Introduzione e obiettivi
Eccoci all'ultima lezione del modulo. Nelle tre lezioni precedenti del Modulo 3 abbiamo costruito, mattone su mattone, una cultura della sicurezza per chi lavora con i dati dell'edilizia digitale: nella Lezione 9 i fondamenti (la triade CIA, le minacce, il phishing, l'igiene delle password); nella Lezione 10 la protezione di dati e modelli BIM nel Common Data Environment con permessi, versioning e backup (ISO 19650); nella Lezione 11 la sicurezza dell'infrastruttura — IoT, reti, dispositivi mobili, supply chain — chiusa con l'analisi del rischio e il registro dei rischi. Adesso è il momento di mettere tutto insieme.
Questa lezione non introduce molti concetti nuovi: prende quelli già visti e li trasforma in strumenti operativi che porterai in cantiere e in studio. Imparerai a scrivere un piano minimo di sicurezza — il documento che dice "ecco cosa facciamo, chi lo fa e ogni quanto" — e a gestire un incidente quando, nonostante tutto, qualcosa va storto. Perché la domanda giusta non è "se" subirai un attacco, ma "quando", e soprattutto "quanto sei pronto a reagire". Una piccola impresa edile che sa cosa fare nelle prime due ore di un ransomware perde un giorno; una che improvvisa perde una settimana e, a volte, le commesse.
Concretamente, in questa lezione esploreremo:
- Il piano minimo di sicurezza: come si scrive, le tre famiglie di misure (tecniche, organizzative e formazione) e una tabella pronta da adattare a uno studio o a una piccola impresa edile;
- La gestione di un incidente: i quattro tempi — rilevare, contenere, ripristinare, comunicare — con l'obbligo GDPR di notifica del data breach entro 72 ore;
- Una simulazione ransomware: un role-play di "cosa facciamo nelle prime due ore", con una checklist operativa;
- Il project work integrato: la consegna che chiude il corso, dal caso alla presentazione di gruppo;
- La verifica finale: come sei valutato, i pesi e la rubrica, con il mini-test sull'intero Modulo 3.
Obiettivi della lezione
Al termine sarai in grado di: redigere un piano minimo di sicurezza per uno studio o una piccola impresa edile, distinguendo misure tecniche, organizzative e di formazione; descrivere i quattro tempi della gestione di un incidente e applicarli a un caso edile; sapere quando e come scatta l'obbligo GDPR di notifica del data breach entro 72 ore; reagire con ordine alle prime due ore di un attacco ransomware seguendo una checklist; e presentare un project work integrato che lega i tre moduli del corso — dati, analisi/decisione e sicurezza — secondo la rubrica di valutazione.
Costruire un piano minimo di sicurezza
Un piano minimo di sicurezza è un documento breve e concreto che risponde a tre domande: cosa proteggiamo, con quali misure e chi è responsabile di cosa. Non è un trattato: per uno studio tecnico o una piccola impresa edile bastano poche pagine. Il suo valore non sta nella lunghezza ma nel fatto che esista, sia scritto e sia condiviso: finché la sicurezza vive solo "nella testa dell'informatico" non è un piano, è un'illusione. Il registro dei rischi che hai costruito nel laboratorio della Lezione 11 (asset → minacce → misure) è la materia prima: il piano lo trasforma in azioni assegnate e ricorrenti.
Le tre famiglie di misure
Le contromisure di sicurezza si raggruppano sempre in tre famiglie. Un piano completo le tocca tutte e tre, perché una sola non basta: il miglior firewall del mondo è inutile se l'operaio clicca sull'allegato di phishing, e la migliore formazione non protegge un server senza backup.
- Misure tecniche: ciò che si configura e si installa — antivirus/EDR, backup 3-2-1, cifratura, MFA, segmentazione della rete, aggiornamenti, gestione dei permessi nel CDE. Sono le difese che abbiamo visto nelle Lezioni 10 e 11.
