli utenti (si pensi ad un insegnante che deve svolgere lezioni in più plessi scolastici). Dovranno essere memorizzate e conservate nel sistema gli eventi di logon e logoff degli utenti dalla Rete. L’autenticazione deve essere disponibile sia per le postazioni connesse via rete LAN sia per i dispositivi (tablet, smartphone, laptop, ecc.) connessi mediante le reti Wifi scolastiche, in fortissima crescita. Il sistema di autenticazione deve prevedere un caricamento rapido dai principali software gestionali scolastici mediante esportazione in Excel e deve essere anche in grado di generare automaticamente la login e password. Lo strumento di “stampa delle lettere di consegna” completa il lavoro dell’Amministratore di Rete che potrò automaticamente stampare su carta ed imbustare le credenziali degli utenti ad inizio dell’anno scolastico. FILTRO CONTENUTI E PROFILAZIONE DIFFERENZIATA DEGLI UTENTI E’ impossibile pensare ad una organizzazione con decine o centinaia di utenti senza alcuna regola di navigazione: diventerebbe entro poche ore un vero e proprio Far-West digitale! Internet è uno spazio cybernetico pieno di insidie e pericoli: dalla pedopornografia alla violenza, al download di software illegali e ai siti infetti (es. Cryptolocker) passando per le truffe online e la perdita di tempo e concentrazione sui social network (es. Facebook). Il modulo di filtro dei contenuti permette di creare differenti profili di navigazione per tipologia di utente (studenti, insegnanti, impiegati, dirigenti, ecc.), ognuno con le sue limitazioni e concessione. Ad esempio, deve essere possibile concedere “Youtube” per lo svolgimento di alcune lezioni agli insegnanti ma non agli studenti, altrimenti la connessione ad internet si saturerebbe dopo pochi minuti. Certe limitazioni devono poi essere rimosse dal personale tecnico preposto alla manutenzione dei laboratori per permettere loro lo svolgimento degli aggiornamenti e delle installazioni (ad esempio, il blocco dei download è fondamentale per gli studenti ma limitativo per i tecnici di laboratorio). Il modulo di filtro dei contenuti viaggia così in stretta sinergia con l’autenticazione degli utenti. REPORT PRIVACY-COMPLIANT L’analisi del traffico ad internet è uno strumento fondamentale per capire che tipologia di traffico viene effettuato e se le politiche di navigazione, e di restrizione, sono efficaci o richiedono ritocchi. I report devono essere in piena ed assoluta regola con le disposizioni in materia di Privacy e in rispetto allo Statuto dei Lavoratori: niente dati personali ma soltanto informazioni aggregate che non permettano di risalire in alcun modo alle preferenze di navigazione dei singoli utenti. La reportistica deve essere visibile nella propria area web riservata di gestione del Firewall con possibilità di ricezione in posta elettronica della reportistica PDF. PROTEZIONE DELLE “RICERCHE E IMMAGINI DI GOOGLE” Una volta impostate le corrette Blacklist (pedopornografia, violenza, giochi d’azzardo, ecc.), si pone un problema: come bloccare le immagini sgradite (spesso anche molto spinte!) e i contenuti indesiderati Protezione web per le Scuole, Protezione web Microimpresa. Soluzioni Appliance, Hybrid e Cloud per Imprese e PA. Protezione web e sicurezza informatica Collini Consulting s.a.s. via Cervese, 1424 47521 Cesena (FC) tel. +39 0547 632314 fax +39 0547 635019 www.flashstart.it da Google senza bloccare il motore di ricerca stesso? Un valido ed attuale sistema di content filtering è in grado di lasciare visualizzare soltanto i risultati consoni l’attività didattica e lavorativa inibendo materiali audio e video indesiderati. Le immagini di ricerca risiedono nella memoria (cache) di Google ed è oggigiorno impensabile bloccare lo strumento di ricerca! MONITORAGGIO REMOTO PROATTIVO Il sistema di sicurezza internet è in funzione 24 ore su 24 e 7 giorni su 7, per proteggere gli accessi degli utenti e bloccare le minacce provenienti dall’esterno. E’ di fondamentale importanza disporre di un sistema di monitoraggio, da remoto e funzionante in Cloud, delle funzionalità vitali della macchina Firewall in grado di allertare il Fornitore e l’Amministratore di rete in caso si verifichino anomalie e malfunzionamenti. Una serie importante di eventi può essere risolta direttamente online senza arrivare al fermo del Firewall e il conseguente distacco forzato da internet, che