Che cos'è un LCO e perché l'impegno del LCO è importante?

Le LCO sono organizzazioni di piccole dimensioni, focalizzate a livello locale, che spesso non dispongono delle risorse di cybersecurity di entità più grandi, ma che devono affrontare minacce simili, tra cui attacchi di Stati nazionali e ransomware criminali. Le società nazionali o multinazionali, le agenzie pubbliche o gli enti che operano a livello nazionale non sono LCO.

Alcuni esempi di LCO sono:

• Scuole pubbliche, finanziate dallo Stato
• Enti di beneficenza e organizzazioni non profit locali
• Fornitori di servizi sanitari locali
• Piccole imprese (ad esempio, negozi di alimentari a conduzione familiare)
• Uffici comunali
• Musei, teatri e biblioteche
• Società e associazioni locali
• Servizi pubblici locali

L'impegno delle LCO attraverso il programma dei Seminari di Cybersecurity di Google.org è vantaggioso sia per gli studenti che per le LCO. Per gli studenti, l'impegno dei LCO rappresenta una preziosa opportunità di applicare le loro conoscenze accademiche a situazioni reali, acquisendo un'esperienza pratica che ne migliora le competenze e l'occupabilità. I LCO, a loro volta, beneficiano delle competenze e dei consigli in materia di cybersecurity forniti dagli studenti, aiutandoli a migliorare la loro consapevolezza in materia di cybersecurity, a rafforzare le loro difese e a garantire che siano meglio attrezzati per gestire le potenziali minacce. Questa collaborazione può favorire un rapporto più profondo tra l'istituto di istruzione superiore e la comunità, creando un impegno condiviso per migliorare la resilienza della cybersecurity.

Tuttavia, quando gli studenti si impegnano con le LCO, ci sono dei rischi intrinseci che possono riguardare tutte le parti coinvolte. Per gli studenti, lavorare con organizzazioni esterne potrebbe esporli a problemi legali, di privacy o di sicurezza, mentre le LCO potrebbero trovarsi di fronte a violazioni involontarie dei dati o a una gestione scorretta di informazioni sensibili durante i progetti degli studenti. Anche gli istituti di istruzione superiore devono essere cauti, poiché gli incidenti potrebbero danneggiare la loro reputazione o portare a conseguenze legali. Per questo motivo, un'attenta pianificazione, linee guida chiare e una supervisione adeguata sono essenziali per mitigare questi rischi e garantire un'esperienza positiva e sicura per tutte le parti coinvolte.

Tre fasi per un coinvolgimento di successo

Per garantire agli studenti una collaborazione produttiva e d'impatto con le organizzazioni della comunità locale, si raccomanda di seguire i tre passi chiave per un impegno di successo con le LCO e di utilizzare i documenti associati, se pertinenti.

Fase 1 - Prima del coinvolgimento di LCO

Prima dell'impegno dei LCO, la comprensione delle loro esigenze e la valutazione delle competenze degli studenti sono fondamentali per gettare solide basi per una collaborazione mirata ed efficace.

Gli istituti di istruzione superiore dovrebbero comprendere a fondo le esigenze specifiche dei LCO e abbinarle alle competenze degli studenti partecipanti. Il benchmarking delle competenze di studenti e LCO è un approccio efficace per garantire che tutti siano ben preparati per l'impegno. Per gli studenti, gli istituti di istruzione superiore dovrebbero valutare fino a che punto gli studenti hanno acquisito le competenze pratiche di cybersecurity sviluppate attraverso i Seminari di Cybersecurity di Google.org e fino a che punto sono in grado di applicarle in contesti reali. Per i LCO, gli istituti di istruzione superiore dovrebbero allineare le forme di assistenza agli studenti offerte alle esigenze specifiche dei LCO, oltre a incorporare richieste aggiuntive ove possibile.

Oltre al benchmarking, gli studenti devono fare ricerche sui LCO loro assegnati con la guida dei loro supervisori. Questa ricerca dovrebbe includere una revisione di eventuali incidenti informatici o vulnerabilità del passato che il LCO ha sperimentato. Comprendendo questi eventi passati, gli studenti possono prepararsi meglio alle potenziali sfide e contribuire a un impegno più efficace, incentrato sulla ricerca di soluzioni.

Gli studenti e i supervisori devono adottare le misure appropriate per proteggere i dispositivi, il software e l'hardware prima di impegnarsi. Gli studenti devono essere consapevoli delle migliori pratiche per la salvaguardia dei sistemi LCO, come la protezione degli endpoint, la crittografia dei dati sensibili e l'aggiornamento del software. Qualsiasi hardware o software utilizzato dagli studenti durante il progetto deve rispettare gli standard di sicurezza stabiliti per prevenire le vulnerabilità. Inoltre, sia gli studenti che i LCO devono discutere di qualsiasi tecnologia o misura di protezione specifica in atto presso i LCO. È essenziale che entrambe le parti comprendano le proprie responsabilità nel mantenere la sicurezza durante il progetto.

Oltre alle buone pratiche di cybersecurity, gli istituti di istruzione superiore dovrebbero dare priorità alla sicurezza personale e al benessere degli studenti che partecipano all'impegno LCO. Ad esempio, dovrebbero istituire una linea telefonica diretta anonima o un meccanismo di segnalazione per gli studenti che desiderano esprimere le proprie preoccupazioni in merito a molestie, minacce non legate alla sicurezza informatica o qualsiasi situazione che li faccia sentire insicuri mentre lavorano con gli LCO. Questa linea diretta deve garantire la riservatezza e rispondere prontamente alle segnalazioni, offrendo agli studenti uno spazio sicuro per esprimere le proprie preoccupazioni senza temere ritorsioni. I supervisori e i coordinatori dei programmi devono assicurarsi che tutti gli studenti siano informati su questa risorsa e incoraggiati a utilizzarla in caso di necessità.

Infine, gli istituti di istruzione superiore dovrebbero stabilire aspettative chiare e realistiche sia per i LCO che per gli studenti, compreso un piano di gestione delle crisi. Sia gli studenti che i LCO devono concordare la durata, il formato e i risultati desiderati dell'impegno. È importante stabilire fin dall'inizio punti di contatto regolari, che permettano agli studenti e ai LCO di chiedere consigli o di segnalare i problemi che si presentano. Inoltre, il piano di gestione delle crisi deve delineare le misure da adottare in caso di incidente, sia esso legato alla cybersecurity o meno.

I documenti chiave da considerare per lo sviluppo in questa fase includono:

1. Questionario d'ingresso LCO per raccogliere le informazioni necessarie e adattare l'approccio a ciascuna organizzazione.
2. Dichiarazione di aspettative (SoE)/Dichiarazione di lavoro (SoW)/Memorandum d'intesa (MoU)/Regole di impegno (RoE) per definire chiaramente l'ambito di lavoro e i ruoli. Di seguito forniamo un modello per questi documenti, che deve essere adattato alle vostre esigenze individuali.
3. Accordi di non divulgazione (NDA) per proteggere le informazioni sensibili.
4. LCO e esoneri di responsabilità per gli studenti per delineare le tutele di responsabilità.
5. Codice di condotta degli studenti per garantire la professionalità e l'aderenza agli standard etici durante tutto l'incarico.
6. Migliori pratiche per la protezione di dispositivi e software per delineare le migliori pratiche per la sicurezza informatica, come la protezione degli endpoint, la crittografia dei dati e l'applicazione regolare di patch.

Concentrandosi su queste fasi preparatorie - comprendere le esigenze, definire le aspettative, garantire la protezione e fornire risorse per la sicurezza - l'impegno può procedere con tutte le parti allineate, informate e ben preparate a gestire le sfide che possono sorgere.

Fase 2 - Durante il coinvolgimento del LCO

Durante l'impegno del LCO, il mantenimento di una comunicazione efficace e la conduzione di valutazioni regolari assicurano che sia gli studenti che i LCO possano affrontare le sfide e lavorare verso obiettivi condivisi.

Nel corso dell'impegno, l'istituto di istruzione superiore deve garantire una comunicazione regolare e aperta tra tutte le parti: studenti, supervisori e LCO. Questo obiettivo può essere raggiunto implementare i protocolli di check-in attraverso metodi di comunicazione affidabili e sicuri. Mantenere aperti questi canali di comunicazione faciliterà una risposta rapida a qualsiasi dubbio o problema durante l'incarico. Per la collaborazione a distanza, si dovrebbero utilizzare strumenti di comunicazione criptati per proteggere le informazioni sensibili. Inoltre, come accennato in precedenza, si potrebbe mettere a disposizione degli studenti una linea di segnalazione anonima per sollevare in modo sicuro eventuali preoccupazioni o problemi gravi che potrebbero sorgere durante l'impegno.