- Misure organizzative: le regole e i ruoli — chi può accedere a cosa, chi aggiorna i firmware, ogni quanto si verificano i backup, cosa si fa quando arriva un nuovo subappaltatore, come si revoca un account a chi lascia l'azienda. Sono procedure, non software.
- Formazione: le persone. Riconoscere il phishing, usare un password manager, sapere a chi segnalare un'anomalia. È la misura con il miglior rapporto costo/beneficio, perché l'errore umano è la prima causa di incidente.
Tip: il principio del "minimo che funziona"
Non puntare al piano perfetto: punta al piano che viene davvero applicato. Meglio cinque misure semplici eseguite tutte i mesi che venti misure ambiziose abbandonate dopo due settimane. Per ogni misura scrivi sempre tre cose: chi la esegue, ogni quanto, e come si verifica che sia stata fatta (un backup che nessuno ha mai provato a ripristinare non è un backup, è una speranza).
Una tabella di piano minimo per uno studio/impresa edile
Ecco un piano minimo pronto da adattare, costruito sul caso "Costruzioni Verdi srl" del laboratorio della Lezione 11 (piccolo studio/impresa, ~8 persone, CDE in cloud, tablet di campo, un cantiere con telecamere e sensori). La colonna "Responsabile" e "Frequenza" sono ciò che trasforma un elenco di buoni propositi in un piano vero.
| Famiglia | Misura | Cosa fa / perché | Responsabile | Frequenza |
|---|---|---|---|---|
| Tecnica | Backup 3-2-1 con copia offline | Garantisce il ripristino dei modelli BIM e delle anagrafiche dopo un ransomware | Referente IT | Giornaliero + test di ripristino mensile |
| Tecnica | MFA su CDE, email e VPN | Blocca l'accesso anche se una password viene rubata | Referente IT | Sempre attiva, verifica trimestrale |
| Tecnica | Segmentazione rete (VLAN lavoro / IoT / ospiti) | Confina i danni: la telecamera non raggiunge i backup | Referente IT / fornitore rete | All'avvio cantiere + revisione semestrale |
| Tecnica | Cifratura dispositivi + remote wipe | Un tablet di campo rubato resta inutilizzabile | Referente IT | Sempre attiva |
| Tecnica | Aggiornamenti firmware e software | Chiude le vulnerabilità note di sensori, router, PC | Referente IT / cantiere | Mensile + patch urgenti |
| Organizzativa | Matrice dei permessi del CDE (RBAC) | Ciascuno accede solo a ciò che gli serve (privilegio minimo) | BIM coordinator | Revisione a ogni nuovo progetto |
| Organizzativa | Gestione account (ingresso/uscita persone) | Revoca subito gli accessi di chi lascia o del subappaltatore a fine lavori | Titolare / IT | A ogni variazione |
| Organizzativa | Procedura incidenti + contatti | Sa chi chiamare e cosa fare nelle prime ore (vedi sezione incidenti) | Titolare | Aggiornata annualmente |
| Organizzativa | Registro rischi e registro violazioni | Documenta rischi e incidenti, anche quelli non notificati | Titolare / DPO se presente | Aggiornamento continuo |
| Formazione | Anti-phishing e igiene password | Riduce la prima causa di incidente: l'errore umano | Titolare / docente esterno | Annuale + onboarding |
| Formazione | Regole d'uso dei dispositivi mobili | Cosa fare se si perde un tablet, niente Wi-Fi pubblico senza VPN | Responsabile cantiere | Annuale |
Nota come quasi ogni riga sia il "seguito naturale" di una lezione del modulo: i backup e i permessi vengono dalla Lezione 10, la segmentazione e la cifratura dei mobili dalla Lezione 11, l'anti-phishing dalla Lezione 9. Il piano non inventa nulla: ordina. Ed è esattamente la sezione "Sicurezza" che valuteremo nel project work.
In sintesi: la struttura di un piano minimo
- 1. Perimetro: cosa proteggiamo (asset: dati, modelli BIM, dispositivi, persone) — dal registro rischi.
