Bilancio di WEIS 2006
Inserito da Redazione il Sab, 2006-07-15 18:04
Luglio 2006 | Privacy | Security
060715-Weis2006-Bilancio
IsacaRoma: Bentornato
dott. Cremonini. Può
raccontarci, sinteticamente, come è andata WEIS 2006? Si è
trattata della prima
edizione in Europa di questa iniziativa: il bilancio è stato
soddisfacente?
Marco Cremonini: Il bilancio è stato molto soddisfacente, sia in termini di partecipazione che di qualità dei lavori presentati. Oltre ai relatori, erano numerosi i partecipanti, provenienti da ambiti eterogenei. Era presente un'analista della Commissione Europea, molti rappresentanti di aziende sia di servizi che di consulenza (molte, ovviamente, le società inglesi presenti), vendor di primaria importanza e membri di community open-source. Fortunatamente per chi lavora in università statunitensi c'erano anche alcuni rappresentanti di organizzazioni che si occupano di finanziare ricerche innovative. Buon per loro.
Non ho dati precisi, ma rispetto l'edizione dello scorso anno (a Boston), l'incremento dei partecipanti è stato notevole, un 30-40% almeno.
Per la qualità del workshop basta vedere come si è allungato il programma rispetto al 2005, tre giorni di presentazioni testimoniano che WEIS si è ormai imposto come l'evento principale in questo ambito e interessa una comunità ampia di ricercatori, sia accademici che industriali. Ormai la denominazione di workshop è poco appropriata.
IR: Oltre lei, erano presenti altri italiani?
MC: Non ero il solo italiano: c'era un collaboratore del Prof. Lioy del Politecnico di Torino, e una dottoranda dell'Università di Chieti e Pescara, dove ho scoperto si tiene un interessante corso di laurea in Economia Informatica.
Anche presso il nostro dipartimento è in progettazione un corso di laurea in qualche misura ibrido tra Informatica e Management mirato ad offrire una preparazione interdisciplinare. Un percorso didattico di questo tipo potrebbe offrire buone prospettive.
È interessante vedere come questa contaminazione tra aspetti tecnologici ed economici si stia diffondendo nelle due aree. Credo sia segno di vitalità e curiosità in entrambi i campi, nonchè della necessità sempre maggiore di affrontare le problematiche da angolazioni differenti.
IR: Sicurezza, Economia, Privacy… Argomenti vasti e ormai correlati. Quali gli spunti accademicamente più interessanti tra le relazioni presentate?
MC: Per i miei interessi specifici, gli spunti di ricerca migliori sono venuti dalla prima giornata di presentazioni nella quale, oltre a me e il mio collega Dmitri Nizovtsev, altri hanno proposto modelli analitici di casi rilevanti per la sicurezza come gli Internet Worm (M. Collins et al.) o attacchi simultanei a una rete (C. D. Huang et al.). Il lavoro del Prof. Ivan Png, che è personalità di spicco nell'ambito della Management Science, è risultato particolarmente rilevante per noi, e, con nostra grande soddisfazione, il nostro per lui.
Interessante, anche se da un punto di vista puramente teorico, il lavoro di Jan Willemson che presentava un'analisi e un'estensione di un famoso lavoro di Gordon e Loeb i quali, alcuni anni fa, hanno proposto un modello secondo cui l'entità degli investimenti in sicurezza IT avrebbe un limite superiore pari a circa il 37% del costo degli asset protetti. Willemson confutava, parzialmente, questo risultato. Occorre qui osservare che chiunque leggesse questi lavori cercando indicazioni pratiche, probabilmente rimarrebbe deluso. Sono tutti risultati teorici basati sull'ipotesi che l'effetto degli investimenti sulle vulnerabilità di un sistema segua l'andamento di alcune funzioni matematiche. Il problema è che nessuno al momento sa dire in quali casi reali questo avvenga. Da qui la sostanziale inapplicabilità. Tuttavia, le indicazioni che emergono sono concordi, ovvero che valutare il livello di investimenti ottimale non segue una regola predefinita, dipende dalle specificità del contesto e, in molti, raggiunge l'ottimo a un livello decisamente inferiore al costo delle risorse da proteggere. Da qui il sospetto che spesso si spenda troppo e nella direzione sbagliata.