Se si verifica un problema critico, è importante attivare rapidamente il piano di gestione delle crisi prestabilito. È necessario intraprendere azioni immediate per proteggere tutte le persone coinvolte, assicurando che sia gli LCO che gli studenti ricevano il supporto necessario per affrontare qualsiasi potenziale incidente.

Fase 3 - Dopo il coinvolgimento di LCO

Dopo l'impegno di LCO, la valutazione dell'impatto e la raccolta di feedback sono essenziali per perfezionare gli impegni futuri e promuovere il miglioramento continuo.

Una volta concluso l'impegno, l'attenzione dovrebbe spostarsi sulla misurazione dell'impatto sia sugli studenti che sui LCO. La conduzione di interviste all'uscita con studenti e LCO può aiutare a valutare le loro esperienze, il valore derivato dalla collaborazione e le aree di miglioramento. Questo feedback dovrebbe essere raccolto in un rapporto d'impatto dettagliato, assicurando che tutti i dati raccolti siano anonimizzati e gestiti in conformità con le normative locali e nazionali sulla protezione dei dati.

Ove possibile, l'istituto di istruzione superiore dovrebbe assistere le LCO in caso di necessità che emergono dai risultati. Anche se l'impegno può essere formalmente concluso, l'istituto potrebbe aiutare le LCO a trovare ulteriori risorse o supporto per il follow-up.

Infine, le conoscenze acquisite dalle riflessioni degli studenti e dal feedback del LCO dovrebbero essere utilizzate per perfezionare i futuri seminari sulla sicurezza informatica di Google.org e altri programmi. Le lezioni chiave apprese possono essere incorporate per migliorare la struttura, l'erogazione e il contenuto del programma, assicurando che si evolva e si adatti per soddisfare meglio le esigenze di tutti i partecipanti ai futuri impegni. L'apprendimento e l'adattamento continui rafforzeranno il programma e favoriranno risultati più incisivi nelle collaborazioni successive.

Sintesi dei documenti modello

Documento 1 | Questionario d'ingresso LCO

Creare un Questionario d'ingresso per le LCO che partecipano al programma può migliorare la raccolta di informazioni a supporto:

• Comprendere le esigenze e i rischi dell'organizzazione, per consentire approcci personalizzati agli studenti e metodi di coinvolgimento che si adattino al meglio all'organizzazione.
• Allocazione delle risorse, assicurando che gli studenti siano abbinati a organizzazioni specifiche in base alle loro competenze e alla loro formazione. 
• Stabilire una linea di base (benchmarking) per comprendere la maturità dell'organizzazione in materia di cybersecurity nella vostra area locale, supportando la misurazione dei risultati.
• Esecuzione di una valutazione iniziale dei rischi che identifichi le vulnerabilità più urgenti di un LCO.

È essenziale garantire che gli studenti affrontino la raccolta di informazioni con professionalità ed empatia, evitando di giudicare. Il programma dei Seminari di Cybersecurity di Google.org è un servizio di supporto che mira a rafforzare la comunità locale, piuttosto che a mettere in evidenza i difetti.

Documento 2 | SoE/SoW/MoU/RoE

È importante disporre di un documento che descriva in dettaglio l'ambito generale dell'impegno tra istituti di istruzione superiore, studenti e LCO. Chiarire, definire e gestire le aspettative prima di qualsiasi lavoro assicura un rapporto di lavoro fruttuoso, chiaro e fiducioso. Inoltre, garantisce che non ci siano "regole non dette" e aspettative poco chiare.

Il documento 2 può servire come base per uno dei seguenti documenti:

ACRONIMO	NOME COMPLETO	IN GENERE CONTIENE
SoE	Ambito di impegno	Informazioni su cosa il lavoro da fare, e da chi (compiti e risultati)
SoW	Dichiarazione di lavoro	Informazioni incluse nell'ambito, nonché dettagli critici del progetto e del contratto  In genere si tratta di un documento giuridicamente vincolante
Protocollo d'intesa	Memorandum d'intesa	Comprensione/intenzione condivisa tra le parti Tipicamente non vincolante
RoE	Regole di ingaggio	Come le parti devono interagire o rispondere in determinate situazioni

Documento 3 - Accordo di non divulgazione (NDA)

Un NDA (Accordo di non divulgazione)La clausola di riservatezza, nota anche come clausola di riservatezza, è un contratto tra l'istituto di istruzione superiore e il LCO che stabilisce un rapporto di riservatezza.

Nel contesto dei seminari sulla sicurezza informatica di Google.org, le NDA possono essere unilaterali o bilaterali (reciproche). In un NDA unilaterale, il LCO divulga le informazioni all'istituto di istruzione superiore, che è quindi obbligato a proteggere la riservatezza. In un NDA bilaterale, entrambe le parti si scambiano informazioni e si impegnano a proteggere la riservatezza reciproca. Alcune aree da considerare sono:

• Decidere cosa coprire con l'NDA. Collaborate con il vostro team legale e con l'LCO per decidere cosa è o non è coperto da un NDA. Gli studenti devono essere adeguatamente informati di ciò che è coperto.
• Siate realistici. Gli studenti potrebbero aver bisogno di condividere informazioni con i loro compagni e supervisori se hanno bisogno di sostegno. Assicuratevi che ciò avvenga in modo confidenziale. 
• Considerate quanto durerà la riservatezza.

Documento 4 - Esonero di responsabilità (LCO, Studente)

A Esonero di responsabilità è un documento legale in cui una parte accetta di rinunciare al diritto di citare in giudizio o di ritenere un'altra parte legalmente responsabile per lesioni, danni o altri effetti negativi che possono verificarsi durante un evento. Una rinuncia alla responsabilità può essere importante perché offre protezione legale, serve come prova documentata dei rischi accettati e offre sicurezza finanziaria e mitigazione del rischio.

Documento 5 - Codice di condotta degli studenti

A Codice di condotta degli studenti è un insieme di linee guida e aspettative che delineano il comportamento professionale ed etico richiesto agli studenti che partecipano alla clinica. Questo codice assicura che gli studenti agiscano con integrità, rispetto e responsabilità quando si impegnano con gli LCO e altri stakeholder. Può riguardare aspetti quali il mantenimento della riservatezza, le buone pratiche di cybersecurity, la collaborazione efficace con i colleghi e il personale LCO e la tutela della reputazione dell'istituto di istruzione superiore. Il rispetto di questo codice non solo favorisce un ambiente di apprendimento positivo, ma aiuta anche gli studenti a sviluppare gli standard professionali necessari per le loro future carriere.

Documento 6 - Migliori pratiche per la protezione di dispositivi e software

Un documento che descrive in dettaglio Migliori pratiche per la protezione di dispositivi e software delinea le linee guida essenziali per garantire la sicurezza e l'integrità dei sistemi hardware e software per tutta la durata dell'incarico. Dovrebbe includere le migliori pratiche per la protezione degli endpoint, tra cui l'implementazione di password forti, l'attivazione dell'autenticazione a due fattori e l'aggiornamento regolare dei sistemi operativi e del software per correggere le vulnerabilità note. Può anche includere protocolli di crittografia per i dati sensibili, backup regolari e misure antivirus, oltre a una serie di altre misure di cybersecurity rilevanti.

[TEMPLATE] - Documento 1

Questionario d'ingresso LCO

Questo documento deve essere utilizzato come preliminare Il documento è la base per lo sviluppo di un questionario d'ingresso che permetta di abbinare al meglio gli studenti alle potenziali organizzazioni comunitarie locali. Vi preghiamo di apportare le modifiche necessarie al vostro contesto specifico e di consultare il vostro team legale prima di diffondere questo documento.

Introduzione

Vi ringraziamo per il vostro interesse a collaborare con [Nome dell'istituto di istruzione superiore]. Questo questionario di ingresso è stato pensato per aiutarci a capire meglio le esigenze, gli obiettivi e le risorse della vostra organizzazione. Le informazioni fornite saranno utilizzate per verificare se ciò che offriamo è adatto alla vostra organizzazione e, in tal caso, per associare la vostra organizzazione a team di studenti adeguati e garantire un rapporto di lavoro produttivo. Vi preghiamo di rispondere a tutte le domande nel modo più esauriente possibile.

La compilazione del questionario dovrebbe richiedere circa 30-60 minuti.