- 2. Misure: tecniche + organizzative + formazione, ciascuna con responsabile e frequenza.
- 3. Incidenti: chi si chiama, cosa si fa, dove sono i backup (la procedura della prossima sezione).
- 4. Verifica: ogni quanto si controlla che le misure funzionino davvero (test di ripristino, revisione permessi).
Gestione di un incidente
Un incidente di sicurezza è qualsiasi evento che mette a rischio la riservatezza, l'integrità o la disponibilità (di nuovo la triade CIA) dei dati e dei sistemi: un ransomware che cifra il server, un account email compromesso, un tablet rubato, una telecamera di cantiere violata, un file di registro presenze inviato per errore al fornitore sbagliato. Prima o poi capita. La differenza tra un'azienda che se la cava e una che affonda non sta nell'evitare l'incidente, ma nel reagire con ordine. E reagire con ordine significa seguire quattro tempi, sempre gli stessi.
I quattro tempi: rilevare, contenere, ripristinare, comunicare
- 1. Rilevare. Accorgersi che qualcosa non va: file che non si aprono o hanno estensioni strane, un messaggio di riscatto, un PC lentissimo, un accesso anomalo nei log, una segnalazione di un collega ("mi è arrivata una mail strana e ho cliccato"). Più tardi te ne accorgi, più il danno cresce: per questo la formazione e i log contano.
- 2. Contenere. Fermare l'emorragia prima di pensare a riparare. In pratica: scollegare dalla rete il PC o il server colpito (staccare il cavo o il Wi-Fi, non spegnerlo necessariamente, per non perdere prove), isolare la VLAN compromessa, sospendere gli account sospetti, cambiare le password chiave. L'obiettivo è impedire che il problema si propaghi agli altri sistemi — ed è qui che la segmentazione della Lezione 11 ripaga: se le reti sono separate, il contenimento è già metà fatto.
- 3. Ripristinare. Tornare operativi in sicurezza: ripartire dai backup (quelli offline, non raggiungibili dal ransomware), ricostruire i sistemi puliti, correggere la causa che ha permesso l'attacco (la password debole, il firmware vecchio, il plugin malevolo). Ripristinare senza correggere la causa significa farsi colpire di nuovo dopo pochi giorni.
- 4. Comunicare. Avvisare chi di dovere: la direzione, le persone coinvolte, eventuali clienti o fornitori e — se ci sono dati personali a rischio — le autorità. È il tempo più trascurato e quello con conseguenze legali. Comunicare male o tardi un data breach può costare più dell'attacco stesso.
Attenzione: non pagare e non improvvisare
Due errori tipici nei primi minuti di panico. Pagare il riscatto di un ransomware non garantisce di riavere i dati, finanzia il crimine e ti segnala come bersaglio "pagante" per il futuro: la via maestra resta il ripristino da backup. Improvvisare da soli su sistemi che non si conoscono (formattare, riavviare a caso) rischia di distruggere le prove e di peggiorare la situazione: meglio contenere, documentare e chiamare chi ha le competenze. Per questo la procedura va scritta prima, a mente fredda.
L'obbligo GDPR: la notifica del data breach entro 72 ore
Quando l'incidente coinvolge dati personali (anagrafiche dei lavoratori, badge di accesso, foto del SAL in cui si riconoscono persone, dati di contatto di clienti e fornitori) non è più solo un problema tecnico: diventa un data breach ai sensi del GDPR, già incontrato nelle Lezioni 4 e 11. La regola da ricordare a memoria è la notifica entro 72 ore:
- se la violazione comporta un rischio per i diritti e le libertà delle persone, il titolare del trattamento deve notificarla al Garante per la protezione dei dati personali entro 72 ore da quando ne è venuto a conoscenza;
- se il rischio è elevato, vanno informati anche gli interessati (le persone i cui dati sono stati violati), in modo chiaro e tempestivo;
- se non si fa in tempo a raccogliere tutte le informazioni, si fa una notifica iniziale e poi si integra: l'importante è non superare le 72 ore in silenzio;
- ogni violazione va annotata nel registro delle violazioni, anche quelle che non raggiungono la soglia di notifica, documentando cosa è successo, perché si è deciso di notificare o no e quali misure si sono prese.