paralizzerebbe l’attività amministrativa e didattica dell’istituto. Il sistema di monitoraggio deve prevedere un accesso web per gli Amministratori di Rete che consenta la verifica in tempo reale dello stato della propria rete e la conseguente apertura di richieste di supporto. SUPPORTO TECNICO E TRACCIAMENTO DEGLI INTERVENTI L’helpdesk svolge un ruolo fondamentale durante la vita di un prodotto di sicurezza internet e deve essere disponibile almeno dalle 8 di mattina alle 18 della sera. L’accesso all’helpdesk deve essere facilitato e rapido: non è più ammissibile un’attesa telefonica alla disperata ricerca di un operatore libero. Le richieste di assistenza tecnica devono essere inoltrabili anche tramite sito web, email e SMS (strumento rapido e importantissimo), oltre che da normale call center. Il Fornitore deve poi prevedere, online, ad offrire un’interfaccia con lo stato in tempo reale (Tracking) delle proprie richieste (aperta, in gestione, chiusa) e la possibilità di sollecitare ed interagire. GEOLOCALIZZAZIONE: BLOCCO DEI PAESI INDESIDERATI Il famigerato virus "Cryptowall" ha origine in Paesi privi di adeguate leggi che regolamentano la Rete. È piuttosto semplice depositare un virus in un server collocato fisicamente in territorio con scarsi controlli delle Autorità informatiche. E l'antivirus non basta! È fondamentale, in abbinamento al filtro dei contenuti, la presenza del modulo di geolocalizzazione, in grado di bloccare il traffico dai Paesi a rischio infezioni e pirati informatici. Se un Ente ha esigenze standard di navigazione, basterà abilitare il traffico verso l’Europa e il Nord America (dove risiedono i più importanti siti mondiali quali Google, Microsoft, ecc.) e bloccare tutto il resto: le possibilità di attacco da Hacker, virus, spyware, ecc. diminuirà esponenzialmente, bloccando a monte le fonti considerate non sicure a livello di internet. Protezione web per le Scuole, Protezione web Microimpresa. Soluzioni Appliance, Hybrid e Cloud per Imprese e PA. Protezione web e sicurezza informatica Collini Consulting s.a.s. via Cervese, 1424 47521 Cesena (FC) tel. +39 0547 632314 fax +39 0547 635019 www.flashstart.it GESTIONE DI PIU’ CONNESSIONI AD INTERNET Data l’imprescindibile importanza della connessione ad internet a banda larga, sono sempre più gli Enti che si avvalgono di due connessioni ad internet, per bilanciare il carico tra gli utenti e per avere continuità nel caso di guasto temporaneo di una connessione. E’ consigliato disporre, in caso di scelta di due linee, di un provider “a cavo” (Adsl, Hdsl, fibra ottica) ed uno a trasmissione Radio “Wimax”. Due connessioni a cavo non garantiscono una piena ridondanza: basta un guasto nella centralina di quartiere ed entrambe le connessioni tradizionali potrebbero cadere. Il Firewall in questo caso deve offrire la possibilità di distribuire le diverse connettività ai profili di navigazione e commutare automaticamente l’uscita su internet in caso di guasto di una delle due connessioni wlan. PROTEZIONE DELLA POSTA ELETTRONICA Indispensabile, data l’importanza di proteggere da virus e spyware la rete di Segreteria dove risiedono gli archivi contenenti dati anche sensibili, lo strumento di filtraggio della posta elettronica. In modo trasparente ed automatico deve isolare lo spam e bloccare le email infette mettendole in apposita quarantena. SOFTWARE IN ITALIANO E A PIU’ LIVELLI DI GESTIONE L’amministratore di Rete, in concerto con i tecnici preposti all’amministrazione dell’Ente, devono potere interagire ed amministrare la soluzione acquistata. Il pannello di amministrazione deve essere semplice e fruibile in italiano, così come la manualistica in linea e il supporto tecnico. Deve prevedere più livelli di amministrazione, che il responsabile concederà ai propri collaboratori, profilando per ogni modulo (firewall, filtro, autentica, ecc.) i permessi di visualizzazione, gestione o inibizione. Ogni utente, per la Direttiva sugli Amministratore di sistema, deve potere accedere allo strumento Firewall con le proprie credenziali e le modifiche alla configurazione devono essere tracciate. © 2015 FlashStart by Gruppo ColliniConsulting S.a.s. www.flashstart.it | [email protected] dott. Ivan Cantini Dottore Commercialista - Revisore Contabile Protezione web per le Scuole, Protezione web Microimpresa. Soluzioni Appliance, Hybrid e Cloud per Imprese e PA.