1. INFORMAZIONI GENERALI

Nome dell'organizzazione
Indirizzo
Contatto primario     Nome
Contatto primario      Titolo
Numero di telefono del contatto principale
Email del contatto principale
Sito web
Maniglie dei social media (se presenti)

2. DETTAGLI DELL'ORGANIZZAZIONE

Dichiarazione di missione
Breve descrizione della vostra organizzazione
Che tipo di organizzazione rappresenta?	- Piccole imprese - Organizzazione non profit - Istituzione educativa (ad esempio, scuola o università) - Governo (locale o regionale) - Organizzazione sanitaria (ad es. clinica, ospedale) - Altro (specificare)
Dimensione dell'organizzazione: - Numero di dipendenti - Numero di volontari - Numero di persone/gruppi serviti annualmente
Anni di attività

3. ESIGENZE E OBIETTIVI ATTUALI

Perché la sua organizzazione ha richiesto l'assistenza del programma [Nome dell'istituto di istruzione superiore] Google.org Cybersecurity Seminars? Selezionare tutte le domande.	- Valutare e rafforzare la posizione complessiva di cybersecurity della nostra organizzazione. - Per affrontare problemi specifici di cybersicurezza di cui siamo già a conoscenza - Cercare un'educazione, una sensibilizzazione e una formazione specializzata in materia di cybersicurezza per i nostri dipendenti. - Sostenere l'istruzione, la formazione e lo sviluppo di professionisti della sicurezza informatica nella nostra comunità. - Altro (specificare)
Se ha selezionato più risposte nella domanda precedente, la preghiamo di indicarne una (1) che sia la più prioritaria.
Quali obiettivi o risultati specifici vorreste raggiungere attraverso la collaborazione con i nostri studenti?
Avete una tempistica specifica per completare questi progetti o raggiungere questi obiettivi?
Quali dei seguenti standard normativi deve rispettare la vostra organizzazione? Selezionare tutti quelli che si applicano.	- Regolamento generale sulla protezione dei dati (GDPR) - Direttiva sulla sicurezza delle reti e delle informazioni (NIS) e NIS2 - Direttiva ePrivacy - Legge sulla sicurezza informatica - ISO/IEC 27001 - Direttiva sui servizi di pagamento 2 (PSD2) - Legge sulla resilienza operativa digitale (DORA) - Non lo so - Altro (specificare)
Quali tipi di dispositivi utilizza la vostra organizzazione? Selezionare tutti quelli che si applicano.	- Computer desktop o portatili in dotazione all'organizzazione - Computer desktop o portatili di proprietà personale (BYOD) - Dispositivi mobili in dotazione all'organizzazione (ad esempio, smartphone, tablet) - Dispositivi mobili di proprietà personale (BYOD)
Quali tipi di soluzioni di archiviazione dati utilizza la vostra organizzazione? Selezionare tutte quelle che si applicano?	- Spazio di lavoro o di archiviazione basato su cloud (ad esempio, OneDrive, Google Drive, Dropbox) - Soluzione di backup on-premises (ad esempio, server locale, storage del data center) - Soluzione di backup off-site o basata su cloud (ad esempio, Amazon S3, Google Cloud Storage)

4. IGIENE CIBERALE

La vostra organizzazione utilizza l'autenticazione a più fattori (MFA) per gli account critici?	Sì No Non lo so
La vostra organizzazione aggiorna e patcha regolarmente tutti i sistemi e i software?	Sì No Non lo so
La vostra organizzazione dispone di un sistema di controllo degli accessi e di minimizzazione dei privilegi?	Sì No Non lo so
La vostra organizzazione esegue regolarmente backup sicuri dei dati e verifica i processi di ripristino?	Sì No Non lo so
La vostra organizzazione offre regolarmente ai dipendenti corsi di formazione sulla cybersecurity? Se sì, elencate le caratteristiche di questi corsi (ad esempio, fornitore, argomenti, frequenza).	Sì No Non lo so Ulteriori informazioni:
La vostra organizzazione monitora il traffico di rete e registra tutte le attività?	Sì No Non lo so
La vostra organizzazione dispone di un piano di risposta agli incidenti che viene praticato regolarmente?	Sì No Non lo so
L'organizzazione monitora e protegge i dispositivi esterni (ad esempio, le unità USB) che si collegano alla rete?	Sì No Non lo so
La vostra organizzazione effettua regolarmente scansioni delle vulnerabilità e test di penetrazione?	Sì No Non lo so
L'organizzazione monitora e protegge i dispositivi esterni (ad esempio, le unità USB) che si collegano alla rete?	Sì No Non lo so
La vostra organizzazione ha una politica per lo smaltimento sicuro dei dati?	Sì No Non lo so
L'organizzazione dispone di un inventario di dispositivi fisici, sistemi, piattaforme software, applicazioni e personale?	Sì No Non lo so
L'organizzazione dispone di pratiche di archiviazione sicura dei dati sia per gli ambienti on-premise che per quelli cloud?	Sì No Non lo so

5. CONSIDERAZIONI LOGISTICHE

Indicare il metodo di coinvolgimento preferito dagli studenti.	In loco Remoto Combinazione di entrambi
In caso di impegno in loco, quali strutture o risorse (ad es. sale riunioni, computer) potete mettere a disposizione degli studenti?
Quali sono i giorni e gli orari migliori per le riunioni o il lavoro di progetto?
Ci sono restrizioni o considerazioni (ad esempio, riservatezza, accesso a determinati dati) di cui dovremmo essere a conoscenza?

6. ASPETTATIVE DI PARTNERSHIP

Quali sono le sue aspettative per la collaborazione con i nostri studenti?
Come definirebbe una partnership di successo con il nostro istituto di istruzione superiore?
Siete disposti a fornire feedback e indicazioni agli studenti durante la collaborazione?

7. INFORMAZIONI AGGIUNTIVE

C'è qualcos'altro che vorreste farci sapere riguardo alla vostra organizzazione o alle vostre esigenze?

---

Grazie per aver compilato questo questionario. Saremo lieti di esaminare le vostre risposte e di capire come possiamo supportare al meglio la vostra organizzazione.

[TEMPLATE] - Documento 2

Dichiarazione di lavoro

Questo documento deve essere utilizzato come preliminare per sviluppare una dichiarazione di lavoro, un ambito di aspettative, un memorandum d'intesa o regole d'impegno per il coinvolgimento della comunità locale. Vi preghiamo di apportare le modifiche necessarie per il vostro contesto specifico e di consultare il vostro team legale prima di diffondere questo documento.

Ambito di lavoro (SoW) tra [Nome dell'istituto di istruzione superiore] e [Nome dell'organizzazione comunitaria locale].

---

Data di entrata in vigore: [Inserire data]
Data di scadenza: [Inserire data o "Indefinito"].
Entrata in e tra: [Nome dell'istituto di istruzione superiore] (di seguito "l'IIS") con sede a [indirizzo dell'IIS],

e

[Nome dell'organizzazione comunitaria locale] (di seguito "LCO") con sede in [indirizzo LCO].

1. SCOPO

Il presente Statement of Work (SoW) serve a stabilire un quadro di collaborazione tra l'IIS e il LCO. L'obiettivo di questa partnership è quello di migliorare la consapevolezza, le pratiche e la resilienza in materia di cybersecurity all'interno del LCO attraverso il programma di seminari sulla cybersecurity di Google.org dell'HEI. Questo documento delinea le aspettative, i ruoli, le responsabilità e l'ambito di lavoro di tutte le parti coinvolte.

2. SERVIZI FORNITI

2.1. Attività di coinvolgimento
L'IIS fornirà i seguenti servizi al LCO:

2.1.1. Valutazioni di sicurezza informatica: Condurre valutazioni di vulnerabilità, analisi dei rischi e audit di sicurezza dell'infrastruttura digitale del LCO.

2.1.2. Formazione e sensibilizzazione: Fornire sessioni di formazione sulla sicurezza informatica per il personale LCO, incentrate sulle migliori pratiche, sulla consapevolezza delle minacce e sul comportamento sicuro online.

2.1.3. Supporto tecnico: Assistenza nell'implementazione di misure di cybersecurity, tra cui l'installazione di software, miglioramenti della sicurezza della rete e strategie di protezione dei dati.

2.1.4. Esercitazioni Red Team: (se applicabile) Esecuzione di test di penetrazione autorizzati per identificare e risolvere i punti deboli della sicurezza.

2.2. I prodotti da consegnare
L'IIS fornirà quanto segue:

2.2.1. Rapporti di valutazione: Rapporti dettagliati che riassumono i risultati delle valutazioni, comprese le raccomandazioni attuabili.

2.2.2. Materiale di formazione: Materiali e risorse di formazione personalizzati per l'uso continuo da parte del LCO.

2.2.3. Documentazione tecnica: Documentazione relativa a qualsiasi soluzione tecnica implementata, comprese le impostazioni di configurazione e le guide per l'utente.

2.2.4. Revisione finale: Un riepilogo di tutte le attività svolte, dei risultati raggiunti e dei prossimi passi da compiere per continuare a migliorare la cybersecurity.