Le 72 ore non si fermano il venerdì sera né ad agosto. Ecco perché la procedura incidenti del piano deve dire chi valuta se c'è un data breach e chi contatta il Garante: deciderlo nel panico, di sabato, è troppo tardi.
PROCEDURA INCIDENTI (da tenere nel piano minimo, una pagina)
1. RILEVARE -> chi se ne accorge avvisa SUBITO il referente (tel: ____)
2. CONTENERE -> isolare dalla rete il sistema colpito, NON spegnere,
sospendere account sospetti, cambiare password chiave
3. VALUTARE -> sono coinvolti DATI PERSONALI? c'e' rischio per le persone?
(decide: titolare + DPO se presente)
4. COMUNICARE -> se si': NOTIFICA al Garante entro 72h dal rilevamento;
se rischio elevato, informare anche gli interessati;
avvisare direzione e, se serve, clienti/fornitori
5. RIPRISTINARE -> ripartire dai BACKUP OFFLINE, ricostruire pulito,
CORREGGERE LA CAUSA (password, firmware, plugin...)
6. REGISTRARE -> annotare tutto nel registro delle violazioni e
aggiornare il registro dei rischi e il piano
Simulazione ransomware: le prime due ore
Adesso facciamo un role-play. La teoria della sezione precedente si fissa solo se la "agisci": in aula divideremo i ruoli (chi è il geometra che ha cliccato, chi il titolare, chi il referente IT, chi gestisce la comunicazione) e simuleremo le prime due ore di un attacco. È il momento in cui le decisioni contano di più e in cui, senza una procedura, si fanno i danni peggiori.
Lo scenario
Lunedì mattina, ore 8:40, studio "Costruzioni Verdi srl". Una geometra apre un PC e trova sul desktop un file di testo: "I tuoi file sono stati cifrati. Per riaverli paga entro 48 ore". I documenti di una commessa — modelli, computi, foto del SAL — hanno estensioni strane e non si aprono. Il giorno prima qualcuno aveva ricevuto una fattura PDF "urgente" da un fornitore e l'aveva aperta. Sul server di rete ci sono anche le anagrafiche dei lavoratori e i badge di cantiere. Cosa si fa adesso?
Checklist operativa: le prime due ore
- 0–15 min — Allarme e contenimento. Non pagare, non spegnere d'istinto. Scollegare dalla rete il PC colpito e qualsiasi macchina che mostri segni di cifratura; isolare il segmento di rete. Avvisare subito il referente.
- 15–30 min — Perimetro del danno. Quali PC, quali cartelle, quale server sono colpiti? Il NAS dei backup è raggiungibile dal ransomware o è offline? Sospendere gli account potenzialmente compromessi e cambiare le password chiave.
- 30–60 min — Valutazione dati personali. Tra i dati cifrati ci sono anagrafiche/badge dei lavoratori? Sì → potenziale data breach: parte l'orologio delle 72 ore. Decidono titolare (+ DPO se c'è). Documentare ora e modalità del rilevamento.
- 60–90 min — Backup e ripristino. Verificare l'integrità dei backup offline (la copia "3-2-1" della Lezione 10). Preparare il ripristino su sistemi puliti; non ripristinare sulla stessa macchina infetta.
- 90–120 min — Comunicazione e causa. Avvisare la direzione; preparare la notifica al Garante se c'è rischio per le persone; identificare la causa (l'allegato di phishing) e bloccarla (regola anti-spam, formazione lampo al team). Annotare tutto nel registro delle violazioni.
