2. Cos’è Up2U?
Il progetto Up2U nasce nell’ambito dell’azione Horizon 2020
Research and Innovation Programme.
• Obiettivo
• superare il gap esistente tra scuola e università
• Come?
• integrare apprendimento formale e informale
• integrare tecnologie e metodologie didattiche
www.up2university.eu 2
3. A Practical Guide to Up2U ICT
Security
A cosa servono le guidelines
Fornire consigli pratici e semplici alle scuole
affinché i loro sistemi ICT siano «sicuri»
3 aree tematiche
• Policy e procedure
• Sicurezza dei sistemi ICT
• Formazione e sensibilizzazione
www.up2university.eu 3
4. Guidelines: Policy e procedure
• Consapevolezza, responsabilità e procedure
per tutta la scuola 9 consigli per insegnanti e
amministratori di sistema
• 10 suggerimenti per gli studenti sulla
CyberSecurity
www.up2university.eu 4
5. 9 consigli per insegnanti
e amministratori di sistema
1. Istituire una Task Force per la sicurezza
2. Gestire tutti gli utenti
3. Creare un inventario hardware e software
4. Creare una policy per la sicurezza
5. Migliorare la sicurezza delle password
6. Tenersi aggiornati! Sii consapevole!
7. Implementare un programma di backup
8. Creare una procedura per la gestione degli incidenti
9. Adottare una Acceptable Use Policy
www.up2university.eu 5
6. Alcuni consigli in dettaglio
www.up2university.eu 6
3. Creare un inventario hardware e
software
• Creare un inventario dei dispositivi
connessi alla rete
• Creare una lista dei software
autorizzati e di quelli installati
• Eseguire regolarmente la scansione
dei sistemi per individuare software
non autorizzato
2. Gestire tutti gli utenti
• Essere in grado di associare
utente/device
• Creare un registro degli utenti
• Limitare i privilegi degli account
standard
7. Alcuni consigli in dettaglio
www.up2university.eu 7
5. Tenersi aggiornati!
• Tenere tutto aggiornato il più
possibile
• Browser
• Strumenti per la scansione di
vulnerabilità
• Usare software e sistemi
operativi supportati
(Basta Windows XP!!!!)
• Aggiornarsi sulle nuove
vulnerabilità
4. Creare una policy per la
sicurezza
• Informare gli utenti sulle
cautele da adottare (phishing,
app non sicure…)
• Migliorare la sicurezza delle
password
• Forzare periodicamente il
cambio password
8. Alcuni Tips in dettaglio
www.up2university.eu 8
8. Creare una procedura per la
gestione degli incidenti
• Ogni Sistema ICT dovrebbe avere un
piano di risposta agli incidenti
• Un buon piano di risposta minimizza
l’impatto dell’incidente
• Dopo l’incidente documentare
l’accaduto e condividere le
informazioni
7.Implementare un programma
di backup
• Effettuare back up regolari dei dati
«critici» e, a intervalli più lunghi,
dell’intero sistema
• Garantire la riservatezza dei dati
nelle copie di backup mediante
crittografia
• Attenzione all'inserimento di
dispositivi USB sconosciuti nei PC
9. Acceptable Use Policy
Ogni utente connesso alla rete della scuola dovrebbe
firmare una Security Acceptable Use Policy
Modelli e linee guida sul sito Web della rete di
apprendimento WMnet (http://www.wmnet.org.uk)
Questo modello si suddivide in:
• AUP Guidance Notes for Learners
• AUP Guidelines for Any Adult Working with Learners
www.up2university.eu 9
10. 10 suggerimenti per gli studenti
sulla CyberSecurity
1. Utilizza software anti-virus.
2. Non aprire e-mail, messaggi e allegati da fonti sconosciute.
Sospetta di eventuali e-mail, messaggi e allegati inaspettati,
anche se provengono da una fonte conosciuta.
3. Proteggi i tuoi dispositivi (smartphone, tablet, laptop,...) da possibili
tentativi di intrusione.
4. Scarica regolarmente aggiornamenti di sicurezza e patch per
sistemi operativi e altri software.
5. Usa password difficili da indovinare. Usa combinazioni di lettere
maiuscole, minuscole, numeri e altri caratteri non facilmente
reperibili nel dizionario. Assicurati che le tue password siano
composte da almeno 12 caratteri.
www.up2university.eu 10
11. 10 suggerimenti per gli studenti
sulla CyberSecurity
6. Effettua regolarmente il backup dei dati su hard-
disk o cloud.