3. RUOLI E RESPONSABILITÀ

3.1. Responsabilità dell'IIS
L'IIS si impegna a:

3.1.1. Fornire personale qualificato: Assicurarsi che gli studenti e i docenti coinvolti siano qualificati, adeguatamente formati e supervisionati.

3.1.2. Aderire agli standard etici: Condurre tutte le attività in modo professionale, etico e legale.

3.1.3. Mantenere la riservatezza: Proteggere la riservatezza di tutte le informazioni e i dati a cui si accede durante l'incarico.

3.1.4. Fornire rapporti tempestivi: Fornire rapporti tempestivi e completi su tutte le attività svolte.

3.1.5. Offrire assistenza continua: Fornire un'assistenza continuativa ragionevole per affrontare eventuali domande o problemi di follow-up derivanti dall'incarico.

3.2. Responsabilità del LCO
Il LCO si impegna a:

3.2.1. Facilitare l'accesso: Fornire l'accesso necessario a sistemi, dati e personale per consentire all'IIS di svolgere le attività concordate.

3.2.2. Partecipare alla formazione: Incoraggiare la partecipazione del personale alle sessioni di formazione e implementare le pratiche di cybersecurity raccomandate.

3.2.3. Fornire feedback: Offrire un feedback sull'efficacia delle attività dell'Istituto di istruzione superiore e suggerire aree di miglioramento.

3.2.4. Riservatezza e protezione dei dati: Proteggere tutte le informazioni sensibili fornite dall'Istituto di istruzione superiore e garantire la conformità alle normative sulla protezione dei dati.

3.2.5. Rispetto degli accordi: Seguire il programma e l'ambito di lavoro concordati e notificare tempestivamente all'IIS eventuali modifiche.

4. AMBITO, CONFINI, COMUNICAZIONE

4.1. Ambito e confini

4.1.1. Attività autorizzate: L'HEI eseguirà solo attività esplicitamente autorizzate dal LCO.

4.1.2. Tutti i test di penetrazione o attività simili saranno preventivamente approvati, con regole di ingaggio e confini chiari per evitare l'interruzione dei sistemi critici.

4.1.3. Trattamento dei dati: L'IIS tratterà tutti i dati del LCO con il massimo livello di sicurezza, seguendo le migliori pratiche del settore per la protezione dei dati.

4.2. Protocolli di comunicazione

4.2.1. Contatti primari: Designare i punti di contatto primari sia per l'IIS che per il LCO per facilitare la comunicazione.

4.2.2. Aggiornamenti regolari: Programmare controlli regolari e relazioni sui progressi per tenere informate tutte le parti.

4.2.3. Segnalazione degli incidenti: Stabilire un processo per la segnalazione e la risposta a qualsiasi incidente o violazione della sicurezza che si verifichi durante l'incarico.

5. RISERVATEZZA E PROTEZIONE DEI DATI

5.1. Informazioni riservate

5.1.1. Definizione: Le informazioni riservate comprendono tutte le informazioni non pubbliche fornite da una delle parti, compresi, ma non solo, i dati tecnici, i processi aziendali e i dati personali.

5.1.2. Obblighi: Entrambe le parti si impegnano a proteggere la riservatezza di tali informazioni e a utilizzarle esclusivamente per gli scopi delineati nella presente SoW.

5.2. Conformità alla protezione dei dati

5.2.1. Conformità normativa: Entrambe le parti si impegnano a rispettare tutte le leggi e i regolamenti applicabili in materia di protezione dei dati (ad esempio, GDPR, CCPA).

5.2.2. Misure di sicurezza dei dati: L'IIS implementerà misure tecniche e organizzative appropriate per salvaguardare i dati LCO.

6. CONSIDERAZIONI LEGALI

6.1. Responsabilità

6.1.1. Limitazione di responsabilità: Nessuna delle parti sarà responsabile per danni indiretti, incidentali o consequenziali derivanti dalle attività svolte nell'ambito del presente SoW.

6.1.2. Indennizzo: Il LCO accetta di indennizzare e tenere indenne l'Istituto di istruzione superiore da qualsiasi reclamo derivante dall'uso da parte del LCO dei servizi forniti dall'Istituto di istruzione superiore.

6.2. Risoluzione delle controversie

6.2.1. Mediazione: In caso di controversia, le parti concordano di cercare prima di tutto una soluzione attraverso la mediazione.

6.2.2. Legge applicabile: Il presente SoW è disciplinato dalle leggi di [Giurisdizione].

7. DURATA E CESSAZIONE

7.1. Termine

7.1.1. Durata: Il presente SoW è efficace dal [Data di inizio] al [Data di fine], salvo risoluzione anticipata da una delle parti.

7.1.2. Rinnovo: Il SoW può essere rinnovato di comune accordo.

7.2. Terminazione

7.2.1. Periodo di preavviso: Ciascuna parte può recedere dal presente SoW con [Inserire il periodo di preavviso, ad esempio 30 giorni] preavviso scritto.

7.2.2. Violazione dei termini: La risoluzione immediata è consentita se una delle parti viola i termini della presente SoW.

8. RICONOSCIMENTO E ACCETTAZIONE

Firmando di seguito, entrambe le parti dichiarano di aver letto e compreso il presente Ambito di lavoro e di accettarne i termini e le condizioni.

	Ruolo (se applicabile):	Nome:	Firma:	Data:
Rappresentante dell'istituto di istruzione superiore:
Rappresentante dell'organizzazione comunitaria locale:

[TEMPLATE] - Documento 3

Accordo di non divulgazione (NDA)

Questo documento deve essere utilizzato come preliminare base per lo sviluppo di un Accordo di non divulgazione, laddove richiesto per l'impegno della comunità locale. Vi preghiamo di apportare le modifiche necessarie al vostro contesto specifico e di consultare il vostro team legale prima di diffondere questo documento.

Accordo di non divulgazione (NDA)

---

Data di entrata in vigore: [Inserire data]
Data di scadenza: [Inserire data o "Indefinito"].
Entrata in e tra: [Nome dell'istituto di istruzione superiore], la parte divulgante (di seguito "HEI" o "Parte divulgatrice") con sede presso [indirizzo HEI],

e

[Nome dell'organizzazione comunitaria locale], la Parte ricevente (di seguito "LCO" o "Parte ricevente") con sede presso [indirizzo LCO].

1. SCOPO

Lo scopo del presente Accordo di non divulgazione (NDA) è quello di proteggere le informazioni riservate e proprietarie che possono essere divulgate tra le parti in relazione al Programma di seminari sulla sicurezza informatica di Google.org.

2. DEFINIZIONE DI INFORMAZIONI RISERVATE

2.1. Informazioni riservate
Per "informazioni riservate" si intendono tutte le informazioni non pubbliche divulgate dalla Parte divulgatrice alla Parte ricevente, in forma scritta, orale, elettronica o di altro tipo, che sono designate come riservate o che, date le circostanze della divulgazione, dovrebbero essere trattate come riservate.

2.2. Esclusioni dalle informazioni riservate
Le informazioni riservate non comprendono le informazioni che:

• sia o diventi pubblicamente disponibile senza colpa della Parte ricevente.
• È già noto alla Parte ricevente al momento della divulgazione, come dimostrato dai suoi documenti scritti.
• è sviluppata in modo indipendente dalla Parte ricevente senza utilizzare o fare riferimento alle Informazioni riservate della Parte divulgante.
• sia divulgato alla Parte ricevente da una terza parte che non sia, a conoscenza della Parte ricevente, in violazione di alcun obbligo di riservatezza.

3. OBBLIGHI DELLA PARTE RICEVENTE

3.1. Utilizzo di informazioni riservate
La Parte ricevente si impegna a utilizzare le Informazioni riservate esclusivamente allo scopo di [descrivere lo scopo specifico, ad esempio valutare una potenziale collaborazione, effettuare ricerche, ecc.

3.2. Non divulgazione
La Parte ricevente si impegna a non divulgare le Informazioni riservate a terzi senza il previo consenso scritto della Parte divulgatrice, salvo nei casi previsti dalla legge o se necessario per adempiere alle finalità del presente Accordo. Se la divulgazione è necessaria, la Parte ricevente dovrà garantire che la terza parte sia vincolata da obblighi di riservatezza non meno restrittivi di quelli contenuti nel presente NDA.

3.3. Protezione delle informazioni
La Parte ricevente si impegna ad adottare tutte le misure ragionevoli per proteggere la riservatezza delle Informazioni riservate, compresa l'attuazione di adeguate misure di salvaguardia fisiche, elettroniche e amministrative.

4. TERMINE E RISOLUZIONE

4.1. Termine
La presente NDA rimarrà in vigore dalla Data di entrata in vigore fino alla Data di scadenza, o fino alla risoluzione da parte di una delle due parti con [Inserire periodo di preavviso, ad esempio 30 giorni] preavviso scritto all'altra parte.