IR: Altre sessioni?
MC: Altre sessioni, durante la seconda giornata, hanno affrontato problematiche anche molto diverse, da scenari di crisi all'effetto di regolamentazioni governative. In entrambi i casi studiati, lo scenario erano gli USA e i molti americani presenti hanno evidenziato opinioni piuttosto contrastanti sul famoso Sarbanes-Oxley Act.
L'ultima giornata si è concentrata sulla privacy la quale è chiaramente un tema particolarmente interessante per le molte sfaccettature che propone. Tuttavia, è difficile riuscire a conciliare in maniera credibile gli evidenti interessi economici che premono per gestire una quantità sempre più ampia di informazioni personali con tecniche per limitare tale diffusione. In molti confessano di sospettare che si tratti in buona misura una battaglia persa, visti gli interessi in gioco.
Curiosa e divertente la presentazione di Benjamin Edelman che ha chiuso WEIS e dedicata alle cosiddette certificazioni online di affidabilità (trust) che molte organizzazioni espongono per i propri servizi Web. Chiunque vi riponga ancora un minimo di fiducia dovrebbe leggere l'analisi dissacrante di Edelman.
IR: Lei continuerà a lavorare sui temi presentati al convegno? In che direzione andranno le sue ricerche?
MC: Certamente, la prospettiva economica, anche ai miei occhi di informatico, è una miniera di spunti di riflessione. Con Dmitri Nizovtsev stiamo già da tempo discutendo dei possibili sviluppi del nostro lavoro e dei problemi ancora aperti che vorremmo affrontare. Io, come è naturale, ho in mente sviluppi che consentano di analizzare meglio aspetti legati alla progettazione di architetture di sicurezza oppure criteri per la selezione di contromisure efficaci; Nizovtsev pensa ad aspetti più tipicamente economici. Troveremo sicuramente un buon punto di incontro, anche perchè entrambi gli aspetti inevitabilmente emergono e vanno considerati.
Altro problema invece, ben sintetizzato dal commento che l'analista della Commissione Europea faceva spesso, "here another untested model", consiste nel fatto che molti dei modelli sviluppati, e il nostro non fa eccezione, mancano di dati sui quali verificarli. Le analisi proposte possono essere interessanti ma è evidente che tutti noi vorremmo cercare un riscontro in scenari reali. Per questo, una direzione che sembra interessante nella quale ci stiamo muovendo con alcuni colleghi del DTI dell'Università di Milano è l'uso di dati raccolti con sistemi di monitoraggio per ottenere una profilazione del comportamento di un intrusore. È un ambito nel quale i dati resi pubblici sono molto scarsi purtroppo, occorrerà simularli in maniera verosimile.
IR: Ci sono già progetti per la prossima edizione? Ross Anderson ha annunciato il "Workshop on the Economics of Securing the Information Infrastructure" (ottobre 2006). Di che si tratta?
MC: La prossima edizione di WEIS si terrà negli USA, la sede dovrebbe essere decisa in questi giorni (metà luglio). Il Workshop che cita è un evento minore ma correlato con WEIS. È la prima volta che viene tenuto quindi non sono in grado di dare indicazioni particolari. Considerando la somiglianza evidente con i temi trattati a WEIS, tendo a pensare che sia un evento mirato in qualche misura a replicare WEIS 2006 negli USA e richiamare quindi gli americani che, pur interessati, non hanno varcato l'Atlantico. Scommetto che, per lo stesso motivo, l'edizione del prossimo anno di questo "Workshop on the Economics of Securing the Information Infrastructure" si terrà in Europa.
IR: Pensa che in Italia si possano organizzare eventi su temi affini? C’è già qualcosa di comparabile?
MC: Non c'è al momento nessun evento comparabile in Italia (e non solo), vista la diffusione ancora limitata dello studio di queste problematiche. Qualcosa tuttavia si muove, parlando con Alessandro Acquisti, mi citava l'interesse di alcuni economisti dell'Università di Roma Tor Vergata e dell'ipotesi di organizzare un evento nazionale. Altri, come accennato del Politecnico di Torino e dell'Università di Chieti e Pescara, sono attenti al tema. È un buon segno anche se siamo ancora agli inizi.
