Sicurezza, privacy e riservatezza: qual è la differenza?

La sicurezza è più ampia della riservatezza

La riservatezza è uno dei concetti fondamentali della sicurezza informatica ed è il requisito a cui la maggior parte dei professionisti della sicurezza dedica la maggior parte del proprio tempo.

Tuttavia, la riservatezza è solo uno dei tre concetti fondamentali che insieme costituiscono il fondamento del lavoro di sicurezza informatica. I restanti due principi, integrità e disponibilità, completano la ben nota “triade CIA” della sicurezza informatica.”

L’integrità protegge le informazioni da modifiche non autorizzate. L’esempio più comune in un ambiente educativo riguarda i voti degli studenti.

Se uno studente è in grado di ottenere l’accesso non autorizzato a un sistema di gestione dell’apprendimento e modificare i propri voti, ciò costituisce una violazione dell’integrità.

I controlli di accesso sono il principale meccanismo utilizzato per far rispettare i requisiti di integrità.

La disponibilità garantisce che le informazioni siano disponibili per l’uso da parte di individui autorizzati nel momento in cui ne hanno bisogno. Le violazioni della disponibilità possono verificarsi a causa di attacchi intenzionali, come l’attacco denial of service che ha paralizzato il sistema di gestione dell’apprendimento in un’università nel 2015.

Possono anche derivare da guasti tecnici, come l’interruzione della rete che ha interrotto la tecnologia in un’altra istituzione per una settimana nel 2018. La protezione della disponibilità è in genere opera dei tecnologi, che progettano sistemi fault-tolerant in grado di resistere ai guasti dei componenti e implementano backup per ripristinare rapidamente il servizio in caso di interruzione.

MAGGIORI INFORMAZIONI SU EDTECH: L’ed superiore dovrebbe essere preoccupato per il Colorado Privacy Act?

La privacy determina l’autorizzazione

La privacy è strettamente correlata alla sicurezza e alla riservatezza, ma si avvicina ai dati da una prospettiva diversa.

I controlli sulla riservatezza proteggono dall’uso non autorizzato di informazioni già nelle mani di un’istituzione, mentre la privacy protegge i diritti di un individuo di controllare le informazioni che l’istituzione raccoglie, conserva e condivide con altri.

Un modo per comprendere il rapporto tra privacy e riservatezza è che i requisiti di privacy dettano i tipi di autorizzazione concessa alle informazioni e i controlli di riservatezza assicurano che le persone e i sistemi rispettino tali obblighi di privacy.

I requisiti di privacy si presentano in genere in due forme. In primo luogo, molte istituzioni adottano politiche sulla privacy basate sul proprio senso etico di corretta gestione delle informazioni. In secondo luogo, una varietà di leggi e regolamenti impongono requisiti di privacy su college e università.

Negli Stati Uniti, il Family Educational Rights and Privacy Act (FERPA) concede agli studenti (o ai genitori di studenti minori) il diritto di accedere alle informazioni contenute nei loro registri scolastici, richiedere la correzione di qualsiasi informazione che ritengono imprecisa e controllare la condivisione dei loro registri al di fuori dell’istituto.

ESPLORA: Scopri come le università stanno proteggendo sia la privacy che la sicurezza.

Modernizzazione della facoltà e della formazione del personale

Nella maggior parte delle istituzioni, il personale IT comprende già l’importanza di implementare forti controlli sulla privacy e sulla sicurezza.

La sfida più grande è in genere comunicare l’importanza e la natura dei requisiti di riservatezza e privacy alla facoltà e agli amministratori che gestiscono le informazioni riservate degli studenti su base giornaliera. Non è insolito che le istituzioni richiedano una formazione sulla privacy quando docenti e personale ottengono l’accesso ai registri degli studenti.

Questo di solito comporta un primer sui requisiti FERPA e domande basate su scenari che aiutano a contestualizzare queste informazioni.

Tuttavia, questi programmi di formazione spesso sono insufficienti in due aree importanti. In primo luogo, spesso non includono scenari moderni che riflettono la natura digitale dell’infrastruttura di istruzione superiore di oggi.

Gli amministratori di questi programmi possono migliorarli rivedendoli attentamente e aggiornando la formazione per riflettere gli strumenti e le tecnologie utilizzate nel loro ambiente informatico moderno. In secondo luogo, questi programmi di formazione sono troppo spesso sforzi una tantum.

Più efficace sarebbe la formazione periodica di aggiornamento per ricordare ai docenti e al personale i loro obblighi e aggiornare la loro comprensione dell’ambiente di privacy e riservatezza nel campus.

Prendere il tempo per modernizzare la formazione andrà un lungo cammino verso la protezione della riservatezza e della privacy delle informazioni degli studenti. Dopo tutto, proteggere i record degli studenti è nell’interesse di tutti.