4.2. Restituzione o distruzione delle informazioni
Al termine della presente NDA o su richiesta della Parte divulgatrice, la Parte ricevente dovrà prontamente restituire o distruggere tutte le copie delle Informazioni riservate in suo possesso e certificare per iscritto di averlo fatto.

5. PROPRIETÀ INTELLETTUALE

5.1. Proprietà
Tutte le informazioni riservate rimangono di proprietà della Parte divulgatrice. Nessuna licenza, implicita o meno, è concessa alla Parte ricevente in relazione a brevetti, marchi, copyright o altri diritti di proprietà intellettuale della Parte divulgatrice.

5.2. Nessun obbligo
Nessuna disposizione del presente Accordo obbliga una delle parti a procedere con qualsiasi transazione, rapporto commerciale o collaborazione di ricerca e ciascuna parte si riserva il diritto di interrompere le discussioni in qualsiasi momento.

6. CONFORMITÀ LEGALE E NORMATIVA

6.1. Conformità alle leggi
La Parte ricevente si impegna a rispettare tutte le leggi e i regolamenti applicabili nell'uso, nella gestione e nella divulgazione delle Informazioni riservate.

6.2. Informazioni richieste
Se la Parte ricevente è obbligata dalla legge o da un procedimento legale a divulgare informazioni riservate, dovrà informare tempestivamente la Parte divulgatrice e collaborare con quest'ultima per ottenere un ordine di protezione o un altro rimedio adeguato.

7. NESSUNA GARANZIA

La Parte divulgatrice fornisce le Informazioni riservate "così come sono" e non rilascia alcuna dichiarazione o garanzia, espressa o implicita, in merito all'accuratezza, alla completezza o alle prestazioni delle Informazioni riservate.

8. RIMEDI

La Parte ricevente riconosce che la divulgazione o l'uso non autorizzato di Informazioni riservate può causare danni irreparabili alla Parte divulgatrice. Pertanto, la Parte divulgatrice avrà il diritto di chiedere un provvedimento ingiuntivo in aggiunta a qualsiasi altro rimedio legale a sua disposizione.

9. LEGGE APPLICABILE E GIURISDIZIONE

Il presente NDA sarà disciplinato e interpretato in conformità alle leggi di [Inserire Giurisdizione]. Qualsiasi controversia derivante da o relativa al presente NDA dovrà essere risolta dai tribunali di [Inserire Giurisdizione].

10. VARIE

10.1. Intero Accordo
La presente NDA costituisce l'intero accordo tra le parti in merito all'oggetto della stessa e sostituisce tutti gli accordi e le intese precedenti, sia scritti che orali.

10.2. Modifiche
Il presente NDA non può essere emendato o modificato se non per iscritto e firmato da entrambe le parti.

10.3. Clausola di esclusione
Se una qualsiasi disposizione del presente NDA dovesse risultare non valida o inapplicabile, le restanti disposizioni rimarranno in vigore a tutti gli effetti.

10.4. Assegnazione
Nessuna delle parti può cedere o trasferire i diritti o gli obblighi previsti dal presente NDA senza il preventivo consenso scritto dell'altra parte.

11. RICONOSCIMENTO E FIRME

Firmando qui sotto, le parti riconoscono di aver letto e compreso il presente Accordo di non divulgazione e accettano di essere vincolate dai suoi termini.

	Ruolo (se applicabile):	Nome:	Firma:	Data:
Parte divulgante (istituto di istruzione superiore) Rappresentante:
Parte ricevente (Organizzazione comunitaria locale) Rappresentante:

[TEMPLATE] - Documento 4.1

Esonero di responsabilità LCO

Questo documento deve essere utilizzato come preliminare base per lo sviluppo di un'esenzione di responsabilità LCO per facilitare l'impegno della comunità locale. Vi preghiamo di apportare le modifiche necessarie al vostro contesto specifico e di consultare il vostro team legale prima di diffondere questo documento.

Esonero di responsabilità tra [nome dell'istituto di istruzione superiore] e [nome dello studente].

---

Data di entrata in vigore: [Inserire data]
Data di scadenza: [Inserire data o "Indefinito"].
Entrata in e tra: [Nome dell'istituto di istruzione superiore] (di seguito "l'IIS" o "l'Istituzione") con sede a [indirizzo dell'IIS],

e

[Nome dell'organizzazione comunitaria locale] (di seguito "LCO") con sede in [indirizzo LCO].

1. SCOPO

Lo scopo del presente Accordo di esonero e liberazione dalla responsabilità è quello di delineare le responsabilità, i rischi e gli oneri relativi alla collaborazione tra l'Istituzione e il LCO in relazione al [20XX Programma di seminari sulla sicurezza informatica di Google.org] e di esonerare ciascuna parte dalla responsabilità per eventuali lesioni, danni o perdite che potrebbero verificarsi come risultato del loro coinvolgimento.

2. RICONOSCIMENTO DEL RISCHIO

2.1. Partecipazione volontaria
Sia l'Istituzione che il LCO riconoscono che la loro partecipazione al [20XX Programma di seminari sulla sicurezza informatica di Google.org] è del tutto volontaria.

2.2. Assunzione del rischio
Ciascuna parte è consapevole che la partecipazione al [Programma di seminari sulla sicurezza informatica di Google.org 20XX] può comportare rischi intrinseci, tra cui, a titolo esemplificativo e non esaustivo, [elencare i rischi specifici, ad es. lesioni fisiche, danni alla proprietà, rischi legati alla sicurezza informatica, ecc.] Entrambe le parti si assumono la piena responsabilità di tutti i rischi di lesioni, malattie, danni o perdite che possono derivare dalla loro partecipazione.

3. ESONERO DI RESPONSABILITÀ

3.1. Rilascio generale
L'Istituzione e il LCO, a nome di se stessi, dei loro funzionari, dipendenti, agenti, rappresentanti e volontari (collettivamente, "le Parti esonerate"), con il presente documento si esonerano, rinunciano, assolvono e si impegnano a non intentare causa l'una contro l'altra da qualsiasi rivendicazione, richiesta, azione, causa di azione o responsabilità, di qualsiasi tipo o natura, derivante da o in qualsiasi modo correlata alla loro partecipazione al [20XX Programma di seminari sulla sicurezza informatica di Google.org], compresa, a titolo esemplificativo ma non esaustivo, qualsiasi rivendicazione per lesioni fisiche, malattia, morte, danni alla proprietà o altre perdite.

3.2. Liberatoria specifica per negligenza
Sia l'Istituzione che il LCO comprendono e accettano specificamente che questa liberatoria include qualsiasi reclamo basato sulla negligenza, l'azione o l'inazione delle Parti Liberate dell'altra parte e copre le lesioni fisiche (incluso il decesso) e i danni alla proprietà, sia subiti prima, durante o dopo tale partecipazione.

4. INDENNIZZO

4.1. Indennizzo reciproco
L'Istituzione accetta di indennizzare, difendere e tenere indenne il LCO e le sue Parti Esonerate da e contro qualsiasi reclamo, responsabilità, danno, costo o spesa (comprese le ragionevoli spese legali) derivanti da o correlati al coinvolgimento dell'Istituzione in [descrivere l'attività, il programma o il progetto specifico]. Allo stesso modo, il LCO si impegna a indennizzare, difendere e tenere indenne l'Istituzione e le sue Parti Esonerate da e contro qualsiasi reclamo, responsabilità, danno, costo o spesa derivante o correlato al coinvolgimento del LCO in [descrivere l'attività, il programma o il progetto specifico].

4.2. Richieste di risarcimento da parte di terzi
Entrambe le parti si impegnano a indennizzare e tenere indenne l'altra parte da eventuali richieste di risarcimento avanzate da terzi e derivanti da azioni o omissioni dei rispettivi funzionari, dipendenti, agenti o volontari in relazione al presente Contratto.

5. ASSICURAZIONE

5.1. Copertura assicurativa
Sia l'Istituzione che il LCO si impegnano a mantenere un'adeguata copertura assicurativa, compresa la responsabilità civile generale e, se applicabile, la responsabilità professionale, a copertura di eventuali richieste di risarcimento o responsabilità derivanti dalla loro partecipazione a [descrivere l'attività, il programma o il progetto specifico].

5.2. Prova di assicurazione
Su richiesta, ciascuna parte si impegna a fornire all'altra la prova della copertura assicurativa, compresi i limiti e le condizioni della polizza.

6. CONFORMITÀ ALLE LEGGI

6.1. Conformità legale e normativa
L'Istituzione e il LCO si impegnano a rispettare tutte le leggi, i regolamenti e le linee guida applicabili nello svolgimento dei loro compiti e delle loro attività ai sensi del presente Accordo.