IR: A quali altri eventi di sicurezza (o affini) pensa di partecipare nei prossimi mesi (relatore o meno…)?
MC: Niente in vista. I prossimi mesi sono dedicati a preparare il corso della laurea on-line e a lavorare sui progetti aperti. Oltre al lavoro con Dmitri Nizovtsev e quel progetto interno al nostro dipartimento di cui accennavo prima, sempre a Crema stiamo lavorando parecchio su temi legati a sicurezza e informazioni di locazione degli utenti. Esiste un ambito relativamente nuovo e interessante dei sistemi di controllo degli accessi che si chiama Location-Based Access Control (LBAC). L'idea è di usare anche informazioni di locazione per politiche di autorizzazione (esempio banale: poter accedere a un computer se si dispone di username/password e ci si trova fisicamente all'interno dell'edificio, o della stanza). Tutto ciò grazie anche alle tecnologie di rilevamento della posizione (ad esempio attraverso il telefono cellulare) che diventano sempre più efficienti e riguardo le quali c'è un ottimo gruppo di ricerca a Crema dal cui lavoro abbiamo spunti interessanti. In questo ambito siamo attivi già da tempo e il prossimo obiettivo è appunto la privacy di tali informazioni, da conciliare con esigenze funzionali. Con più ci rifletttiamo con più emergono problemi nuovi, comunque, qualche proposta siamo quasi pronti a farla.
IR: Grazie e alla prossima!
MC: Grazie a voi, spero a presto e auguro un buon levoro e delle buone ferie a tutti.
I suoi principali interessi di ricerca riguardano la sicurezza delle reti, il controllo degli accessi, il testing e monitoraggio, la privacy e gli aspetti economici legati all'uso delle tecnologie per la sicurezza IT. Può essere contattato attraverso il sito web dell’Università degli Studi di Milano.
Pagine di IsacaRoma Newsletter dedicate alla privacy
Marco Cremonini: Il bilancio è stato molto soddisfacente, sia in termini di partecipazione che di qualità dei lavori presentati. Oltre ai relatori, erano numerosi i partecipanti, provenienti da ambiti eterogenei. Era presente un'analista della Commissione Europea, molti rappresentanti di aziende sia di servizi che di consulenza (molte, ovviamente, le società inglesi presenti), vendor di primaria importanza e membri di community open-source. Fortunatamente per chi lavora in università statunitensi c'erano anche alcuni rappresentanti di organizzazioni che si occupano di finanziare ricerche innovative. Buon per loro.
Non ho dati precisi, ma rispetto l'edizione dello scorso anno (a Boston), l'incremento dei partecipanti è stato notevole, un 30-40% almeno.
Per la qualità del workshop basta vedere come si è allungato il programma rispetto al 2005, tre giorni di presentazioni testimoniano che WEIS si è ormai imposto come l'evento principale in questo ambito e interessa una comunità ampia di ricercatori, sia accademici che industriali. Ormai la denominazione di workshop è poco appropriata.
IR: Oltre lei, erano presenti altri italiani?
MC: Non ero il solo italiano: c'era un collaboratore del Prof. Lioy del Politecnico di Torino, e una dottoranda dell'Università di Chieti e Pescara, dove ho scoperto si tiene un interessante corso di laurea in Economia Informatica.
Anche presso il nostro dipartimento è in progettazione un corso di laurea in qualche misura ibrido tra Informatica e Management mirato ad offrire una preparazione interdisciplinare. Un percorso didattico di questo tipo potrebbe offrire buone prospettive.
È interessante vedere come questa contaminazione tra aspetti tecnologici ed economici si stia diffondendo nelle due aree. Credo sia segno di vitalità e curiosità in entrambi i campi, nonchè della necessità sempre maggiore di affrontare le problematiche da angolazioni differenti.
IR: Sicurezza, Economia, Privacy… Argomenti vasti e ormai correlati. Quali gli spunti accademicamente più interessanti tra le relazioni presentate?