7. Non condividere l'accesso ai tuoi dispositivi con
estranei. Informati sui rischi di condivisione dei file.
8. Disconnettiti da Internet quando non lo stai
usando.
9. Controlla la sicurezza dei tuoi dispositivi con
cadenza regolare.
10. Assicurati di sapere cosa fare se ritieni che un
dispositivo o un sistema sia infetto o
compromesso.
www.up2university.eu 11
12. Guidelines: Sicurezza dei sistemi
ICT
Come configurare rete e sistemi
• Network Hardening
• Firewall
• System Hardening
www.up2university.eu 12
13. Network Hardening
• Corretta configurazione del router
• Segmentare la rete in sottoreti separate
• DMZ subnet exposed to the internet (DNS, web server, mail server)
• Subnetwork for Management and Administration
• Subnetwork for didactics and laboratories
• Subnet for students and guests (BYOD: smartphone, tablet, notebook)
• Subnetwork for printers, video surveillance, building automation, IoT devices, etc.
• Installare almeno un firewall di rete che blocchi le connessioni in entrata a tutte le sottoreti
(esclusa DMZ)
www.up2university.eu 13
14. Firewall
• Protegge il computer o la rete da traffico di
rete malevolo o non necessario
• Non garantisce che il tuo computer non sarà
attaccato
• Aiuta principalmente a proteggere dal
traffico dannoso, non dai programmi
dannosi (ad es. Malware) e potrebbe non
proteggerti se accidentalmente installi o
esegui malware sul tuo computer
www.up2university.eu 14
15. System Hardening
Definire e implementare le configurazioni standard e le politiche di
protezione dei sistemi:
• Disinstallare software non necessario
• Disabilitare i servizi non necessari
• Condividere solo le risorse hardware necessarie e proteggerle
• Impedire modifiche alla configurazione o all'installazione del software
• Configurare client e server per utilizzare solo protocolli crittografati: SSH,
HTTPS, IMAP e SMTP su SSL / TLS
www.up2university.eu 15
16. System Hardening
• Installare localmente il software antivirus (verificare
l'aggiornamento automatico)
• Installare localmente firewall e sistema di prevenzione
delle intrusioni (IPS)
• Installare un Web Application Firewall (WAF) sul server
Web
• Disabilitare l'esecuzione automatica dei contenuti
quando si collegano dispositivi rimovibili
www.up2university.eu 16
17. System Hardening
• Disattivare l'apertura automatica delle e-mail
• Disabilitare l'anteprima automatica del contenuto
del file
• Prima di connettere un nuovo dispositivo alla
rete, sostituire le credenziali amministrative
(username e password) predefinite con valori
sicuri
www.up2university.eu 17
18. 10 suggerimenti sul Bring Your Own Device
1. Usa la crittografia per proteggere i tuoi dati (Impostazioni -> Sicurezza -> Cifra
dispositivo), anche se stai per ripristinare lo smartphone.
2. Non installare software da fonti inaffidabili (le fonti affidabili sono, ad esempio,
Google Play, App Store di Apple, Appstore di Amazon per Android). Verifica che
le autorizzazioni delle applicazioni siano chiare.
3. Cancella i dati da remoto in caso di smarrimento o furto del dispositivo
(Gestione dispositivi Android di Google, Anti-Theft, Cerberus, ecc.) e presta
attenzione ai dati sui dispositivi dismessi.
4. Utilizza un PIN o una password sufficientemente complicati per proteggere il
dispositivo. È un po' macchinoso, ma è sicuramente più sicuro. Una buona
password è la scelta migliore, ma utilizza almeno una sequenza non banale di
caratteri.
5. Attiva il Bluetooth solo quando necessario.
www.up2university.eu 18
19. 10 suggerimenti sul Bring Your Own Device
6. Evita il collegamento a reti wireless sconosciute.
7. Mantieni tutti i dispositivi aggiornati con la versione più
recente del firmware.
8. Effettua il backup dei tuoi dati.
9. Evita di memorizzare nomi utente e password sul
dispositivo o nel browser.
10. Non eseguire il jailbreak o il root del dispositivo
(jailbreaking o rooting di un dispositivo sono processi che
rimuovono le restrizioni della piattaforma, consentendo
agli utenti di installare qualsiasi applicazione da qualsiasi
sorgente, installare un sistema operativo modificato e
avere permessi di amministratore).
www.up2university.eu 19