6.2. Informazioni richieste
Se una delle parti è obbligata per legge o per procedura legale a divulgare qualsiasi informazione relativa al presente Contratto, dovrà informare tempestivamente l'altra parte e collaborare per ottenere un ordine di protezione o un altro rimedio appropriato.

7. TERMINE E RISOLUZIONE

7.1. Termine
Il presente Contratto rimarrà in vigore dalla Data di entrata in vigore fino alla Data di scadenza, o fino alla risoluzione da parte di una delle due parti con [Inserire periodo di preavviso, ad esempio 30 giorni] preavviso scritto all'altra parte.

7.2. Restituzione o distruzione delle informazioni
Al termine del presente Contratto, ciascuna parte si impegna a restituire o distruggere tutte le informazioni riservate appartenenti all'altra parte, secondo le indicazioni della parte che le ha divulgate.

8. LEGGE APPLICABILE E GIURISDIZIONE

Il presente Contratto sarà disciplinato e interpretato in conformità alle leggi di [Inserire Giurisdizione]. Qualsiasi controversia derivante o correlata al presente Contratto sarà risolta dai tribunali di [Inserire Giurisdizione].

9. VARIE

9.1. Intero accordo
Il presente Accordo costituisce l'intera intesa tra l'Istituzione e il LCO in merito all'oggetto dello stesso e sostituisce tutti gli accordi, le intese o le dichiarazioni precedenti, sia scritte che orali.

9.2. Modifiche
Il presente Contratto non può essere emendato o modificato se non per iscritto e firmato da entrambe le parti.

9.3. Clausola di esclusione
Se una qualsiasi disposizione del presente Contratto è ritenuta non valida o inapplicabile, le restanti disposizioni rimarranno pienamente valide ed efficaci.

9.4. Assegnazione
Nessuna delle parti può cedere o trasferire i diritti o gli obblighi previsti dal presente Contratto senza il preventivo consenso scritto dell'altra parte.

10. RICONOSCIMENTO E FIRME

Firmando qui di seguito, le parti riconoscono di aver letto e compreso il presente Accordo di esonero e liberazione dalla responsabilità e accettano di essere vincolate dai suoi termini.

	Ruolo (se applicabile):	Nome:	Firma:	Data:
Rappresentante LCO di [Nome LCO]:
Rappresentante dell'istituto di istruzione superiore / Supervisore:

[TEMPLATE] - Documento 4.2

Esonero di responsabilità dello studente

Questo documento deve essere utilizzato come preliminare base per lo sviluppo di un'esenzione di responsabilità per gli studenti per facilitare l'impegno della comunità locale. Vi preghiamo di apportare le modifiche necessarie al vostro contesto specifico e di consultare il vostro team legale prima di diffondere questo documento.

Esonero di responsabilità tra [nome dell'istituto di istruzione superiore] e [nome dello studente].

---

Data di entrata in vigore: [Inserire data]
Data di scadenza: [Inserire data o "Indefinito"].
stipulato tra: [Nome dell'istituto di istruzione superiore] (di seguito "l'IIS" o "l'Istituzione") con sede a [indirizzo dell'IIS],

e

[Nome del partecipante] (di seguito denominato "il Partecipante") con sede a [indirizzo del partecipante].

1. SCOPO

Lo scopo del presente Accordo di esonero e liberazione dalla responsabilità è quello di esonerare l'Istituzione dalla responsabilità per eventuali lesioni, danni o perdite che potrebbero verificarsi in seguito alla partecipazione del Partecipante al Programma di seminari sulla sicurezza informatica di [20XX] Google.org, organizzato dall'Istituzione.

2. RICONOSCIMENTO DEL RISCHIO

2.1. Partecipazione volontaria
Il Partecipante riconosce che la sua partecipazione al Programma di seminari sulla sicurezza informatica di [20XX] Google.org è del tutto volontaria.

2.2. Assunzione del rischio
Il Partecipante è consapevole che la partecipazione al Programma di seminari sulla sicurezza informatica di [20XX] Google.org può comportare rischi intrinseci, tra cui, a titolo esemplificativo ma non esaustivo, [elencare i rischi specifici, ad es. lesioni fisiche, danni materiali, esposizione a condizioni pericolose, ecc.] Il Partecipante si assume la piena responsabilità di tutti i rischi di lesioni, malattie, danni o perdite che possono derivare dalla partecipazione a questa attività.

3. ESONERO DI RESPONSABILITÀ

3.1. Rilascio generale
Il Partecipante, a nome suo, dei suoi eredi, cessionari e rappresentanti personali, con il presente documento esonera, rinuncia, scarica e si impegna a non citare in giudizio l'Istituzione, i suoi funzionari, dipendenti, agenti, rappresentanti e volontari (collettivamente, "le Parti esonerate") da qualsiasi rivendicazione, richiesta, azione, causa o responsabilità, di qualsiasi tipo o natura, derivante da o in qualsiasi modo correlata alla partecipazione del Partecipante al programma di seminari Google [20XX].org Cybersecurity Seminars Program, incluse, a titolo esemplificativo e non esaustivo, richieste di risarcimento per lesioni fisiche, malattie, morte, danni alla proprietà o altre perdite.

3.2. Liberatoria specifica per negligenza
Il Partecipante comprende e accetta specificamente che questa liberatoria include qualsiasi reclamo basato sulla negligenza, l'azione o l'inazione delle Parti liberate, e copre le lesioni fisiche (compresa la morte) e i danni alla proprietà, sia subiti dal Partecipante prima, durante o dopo tale partecipazione.

4. INDENNIZZO

Il Partecipante accetta di indennizzare, difendere e tenere indenni le Parti esonerate da qualsiasi reclamo, responsabilità, danno, costo o spesa (incluse le ragionevoli spese legali) derivanti da o correlati alla partecipazione del Partecipante al Programma di seminari sulla sicurezza informatica di [20XX] Google.org, incluse, a titolo esemplificativo, le richieste di risarcimento avanzate da terzi.

5. TRATTAMENTO MEDICO

5.1. Consenso al trattamento medico
In caso di infortunio o di emergenza medica, il Partecipante autorizza l'Istituzione a fornire o a far fornire le cure mediche di emergenza ritenute necessarie, a spese del Partecipante. Il Partecipante riconosce che l'Istituzione non fornisce un'assicurazione medica e che il Partecipante è responsabile delle spese mediche sostenute.

5.2. Informazioni mediche
Il Partecipante accetta di fornire all'Istituzione qualsiasi informazione medica pertinente che possa influire sulla sua partecipazione all'attività, comprese eventuali allergie, condizioni o farmaci.

6. LEGGE APPLICABILE E GIURISDIZIONE

Il presente Contratto sarà disciplinato e interpretato in conformità alle leggi di [Inserire Giurisdizione]. Qualsiasi controversia derivante o correlata al presente Contratto sarà risolta dai tribunali di [Inserire Giurisdizione].

7. VARIE

7.1. Intero accordo
Il presente Contratto costituisce l'intero accordo tra le parti in merito all'oggetto dello stesso e sostituisce tutti gli accordi e le intese precedenti, sia scritti che orali.

7.2. Clausola di esclusione
Se una qualsiasi disposizione del presente Contratto è ritenuta non valida o inapplicabile, le restanti disposizioni rimarranno pienamente valide ed efficaci.

7.3. Modifica
Il presente Contratto non può essere emendato o modificato se non per iscritto e firmato da entrambe le parti.

8. RICONOSCIMENTO E ACCETTAZIONE

Firmando qui sotto, il Partecipante riconosce di aver letto e compreso il presente Accordo di esonero e liberazione dalla responsabilità e di accettare di essere vincolato dai suoi termini. Il Partecipante conferma inoltre di essere maggiorenne e pienamente competente a sottoscrivere il presente Accordo o, se minorenne, di aver ottenuto il consenso di un genitore o di un tutore.

	Ruolo (se applicabile):	Nome:	Firma:	Data:
Partecipante:
Genitore/tutore:
Rappresentante dell'istituto di istruzione superiore / Supervisore:

[TEMPLATE] - Documento 5

Codice di condotta degli studenti

Questo documento deve essere utilizzato come preliminare Il documento è la base per lo sviluppo di un Codice di condotta per gli studenti da seguire quando si impegnano nella comunità locale. Vi preghiamo di apportare le modifiche necessarie al vostro contesto specifico e di consultare il vostro team legale prima di diffondere questo documento.

Codice di condotta degli studenti tra [nome dell'istituto di istruzione superiore] e [nome dello studente].

---

Data di entrata in vigore: [Inserire data]
Data di scadenza: [Inserire data o "Indefinito"].
stipulato tra: [Nome dell'istituto di istruzione superiore] (di seguito "l'IIS") con sede a [indirizzo dell'IIS],

e

[Nome dello studente] (di seguito denominato "lo Studente") con sede a [indirizzo dello studente].