MC: Per i miei interessi specifici, gli spunti di ricerca migliori sono venuti dalla prima giornata di presentazioni nella quale, oltre a me e il mio collega Dmitri Nizovtsev, altri hanno proposto modelli analitici di casi rilevanti per la sicurezza come gli Internet Worm (M. Collins et al.) o attacchi simultanei a una rete (C. D. Huang et al.). Il lavoro del Prof. Ivan Png, che è personalità di spicco nell'ambito della Management Science, è risultato particolarmente rilevante per noi, e, con nostra grande soddisfazione, il nostro per lui.
Interessante, anche se da un punto di vista puramente teorico, il lavoro di Jan Willemson che presentava un'analisi e un'estensione di un famoso lavoro di Gordon e Loeb i quali, alcuni anni fa, hanno proposto un modello secondo cui l'entità degli investimenti in sicurezza IT avrebbe un limite superiore pari a circa il 37% del costo degli asset protetti. Willemson confutava, parzialmente, questo risultato. Occorre qui osservare che chiunque leggesse questi lavori cercando indicazioni pratiche, probabilmente rimarrebbe deluso. Sono tutti risultati teorici basati sull'ipotesi che l'effetto degli investimenti sulle vulnerabilità di un sistema segua l'andamento di alcune funzioni matematiche. Il problema è che nessuno al momento sa dire in quali casi reali questo avvenga. Da qui la sostanziale inapplicabilità. Tuttavia, le indicazioni che emergono sono concordi, ovvero che valutare il livello di investimenti ottimale non segue una regola predefinita, dipende dalle specificità del contesto e, in molti, raggiunge l'ottimo a un livello decisamente inferiore al costo delle risorse da proteggere. Da qui il sospetto che spesso si spenda troppo e nella direzione sbagliata.
IR: Altre sessioni?
MC: Altre sessioni, durante la seconda giornata, hanno affrontato problematiche anche molto diverse, da scenari di crisi all'effetto di regolamentazioni governative. In entrambi i casi studiati, lo scenario erano gli USA e i molti americani presenti hanno evidenziato opinioni piuttosto contrastanti sul famoso Sarbanes-Oxley Act.
L'ultima giornata si è concentrata sulla privacy la quale è chiaramente un tema particolarmente interessante per le molte sfaccettature che propone. Tuttavia, è difficile riuscire a conciliare in maniera credibile gli evidenti interessi economici che premono per gestire una quantità sempre più ampia di informazioni personali con tecniche per limitare tale diffusione. In molti confessano di sospettare che si tratti in buona misura una battaglia persa, visti gli interessi in gioco.
Curiosa e divertente la presentazione di Benjamin Edelman che ha chiuso WEIS e dedicata alle cosiddette certificazioni online di affidabilità (trust) che molte organizzazioni espongono per i propri servizi Web. Chiunque vi riponga ancora un minimo di fiducia dovrebbe leggere l'analisi dissacrante di Edelman.
IR: Lei continuerà a lavorare sui temi presentati al convegno? In che direzione andranno le sue ricerche?
MC: Certamente, la prospettiva economica, anche ai miei occhi di informatico, è una miniera di spunti di riflessione. Con Dmitri Nizovtsev stiamo già da tempo discutendo dei possibili sviluppi del nostro lavoro e dei problemi ancora aperti che vorremmo affrontare. Io, come è naturale, ho in mente sviluppi che consentano di analizzare meglio aspetti legati alla progettazione di architetture di sicurezza oppure criteri per la selezione di contromisure efficaci; Nizovtsev pensa ad aspetti più tipicamente economici. Troveremo sicuramente un buon punto di incontro, anche perchè entrambi gli aspetti inevitabilmente emergono e vanno considerati.
Altro problema invece, ben sintetizzato dal commento che l'analista della Commissione Europea faceva spesso, "here another untested model", consiste nel fatto che molti dei modelli sviluppati, e il nostro non fa eccezione, mancano di dati sui quali verificarli. Le analisi proposte possono essere interessanti ma è evidente che tutti noi vorremmo cercare un riscontro in scenari reali. Per questo, una direzione che sembra interessante nella quale ci stiamo muovendo con alcuni colleghi del DTI dell'Università di Milano è l'uso di dati raccolti con sistemi di monitoraggio per ottenere una profilazione del comportamento di un intrusore. È un ambito nel quale i dati resi pubblici sono molto scarsi purtroppo, occorrerà simularli in maniera verosimile.
