Cerca

Laureato “cum laude” in Ingegneria Informatica è attualmente Dottorando di Ricerca presso il Dipartimento di Elettronica ed Informazione del Politecnico di Milano. Tra i suoi interessi di ricerca figurano le prestazioni dei sistemi di sicurezza e le tecniche di clustering.

Ciao Stefano, vuoi raccontarci brevemente di te e di come ti sei avvicinato alla ICT Security?

Diciamo che mi occupo di informatica e telematica come passione da, letteralmente, una vita: ho avuto il primo computer all'età di sei anni... quindi capirai che la scelta di entrare nel settore dell’ICT era quasi una necessità fisiologica. Trovo la sicurezza affascinante: un settore verticale, e contemporaneamente interdisciplinare, che mescola il lato umano, il lato manageriale e il lato informatico fino al più basso livello di dettaglio. Inoltre trovo stimolante l'ambiente della security: nel mio laboratorio approdano ragazzi che dimostrano una passione ed un entusiasmo che, francamente, non vedo in nessun altro settore dell'università .

Sei un “dottorando di ricerca”: perché questa scelta di continuare ad occuparsi di ricerca “accademica”?

Perché, ce ne sono altre? Scherzi a parte, ti risulta che in Italia qualche azienda ICT faccia “ricerca”, a parte la ricerca dei clienti ? Se si vuole fare qualcosa di serio non ci sono alternative... escluso l'espatrio, ovviamente. Basta guardare le “conferenze” e gli “eventi” che ci propinano, da anni, tutti i player della sicurezza. Cose spietatamente commerciali, con zero contenuto. E hanno anche il coraggio di parlare di “comitati scientifici” e “raccolte di atti”...

In Italia si sente spesso parlare di fuga di cervelli e dell’impossibilità di fare ricerca; a volte il tutto si riduce alla richiesta di più finanziamenti da parte dello Stato. Qual è la tua opinione a riguardo?

A parte che la riduzione alla richiesta di più finanziamenti è spesso un modo per dileggiare le espressioni di sofferenza dell'università ... è proprio vero: in Italia lo Stato spende poco, e spende sempre meno, per la ricerca e per la didattica, il che è insostenibile visto che giustamente la “richiesta” di istruzione ed educazione cresce. Strutture fatiscenti e risorse insufficienti spingono molti tra i “migliori” a fuggire all'estero, è innegabile: se prendi delle riviste scientifiche e le sfogli trovi tanti nomi di italiani... spesso associati a nomi di università estere. Se poi a questo si aggiunge, in alcune strutture, una “ingessatura” dovuta a logiche estranee all'eccellenza e alla meritocrazia, si capisce perché la struttura intera dell'Università stia scricchiolando.

Quali sono oggi le frontiere più avanzate della ricerca nella sicurezza ICT?

Sicuramente grande risalto assumono i vari concetti di “autonomic computing”, con sistemi in grado di autoconfigurarsi e autoripararsi. Inoltre, non per tirare acqua al mio specifico mulino, ma il settore dell'Intrusion Detection è particolarmente effervescente.

Cosa consiglieresti a chi volesse intraprendere questo tipo di studi? Iniziare subito con una laurea in Sicurezza informatica come quella proposta ad esempio dalla statale di Milano, polo di Crema (http://www.dti.unimi.it/corso.php?z=0;id_corso=7) ? O è meglio cominciare una laurea “generalista” come Ingegneria o Informatica da integrare poi con una specializzazione? A proposito cosa nei pensi delle “certificazioni professionali” in sicurezza informatica?

Senza esprimere un giudizio sullo specifico corso di studi da te citato, mi pare curioso parlare di “laurea di base” in sicurezza. Secondo me un professionista della security ha bisogno di solide, solidissime basi di informatica, integrate da una mentalità orientata ai processi dell'azienda. Per questo tenderei a suggerire come prima scelta Ingegneria Informatica o delle Telecomunicazioni, o in alternativa Informatica, inserendo naturalmente tutti i complementari possibili di sicurezza e di networking.

Parliamo adesso delle tue esperienze come consulente; lavori in Secure Network, http://www.securenetwork.it, una piccola azienda che, mi pare, si è ritagliato uno spazio di nicchia grazie a competenze precise. C’è mercato per queste tipo di esperienze o la sicurezza è diventata ormai solo un business per grandi multinazionali che possono offrire soluzioni integrate e verticalizzate?

Secondo me nel campo del software c'è spazio solo per le grandi multinazionali (anche per la questione che dicevamo sopra... in Italia molte aziende con pretese di grandezza si fanno problemi a investire 10.000 euro in un progetto di ricerca).

Viceversa, c'è molto spazio per piccole aziende ad altissima competenza nel settore dei servizi e della consulenza. Mi permetto però di sottolineare di nuovo la questione delle competenze: il mercato per ora è falsato da aziende che, spostandosi come falchi sul nuovo settore della security, stanno portando “competenze fittizie” che non possiedono. Dobbiamo aspettare che la selezione darwiniana faccia il suo corso, ma penso che – come operatori del settore – abbiamo anche il dovere morale di provare ad educare i nostri clienti, i nostri studenti, o i nostri associati, a seconda dei casi, per fornirgli gli elementi necessari a riconoscere le vere competenze da quelle finte.

In un tuo precedente intervento ci hai raccontato la tua esperienza come docente a ISESTORM. Vuoi dirci ancora qualcosa a riguardo? Hai anche curato un numero della rivista UPGRADE, http://www.upgrade-cepis.org, una magazine on line internazionale dedicato all’ICT; sei socio dell’IEEE e ACM... E’ importante essere collegati ad un circuito internazionale per chi fa il tuo mestiere?

Importante? È assolutamente fondamentale confrontarsi con le esperienze internazionali, e in particolare con le organizzazioni scientifiche come IEEE o ACM, o come CEPIS. Mi sembra paradossale che non si faccia riferimento costante a questi punti fermi. Lo stesso ISECOM, organizzatore di ISESTORM e maintainer del manuale OSSTMM, sta creando un punto di riferimento globale di cui si sentiva francamente la mancanza. In un mondo globalizzato dal punto di vista economico dobbiamo mantenerci all'interno degli standard internazionali di riferimento per ovvi motivi economici. Inoltre, se consideriamo con un po' di umiltà quanta parte della ricerca in questo settore si svolge fuori dall'Italia, diventa fondamentale per il proprio aggiornamento fare riferimento alla comunità scientifica internazionale.
Infine, quasi come contrappunto a questo, faccio notare che alcune ricerche svolte da italiani hanno ottenuto giustamente riconoscimenti nei circuiti internazionali: è anche giusto essere presenti per farsi conoscere e riconoscere, oltre che per apprendere.

Cosa stai leggendo in questi giorni? Hai qualche testo da consigliare ai nostri lettori che consideri un “must” per chi fa questo mestiere?

Guarda, un vero must è “Beyond fear” del maestro indiscusso Bruce Schneier: indicato sia per chi fa security, sia per chi deve sopravvivere convivendo con questi strani individui... consiglio anche caldamente la lettura di “Against all enemies” di Richard Clarke, per chi vuole avere un'ottica globale sui rischi a cui andiamo incontro nello scenario post-9/11. Al di fuori della sfera della security ho sempre trovato fulminanti per intuizione e sagacia i volumi di Milan Kundera, che alloggiano stabilmente sul mio comodino.

Cosa fai nella vita privata? Quali sono gli altri tuoi hobby ed interessi?

Di quale vita privata stai parlando, scusa ? :-)

Ciao Stefano e grazie per l’intervista

Grazie a te !