INTRODUZIONE

Benvenuti al programma di seminari sulla sicurezza informatica di [nome dell'università] Google.org. In qualità di partecipanti, rappresentate la nostra università e interagirete con varie organizzazioni della comunità locale (LCO). Il presente Codice di condotta delinea le aspettative per il vostro comportamento e le vostre prestazioni durante la partecipazione al programma. Il rispetto di questo codice è obbligatorio per garantire un ambiente professionale, etico e sicuro per tutte le parti coinvolte.

PROFESSIONALITÀ

Rispetto e integrità: Trattare sempre con rispetto il personale di LCO, i membri della comunità, i compagni di corso e il personale universitario. Siate onesti e mantenete i più alti standard di integrità in tutte le interazioni.

Puntualità: Arrivare puntuali a tutti gli impegni, sia in loco che a distanza o presso l'università. Informare il proprio supervisore e l'LCO di eventuali ritardi o modifiche al programma.

Codice di abbigliamento: Vestirsi in modo adeguato all'ambiente, tenendo conto della natura del lavoro e dell'ambiente. In caso di dubbio, chiedere al proprio supervisore indicazioni sull'abbigliamento adeguato.

Comunicazione: Mantenere sempre una comunicazione chiara e professionale. Rispondere prontamente a e-mail, messaggi e chiamate. Utilizzare canali di comunicazione sicuri quando si parla di informazioni sensibili.

RISERVATEZZA E SICUREZZA DEI DATI

Informazioni riservate: Rispettare la riservatezza di tutte le informazioni a cui si accede durante l'incarico. Non divulgare informazioni sensibili o proprietarie senza un'autorizzazione esplicita.

Gestione dei dati: Seguire le migliori pratiche per la gestione dei dati, tra cui la crittografia, l'archiviazione sicura e lo smaltimento corretto dei dati non necessari. Non trasferire i dati LCO su dispositivi personali o in luoghi non protetti.

Controllo degli accessi: Accedere solo ai sistemi, alle reti o ai dati per i quali si è stati esplicitamente autorizzati. Non condividete le vostre credenziali di accesso con altri.

COMPORTAMENTO ETICO

Conformità alle leggi e alle politiche: Rispettare tutte le leggi, le normative e le politiche universitarie pertinenti, comprese quelle relative alla sicurezza informatica, alla protezione dei dati e alla privacy.

Conflitto di interessi: Comunicare al proprio supervisore ogni potenziale conflitto di interessi. Evitare situazioni in cui i vostri interessi personali possano entrare in conflitto con i vostri doveri nei confronti del LCO o dell'università.

Hacking etico: Quando si partecipa ad attività di red-team o a valutazioni di vulnerabilità, assicurarsi di avere un'autorizzazione chiara e di seguire l'ambito di lavoro definito. Non impegnarsi in test non autorizzati o nello sfruttamento delle vulnerabilità.

SICUREZZA PERSONALE

Sicurezza in loco: Seguire tutte le linee guida sulla sicurezza fornite dal LCO e dall'università. Utilizzare i dispositivi di protezione individuale (DPI) come richiesto e prestare attenzione all'ambiente circostante. Si consiglia di tenere i propri effetti personali al sicuro, a portata di mano, e di non portare sul posto oggetti di valore non necessari.

Sicurezza del coinvolgimento a distanza: Assicurarsi che il proprio ambiente di lavoro sia sicuro e che si utilizzino connessioni sicure (ad esempio, VPN) quando si accede ai sistemi LCO da remoto.

Procedure di emergenza: Familiarizzare con le procedure di emergenza dell'università e del LCO. Sapere come contattare i servizi di emergenza e segnalare gli incidenti.

RESPONSABILITÀ E RENDICONTAZIONE

Segnalazione di incidenti: Segnalare immediatamente qualsiasi incidente di sicurezza, violazione o comportamento non etico al proprio supervisore o al contatto universitario appropriato.

Feedback e Debriefing: Partecipare a sessioni di debriefing dopo gli impegni per discutere la propria esperienza, fornire un feedback e identificare le aree di miglioramento.

Responsabilità: Assumersi la responsabilità delle proprie azioni e del loro impatto sul LCO, sull'università e sulla comunità in generale. Sforzatevi di lasciare un impatto positivo e duraturo.

AZIONI DISCIPLINARI

Non conformità: La mancata osservanza di questo Codice di condotta può comportare azioni disciplinari, tra cui, a titolo esemplificativo, l'allontanamento dal programma di cybersecurity, sanzioni accademiche o la segnalazione al comitato disciplinare dell'università.

Processo di appello: Se ritenete che un'azione disciplinare non sia giustificata, potete appellarvi alla decisione attraverso la procedura di appello prevista dall'università.

RICONOSCIMENTO

Partecipando al programma di seminari sulla sicurezza informatica di [nome dell'università] Google.org, l'utente dichiara di aver letto, compreso e accettato di rispettare il presente Codice di condotta. Il vostro impegno a rispettare questi principi è essenziale per il successo della clinica e per la fiducia riposta in noi dai nostri partner della comunità.

	Ruolo (se applicabile):	Nome:	Firma:	Data:
Studente:
Supervisore:

[TEMPLATE] - Documento 6

Migliori pratiche per la protezione di dispositivi e software

Questo documento deve essere utilizzato come preliminare base per lo sviluppo di un documento sulle migliori pratiche per la protezione di dispositivi e software per il coinvolgimento della comunità locale. Vi preghiamo di apportare le modifiche necessarie per il vostro contesto specifico e di consultare il vostro team legale prima di diffondere questo documento.

INTRODUZIONE

Questo documento illustra le migliori pratiche per la salvaguardia dei dispositivi e del software utilizzati durante l'impegno con le Organizzazioni Comunitarie Locali (OCL). Queste best practice riguardano anche la protezione dei dati e la sicurezza delle comunicazioni, la cancellazione e lo smaltimento dei dati, la rimozione degli accessi, la risposta agli incidenti e l'autenticazione. Esse mirano a ridurre i rischi di attacchi informatici, violazioni dei dati e accessi non autorizzati ai dispositivi degli studenti e ai sistemi delle LCO e dell'università, e sono fondamentali per mantenere la sicurezza e la conformità durante tutto il progetto. 

PROTEZIONE DEL DISPOSITIVO

Registrazione e ispezione dei dispositivi

• Registro dell'inventario dei dispositivi:
  L'università deve tenere un registro dettagliato di tutti i dispositivi e dell'hardware utilizzati durante l'incarico, compresi il tipo di dispositivo, il numero di serie e gli utenti assegnati. Questo inventario garantisce la responsabilità e consente di tracciare l'utilizzo dei dispositivi.

• Ispezione dei dispositivi prima e dopo l'uso:
  Tutti i dispositivi, sia personali che forniti dall'università o dall'LCO, devono essere sottoposti a un'ispezione di sicurezza prima e dopo l'uso. Ciò include il controllo della presenza di malware, la verifica dell'aggiornamento del software e l'accertamento dell'assenza di modifiche o installazioni di software non autorizzate. I dispositivi devono inoltre essere sottoposti a scansione per individuare potenziali vulnerabilità prima di essere restituiti o scollegati dai sistemi di LCO.

Dispositivi personali e LCO

• Uso di dispositivi personali:
  Se si utilizzano dispositivi personali per accedere ai sistemi LCO, questi devono soddisfare gli standard di sicurezza dell'università, come sistemi operativi aggiornati e protezione antivirus.

• Dispositivi LCO:
  I dispositivi forniti da LCO devono essere utilizzati quando possibile e devono essere configurati e patchati in modo sicuro prima dell'uso.

Sicurezza degli endpoint

• Antivirus/Anti-Malware:
  Assicurarsi che un software antivirus e anti-malware affidabile sia installato e regolarmente aggiornato su tutti i dispositivi utilizzati durante l'incarico.

• Firewall:
  Attivare i firewall su tutti i dispositivi per proteggersi da accessi non autorizzati.

Crittografia del dispositivo

• Crittografia dei dati:
  Tutti i dispositivi che gestiscono dati sensibili devono utilizzare la crittografia, come la crittografia dell'intero disco (ad esempio, BitLocker per Windows, FileVault per macOS), per proteggersi dal furto di dati in caso di perdita del dispositivo o di accesso non autorizzato.

Sicurezza fisica

• Controllo dell'accesso al dispositivo:
  Proteggere i dispositivi con password forti, autenticazione biometrica (se disponibile) o PIN. Assicuratevi che i dispositivi si blocchino automaticamente dopo periodi di inattività per evitare accessi non autorizzati.