La morale del role-play: chi nelle prime due ore segue una lista perde un PC e qualche ora; chi improvvisa spesso cifra anche i backup (perché erano collegati in rete), perde giorni di lavoro e arriva tardi alla notifica delle 72 ore. Tutte le difese viste nel modulo — backup offline, segmentazione, MFA, formazione — nella simulazione mostrano il loro valore concreto: non sono burocrazia, sono i minuti e i dati che ti salvano.
Il project work integrato
Il project work integrato è il vero esame del corso e l'esercitazione finale di questa lezione. Non è un compito a parte: è il punto in cui i tre moduli si chiudono in un unico elaborato sul caso che vi ha seguito dalla Lezione 1. A gruppi, prendete il vostro edificio/cantiere e raccontate l'intero percorso del dato — da dove nasce, come lo analizzate per decidere, come lo proteggete.
Le quattro tappe dell'elaborato
- Dal caso alla mappa delle fonti dati (Modulo 1). Partite dal vostro edificio/cantiere e costruite la mappa delle fonti dati: modello BIM/IFC, sensori IoT, fogli di SAL, consumi, anagrafiche, open data. Classificate i dati per tipo e origine e indicate la qualità e gli eventuali dati personali (richiama Lezioni 1–4).
- Dalla mappa alla dashboard con KPI e decisione (Modulo 2). Scegliete alcuni KPI significativi (costi/tempi, consumi, CO₂, sicurezza, scarti), costruite una dashboard a una pagina e usatela per motivare una decisione data-driven sul caso (richiama Lezioni 5–8). La decisione deve essere misurabile, non un'opinione.
- Dalla decisione al piano minimo di sicurezza (Modulo 3). Proteggete i dati e il modello BIM del caso: partite dal registro dei rischi della Lezione 11 e scrivete un piano minimo di sicurezza (misure tecniche, organizzative, formazione) con responsabili e frequenze, e una breve procedura incidenti (richiama Lezioni 9–12).
- La presentazione. Raccontate il percorso in una presentazione di gruppo di 8–10 minuti: problema, dati, decisione, sicurezza. Chiarezza e rispetto dei tempi contano quanto i contenuti.
Consegna del project work integrato
A gruppi, finalizzate e presentate il vostro project work integrato sul caso che vi accompagna dalla Lezione 1. L'elaborato deve contenere, nell'ordine: (1) la mappa delle fonti dati classificata per tipo, origine e qualità (con i dati personali evidenziati); (2) una dashboard a una pagina con almeno 4–5 KPI e una decisione data-driven motivata e misurabile; (3) un piano minimo di sicurezza di dati e modello BIM — misure tecniche, organizzative e formazione con responsabile e frequenza — derivato dal registro dei rischi, più una breve procedura incidenti. Presentate in 8–10 minuti a gruppo, seguendo la rubrica (gestione dati / analisi e decisione / sicurezza / presentazione). Ogni componente del gruppo deve poter spiegare almeno una delle tre parti.
Tip: il filo rosso è la forza del lavoro
I project work che convincono non sono quelli con più slide: sono quelli in cui si vede il filo che lega le tre parti. Il dato che mappate nel Modulo 1 deve essere lo stesso che alimenta il KPI del Modulo 2 e che proteggete nel piano del Modulo 3. Esempio: i consumi energetici letti dai sensori (fonte dati) diventano il KPI "kWh per piano" sulla dashboard (decisione: dove intervenire) e, poiché transitano da dispositivi IoT su una rete di cantiere, finiscono come voce "sensori/rete" nel piano di sicurezza. Quando la giuria vede questo filo, la valutazione sale su tutti e quattro i criteri.
Come funziona la verifica finale
La verifica finale chiude il modulo UFC 9. Non è una singola prova "tutto o niente": è la somma di ciò che hai prodotto lungo le 12 lezioni più due prove finali (il test scritto e la presentazione del project work). La soglia di superamento è 60/100. Vediamo come si compone il voto e con quale rubrica si valuta il project work, così sai esattamente dove concentrare l'energia.