IR: Ci sono già progetti per la prossima edizione? Ross Anderson ha annunciato il "Workshop on the Economics of Securing the Information Infrastructure" (ottobre 2006). Di che si tratta?
MC: La prossima edizione di WEIS si terrà negli USA, la sede dovrebbe essere decisa in questi giorni (metà luglio). Il Workshop che cita è un evento minore ma correlato con WEIS. È la prima volta che viene tenuto quindi non sono in grado di dare indicazioni particolari. Considerando la somiglianza evidente con i temi trattati a WEIS, tendo a pensare che sia un evento mirato in qualche misura a replicare WEIS 2006 negli USA e richiamare quindi gli americani che, pur interessati, non hanno varcato l'Atlantico. Scommetto che, per lo stesso motivo, l'edizione del prossimo anno di questo "Workshop on the Economics of Securing the Information Infrastructure" si terrà in Europa.
IR: Pensa che in Italia si possano organizzare eventi su temi affini? C’è già qualcosa di comparabile?
MC: Non c'è al momento nessun evento comparabile in Italia (e non solo), vista la diffusione ancora limitata dello studio di queste problematiche. Qualcosa tuttavia si muove, parlando con Alessandro Acquisti, mi citava l'interesse di alcuni economisti dell'Università di Roma Tor Vergata e dell'ipotesi di organizzare un evento nazionale. Altri, come accennato del Politecnico di Torino e dell'Università di Chieti e Pescara, sono attenti al tema. È un buon segno anche se siamo ancora agli inizi.
IR: A quali altri eventi di sicurezza (o affini) pensa di partecipare nei prossimi mesi (relatore o meno…)?
MC: Niente in vista. I prossimi mesi sono dedicati a preparare il corso della laurea on-line e a lavorare sui progetti aperti. Oltre al lavoro con Dmitri Nizovtsev e quel progetto interno al nostro dipartimento di cui accennavo prima, sempre a Crema stiamo lavorando parecchio su temi legati a sicurezza e informazioni di locazione degli utenti. Esiste un ambito relativamente nuovo e interessante dei sistemi di controllo degli accessi che si chiama Location-Based Access Control (LBAC). L'idea è di usare anche informazioni di locazione per politiche di autorizzazione (esempio banale: poter accedere a un computer se si dispone di username/password e ci si trova fisicamente all'interno dell'edificio, o della stanza). Tutto ciò grazie anche alle tecnologie di rilevamento della posizione (ad esempio attraverso il telefono cellulare) che diventano sempre più efficienti e riguardo le quali c'è un ottimo gruppo di ricerca a Crema dal cui lavoro abbiamo spunti interessanti. In questo ambito siamo attivi già da tempo e il prossimo obiettivo è appunto la privacy di tali informazioni, da conciliare con esigenze funzionali. Con più ci rifletttiamo con più emergono problemi nuovi, comunque, qualche proposta siamo quasi pronti a farla.
IR: Grazie e alla prossima!
MC: Grazie a voi, spero a presto e auguro un buon levoro e delle buone ferie a tutti.
Chi è Marco Cremonini?
Ricercatore presso il Dipartimento di Tecnologie dell'Informazione (DTI) dell'Università di Milano - Campus di Crema. È stato Associate Researcher presso l'Institute for Security Technology Studies (ISTS) del Dartmouth College, New Hampshire, USA.I suoi principali interessi di ricerca riguardano la sicurezza delle reti, il controllo degli accessi, il testing e monitoraggio, la privacy e gli aspetti economici legati all'uso delle tecnologie per la sicurezza IT. Può essere contattato attraverso il sito web dell’Università degli Studi di Milano.
IsacaRoma Nrewsletter link
Pagine di IsacaRoma Newsletter dedicate a WEIS2006Pagine di IsacaRoma Newsletter dedicate alla privacy
» email this story | printer friendly version | 1484 reads