• Conservazione sicura:
  Conservare i dispositivi in luoghi sicuri quando non vengono utilizzati, in particolare quando si viaggia o si lavora in ambienti non sicuri.

PROTEZIONE DEL SOFTWARE

Configurazione sicura del software

• Permessi minimi:
  Configurare il software in modo che segua il principio del minor privilegio, concedendo agli utenti l'accesso minimo necessario per eseguire le attività.

• Autenticazione software:
  Utilizzare l'autenticazione a più fattori (MFA) per i software che gestiscono informazioni sensibili, soprattutto quando si accede ai sistemi LCO da remoto.

Aggiornamenti regolari del software

• Gestione delle patch:
  Garantire un programma di gestione delle patch per aggiornare regolarmente i sistemi operativi, le applicazioni di terze parti e gli strumenti di sicurezza per eliminare le vulnerabilità note.

Uso del software approvato

• Software controllati:
  Utilizzate solo software approvati e controllati per i rischi di sicurezza. Evitate di scaricare o utilizzare software non autorizzato, in particolare da fonti non attendibili.

Software open source

• Open Source Attenzione:
  Se si utilizza un software open-source, assicurarsi che abbia una comunità di supporto affidabile, aggiornamenti regolari e un monitoraggio attivo della sicurezza. Verificate regolarmente la presenza di vulnerabilità note nel repository del software.

PROTEZIONE DEI DATI E SICUREZZA DELLE COMUNICAZIONI

Crittografia dei dati

• Dati in transito:
  Crittografare tutti i dati trasferiti tra i dispositivi e i sistemi LCO utilizzando metodi sicuri, come una rete privata virtuale (VPN) o la crittografia SSL/TLS. Evitare canali di comunicazione non criptati per i dati sensibili.

• Dati a riposo:
  Assicurarsi che i dati sensibili memorizzati sui dispositivi siano crittografati, soprattutto quando si utilizzano memorie esterne come USB o dischi rigidi portatili.

Strumenti di comunicazione sicuri

• Comunicazione criptata:
  Utilizzate piattaforme di comunicazione sicure e crittografate per la collaborazione e la condivisione dei dati (ad esempio, Signal, ProtonMail, Microsoft Teams con crittografia). Evitate di utilizzare canali di comunicazione non protetti, come le app di messaggistica pubbliche o le normali e-mail, per le comunicazioni sensibili.

• Accesso remoto:
  Quando si accede ai sistemi LCO da remoto, assicurarsi che gli studenti utilizzino una VPN sicura e crittografata per proteggere i canali di comunicazione da potenziali intercettazioni.

Backup dei dati

• Backup regolare:
  Eseguite regolarmente il backup dei dati critici utilizzando soluzioni di backup sicure e crittografate. Conservate i backup in un luogo sicuro, fuori sede, e assicuratevi che possano essere ripristinati in caso di perdita di dati o di guasto del sistema.

CANCELLAZIONE E SMALTIMENTO DEI DATI

Protocollo di cancellazione dei dati

• Eliminazione dei dati non più necessari:
  Una volta che il progetto è stato completato e i dati non sono più necessari, tutti i dati sensibili devono essere eliminati in modo sicuro dai dispositivi. Ciò include la rimozione di qualsiasi file, documento o dato memorizzato localmente o su dispositivi di archiviazione esterni. Assicurarsi che i dati eliminati non possano essere recuperati utilizzando metodi di cancellazione sicuri, come il software di distruzione dei file o gli strumenti del sistema operativo che sovrascrivono i dati.

• Politiche di conservazione dei dati:
  Seguire le politiche di conservazione dei dati dell'università e dell'LCO, assicurandosi che tutti i dati che devono essere conservati siano archiviati in modo sicuro e protetti secondo le normative vigenti. Ciò può comportare l'aggiornamento sulle pratiche e sui requisiti locali e nazionali. Tutti i dati che non sono necessari per riferimenti futuri o per scopi di conformità devono essere cancellati.

Smaltimento sicuro dei dati

• Smaltimento dei supporti fisici:
  Per i dispositivi o i supporti che contengono dati sensibili, come dischi rigidi, unità USB o altri supporti di archiviazione fisica, utilizzare metodi sicuri per la distruzione dei dati (ad esempio, degaussing, distruzione fisica o servizi di triturazione certificati) per garantire che i dati non possano essere recuperati.

• Sanificazione dei dispositivi:
  Prima di restituire o riutilizzare i dispositivi, assicurarsi che siano stati accuratamente ripuliti da tutti i dati relativi al progetto utilizzando strumenti sicuri di cancellazione dei dati. Questo vale sia per i dispositivi personali che per quelli di LCO utilizzati durante l'incarico.

RIMOZIONE ACCESSO

Revoca dell'accesso al sistema

• Rimozione tempestiva dell'accesso:
  Al termine dell'incarico, revocare prontamente l'accesso ai sistemi, alle piattaforme e ai dati sensibili di LCO per gli studenti e i supervisori. Ciò include la rimozione degli account utente, la disattivazione delle credenziali di accesso e la disabilitazione degli strumenti di accesso remoto.

• Audit del sistema:
  Eseguire una verifica finale di tutti gli account e i permessi relativi all'incarico. Assicurarsi che non rimanga alcun accesso residuo per nessun utente o dispositivo associato al progetto.

Revoca delle licenze software

• Disattivare le licenze:
  Se agli studenti o ai LCO è stato fornito un software con licenza per l'incarico, assicuratevi che tali licenze siano correttamente disattivate o restituite una volta terminato il progetto. Confermare con le parti interessate che non vi siano accessi non autorizzati al software concesso in licenza.

SEGNALAZIONE E RISPOSTA AGLI INCIDENTI

Monitoraggio e rilevamento degli incidenti

• Monitoraggio di attività sospette:
  Monitorare costantemente i dispositivi alla ricerca di segni di attività sospette, come tentativi di accesso non autorizzati o modifiche inaspettate al software e alle impostazioni.

Segnalazione di incidenti di sicurezza

• Segnalazione immediata:
  Segnalare immediatamente all'LCO e ai supervisori universitari qualsiasi incidente di sicurezza, come dispositivi smarriti o rubati, accessi non autorizzati o sospette violazioni. Una documentazione adeguata e una risposta rapida sono essenziali per ridurre al minimo i danni.

Piano di risposta agli incidenti

• Attivare il piano di crisi:
  In caso di violazione della sicurezza o di incidente significativo, attivare il piano di risposta alla crisi sviluppato durante la fase di pianificazione. Intervenire immediatamente per contenere il problema, proteggere i dati critici e ripristinare la sicurezza del sistema.

AUTENTICAZIONE

Password

• Complessità della password:
  Assicuratevi che le password siano forti, composte da almeno 12 caratteri e che includano un mix di lettere maiuscole e minuscole, numeri e simboli. Evitate di utilizzare informazioni facilmente intuibili, come nomi o parole comuni.

• Utilizzo di gestori di password:
  Utilizzate un gestore di password affidabile per generare e memorizzare in modo sicuro password complesse. Evitate di conservare le password in file non protetti o di riutilizzare la stessa password per più account.

• Biometria:
  Utilizzare metodi di autenticazione biometrica, ove disponibili, a condizione che tali metodi proteggano adeguatamente la privacy dei dati biometrici utilizzati.

Autenticazione a più fattori (MFA)

• Abilitare l'MFA:
  Attivate l'MFA su tutti gli account e i sistemi che gestiscono informazioni sensibili per aggiungere un ulteriore livello di protezione oltre alle semplici password.

Informazioni sul programma di seminari sulla sicurezza informatica di Google.org

Il programma Cybersecurity Seminars di Google.org supporta corsi di cybersecurity in

università selezionate e altri istituti di istruzione superiore idonei in Europa, Medio Oriente e Africa, per aiutare gli studenti a conoscere meglio la cybersecurity e a esplorare i percorsi nel settore.

Il programma sostiene attivamente l'espansione della formazione in cybersecurity nelle università, per creare la forza lavoro diversificata necessaria per aiutare le organizzazioni più vulnerabili a prevenire potenziali attacchi informatici. Il programma affronta anche i nuovi rischi derivanti dall'intelligenza artificiale (AI), fornendo agli studenti una comprensione dei cambiamenti basati sull'AI nel panorama delle minacce informatiche e aiutandoli a integrare efficacemente l'AI nelle misure pratiche di cybersecurity.

Le università partecipanti devono promuovere attivamente l'uguaglianza, la diversità e l'inclusione all'interno dei loro programmi. Dovrebbero incoraggiare la forte partecipazione di individui provenienti da contesti diversi e creare un ambiente inclusivo per la formazione, arricchendo così l'esperienza di apprendimento complessiva e rafforzando la comunità della cybersecurity.