I pesi della valutazione
Il voto finale combina quattro voci. Le consegne di laboratorio e il project work pesano insieme il 60%: la valutazione premia il fare, coerentemente con il metodo del corso (learning by doing).
| Voce | Cosa valuta | Peso |
|---|---|---|
| Consegne di laboratorio | Le esercitazioni delle 12 lezioni (tabelle, dataset, pivot, dashboard, registri) | 30% |
| Mini-verifiche in itinere | 3 quiz, uno per modulo (compreso questo mini-test sul Modulo 3) | 15% |
| Test finale | Quiz + domande aperte sull'intero modulo | 25% |
| Project work integrato | Elaborato di gruppo + presentazione orale | 30% |
La rubrica del project work
Il project work si valuta su quattro criteri, ciascuno con tre livelli (Base 1, Adeguato 2, Ottimo 3). Sono gli stessi quattro pilastri del corso: i dati, l'analisi/decisione, la sicurezza e la capacità di comunicarli.
| Criterio | Base (1) | Adeguato (2) | Ottimo (3) |
|---|---|---|---|
| Gestione dei dati | Fonti elencate ma non strutturate | Dati strutturati e documentati | Struttura + dizionario dati + controllo qualità |
| Analisi e decisione | Grafici senza lettura | KPI e dashboard leggibili | Decisione motivata e misurabile dai dati |
| Sicurezza | Misure generiche | Permessi e backup definiti | Piano di sicurezza completo e calato sul caso |
| Presentazione | Poco chiara | Chiara e nei tempi | Convincente, con sintesi efficace |
Come arrivare alla soglia 60/100
La soglia di 60/100 si raggiunge curando tutte le voci, non una sola. In pratica: consegna ogni laboratorio (anche se imperfetto: un laboratorio consegnato vale più di uno perfetto mai consegnato), prepara le mini-verifiche di modulo, ripassa l'intero programma per il test finale e cura il project work su tutti e quattro i criteri della rubrica. Il criterio "Sicurezza" è quello che questo modulo ti ha insegnato a portare a livello "Ottimo": un piano di sicurezza completo e calato sul caso, non quattro frasi generiche.
Mini-test di autoverifica (intero modulo)
Istruzioni
Questo mini-test copre l'intero Modulo 3 (Lezioni 9–12): vale come mini-verifica di modulo. Prova a rispondere senza guardare il testo, poi controlla le risposte in fondo. La Sezione A vale 10 punti (1 per domanda), la Sezione B vale 4 punti (2 per domanda) per un totale di 14. Soglia di superamento: 60% (almeno ~9/14).
Sezione A: domande a risposta multipla
- Cosa indica la triade CIA in cybersecurity?
a) Controllo, Integrazione, Accesso b) Confidenzialità, Integrità, Disponibilità c) Cifratura, Identità, Autorizzazione d) Cloud, Internet, App - Cos'è il Common Data Environment (CDE) nella ISO 19650?
a) Un formato di file BIM b) L'ambiente unico e condiviso dove si gestiscono dati e modelli di progetto c) Un antivirus per cantieri d) Una rete VPN - A cosa serve il modello RBAC dei permessi?
a) A cifrare i backup b) A dare a ciascuno l'accesso solo a ciò che gli serve, in base al ruolo c) A velocizzare il CDE d) A notificare i data breach - Cosa prevede la regola di backup "3-2-1"?
a) 3 password, 2 firewall, 1 antivirus b) 3 copie dei dati, su 2 supporti diversi, 1 delle quali offline/fuori sede c) 3 utenti, 2 admin, 1 ospite d) Backup ogni 3 giorni - Qual è la prima cosa da fare quando arriva una fattura PDF "urgente" e inattesa da un fornitore?
a) Aprirla subito per non perdere tempo b) Diffidare: verificare mittente e richiesta prima di aprire allegati o link (possibile phishing) c) Inoltrarla a tutto l'ufficio d) Stamparla - Cosa significa "segmentare" la rete di cantiere?
a) Aumentare la potenza del Wi-Fi b) Dividerla in zone separate (VLAN) che non si parlano, così un danno resta confinato c) Usare un solo SSID d) Disattivare la cifratura - Perché un dispositivo IoT (es. una telecamera) con password di default è pericoloso?
a) Consuma troppa energia b) È facilmente individuabile e attaccabile, e può fare da porta d'ingresso verso altri sistemi c) Rallenta la rete d) Non registra video - Entro quanto tempo va notificato al Garante un data breach con rischio per le persone?
a) 24 ore b) 72 ore dal momento in cui se ne viene a conoscenza c) 7 giorni d) 30 giorni - Qual è l'ordine corretto dei quattro tempi nella gestione di un incidente?
a) Comunicare, ripristinare, contenere, rilevare b) Rilevare, contenere, ripristinare, comunicare c) Ripristinare, rilevare, comunicare, contenere d) Contenere, comunicare, rilevare, ripristinare - Cosa sono NIS2 e ISO/IEC 27001?
a) Due formati IFC b) NIS2 è una direttiva con obblighi di sicurezza/notifica per soggetti importanti; ISO 27001 è una certificazione volontaria di gestione della sicurezza basata sul rischio c) Due tipi di firewall d) Due plugin BIM
Sezione B: domande a risposta aperta
- (2 punti) Descrivi, nell'ordine, cosa fai nelle prime due ore di un attacco ransomware che ha cifrato il server con i modelli BIM e le anagrafiche dei lavoratori. Indica almeno una misura per ciascuno dei quattro tempi (rilevare, contenere, ripristinare, comunicare) e spiega quando scatta l'obbligo delle 72 ore.
- (2 punti) Scrivi tre righe di un piano minimo di sicurezza per uno studio edile, una per ciascuna famiglia di misure (tecnica, organizzativa, formazione). Per ogni riga indica la misura, il responsabile e la frequenza.
Mostra risposte corrette
Sezione A, risposte corrette
- b — Confidenzialità, Integrità, Disponibilità (la triade CIA)
- b — L'ambiente unico e condiviso dove si gestiscono dati e modelli di progetto (ISO 19650)
- b — Dare a ciascuno l'accesso solo a ciò che gli serve, in base al ruolo (privilegio minimo)
- b — 3 copie dei dati, su 2 supporti diversi, 1 delle quali offline/fuori sede
- b — Diffidare e verificare prima di aprire: è il tipico vettore del phishing/ransomware
- b — Dividerla in VLAN separate che non si parlano, per confinare i danni
- b — È facilmente attaccabile e può fare da porta d'ingresso verso altri sistemi (es. botnet Mirai)
- b — 72 ore da quando si è venuti a conoscenza della violazione
- b — Rilevare, contenere, ripristinare, comunicare
- b — NIS2 = direttiva con obblighi; ISO 27001 = certificazione volontaria basata sul rischio
Sezione B, risposte modello
11. Le prime due ore di un ransomware (2 punti). Risposta modello: Rilevare — riconoscere i segni (file cifrati, messaggio di riscatto) e avvisare subito il referente, senza pagare e senza spegnere d'istinto. Contenere — scollegare dalla rete il server e i PC colpiti, isolare il segmento, sospendere gli account compromessi e cambiare le password chiave. Ripristinare — verificare i backup offline (3-2-1) e ripartire su sistemi puliti, correggendo la causa (l'allegato di phishing). Comunicare — avvisare la direzione e, poiché sono coinvolte le anagrafiche dei lavoratori (dati personali), valutare il data breach: scatta l'obbligo di notifica al Garante entro 72 ore dal rilevamento se c'è rischio per le persone, informando anche gli interessati se il rischio è elevato; annotare tutto nel registro delle violazioni.
12. Tre righe di piano minimo (2 punti). Risposta modello (esempio):
TECNICA: Backup 3-2-1 con copia offline
Responsabile: referente IT Frequenza: giornaliero
+ test di ripristino mensile
ORGANIZZATIVA: Matrice permessi del CDE (RBAC) + revoca account
Responsabile: BIM coordinator/titolare
Frequenza: a ogni nuovo progetto e a ogni uscita
FORMAZIONE: Training anti-phishing e igiene password
Responsabile: titolare/docente esterno
Frequenza: annuale + onboarding nuovi assunti
Si accetta qualsiasi combinazione coerente purché ci sia una riga per ciascuna famiglia e ognuna riporti misura, responsabile e frequenza.
Scala di valutazione (su 14 punti)
- 13-14 punti: eccellente, padroneggi l'intero Modulo 3
- 11-12 punti: molto bene, preparazione solida
- 9-10 punti: sufficiente (soglia 60% superata): rivedi i punti deboli
- < 9 punti: ripassa le Lezioni 9–12 e riprova il test prima della verifica finale
Hai superato la soglia?
Se hai totalizzato almeno 9/14 hai consolidato l'intero Modulo 3: i fondamenti di cybersecurity, la sicurezza del CDE, l'infrastruttura e la gestione di un incidente. Sei pronto per la verifica finale e per presentare il project work integrato che chiude il corso.
Riepilogo del corso
Ci siamo: questa è l'ultima lezione del modulo UFC 9. Hai percorso l'intera filiera del dato nell'edilizia digitale — dal riconoscerlo, all'analizzarlo per decidere, fino a proteggerlo. Ecco, in un colpo d'occhio, il corso che hai completato.
I tre moduli del corso, in sintesi
- Modulo 1 — Individuazione e definizione dei dati (Lez. 1–4): cos'è un dato in edilizia (DIKW), le fonti (BIM/IFC, IoT, nuvole di punti, gestionali, open data), formati e metadati, qualità del dato, data governance e GDPR. Hai imparato a riconoscere e strutturare i dati del tuo caso.
- Modulo 2 — Analisi dati e decision making (Lez. 5–8): statistica descrittiva e KPI, pivot e funzioni, data visualization e dashboard, dal dato alla decisione (con le sue trappole). Hai imparato a trasformare i dati in decisioni motivate e misurabili.
- Modulo 3 — Cybersecurity in ambiente BIM (Lez. 9–12): fondamenti e triade CIA, sicurezza nel CDE (ISO 19650, permessi, backup), IoT e infrastruttura, e — in questa lezione — piano minimo di sicurezza, gestione incidenti e notifica del data breach. Hai imparato a proteggere dati e modelli BIM.
- Il filo conduttore: un unico caso (un edificio/cantiere) ti ha accompagnato dalla prima all'ultima lezione e confluisce nel project work integrato: mappa dati → dashboard e decisione → piano di sicurezza.
Cosa porti a casa
- Una libreria di template riutilizzabili: dizionario dati, scheda KPI, matrice dei permessi, registro dei rischi e ora il piano minimo di sicurezza e la procedura incidenti.
- Una dashboard funzionante costruita sul tuo caso, con una decisione data-driven.
- La capacità di reagire con ordine a un incidente (le prime due ore) e di rispettare l'obbligo delle 72 ore.
- Il linguaggio per dialogare con tecnici BIM, IT e management su dati, analisi e sicurezza — la competenza che trasforma un buon operatore in un professionista.
E adesso?
Le competenze di questo modulo si collegano al resto del percorso ITS: l'UFC 6 (acquisizione digitale), gli UFC 7–8 (BIM), l'UFC 10 (Edilizia 4.0), l'UFC 11 (IA per l'edilizia) e l'UFC 12 (Cantiere e Manutenzione 4.0). Porta con te i template, continua ad aggiornare il registro dei rischi sui progetti reali e ricorda la regola d'oro: la sicurezza non è un prodotto da comprare, è un'abitudine da mantenere. Complimenti per aver completato il modulo — e in bocca al lupo per la verifica finale e il project work.
Vuoi questo modulo nel tuo ITS, ente o azienda?
Progetto e tengo percorsi su dati, analisi e cybersecurity applicati all'edilizia digitale e al BIM, su misura per scuole, enti di formazione e imprese.