Security Engineering di Ross Anderson scaricabile da Internet - Intervista
Inserito da Agatino Grillo il Mer, 2006-09-06 16:38
IT Colloquia | Security | Settembre 2006
060906-it-rossanderson
(English
version)
IsacaRoma: Salve professor Anderson e grazie per la collaborazione. Alcuni giorni fa lei ha ottenuto l’autorizzazione dall’editore per rendere disponibile sul web la versione elettronica del suo libro "Security Engineering" che quindi può adesso essere scaricato liberamente. Quali i motivi della sua decisione?
Ross Anderson: Ho due obiettivi. In primo luogo desidero raggiungere una audience il più possibile vasta in special modo per quanto riguarda gli studenti meno abbienti. In secondo luogo apprezzo, in modo libertario e pragmatico, i temi della cultura e del software libero; credo che molti editori (ed in special modo chi produce musica e software) abbiamo un atteggiamento troppo difensivo sul tema del copyright. Non mi aspetto di perdere denaro rendendo questo libro gratuito sul web: molta gente lo ha già letto e coloro che leggendolo on line lo troveranno interessante potrebbero anche decidere di comprarne una copia cartacea.
IR: Cos’è il "Security Engineering"?
RA: Il "Security Engineering" riguarda la progettazione e costruzione di sistemi capaci di rimanere affidabili anche in condizione di attacchi, errori o incidenti. Il "Security Engineering" richiede una expertise multidisciplinaria che spazia dalla crittografia alla computer security e comprende le problematiche di “hardware tamper-resistance”, i metodi formali nonché una conoscenza della psicologia applicata alle organizzazioni, dei metodi di audit e degli aspetti legali. Gli skill relativi al "System engineering", dall’analisi dei processi attraverso il software engineering fino ai metodi di valutazione e testing, sono anch’essi importanti ma da soli non bastano in quanto si occupano degli eventi legati agli errori e agli incidenti ma non agli attacchi.
IR: Il libro è stato scritto nel 2001 e la conclusione era che la protezione delle informazioni nei sistemi informatizzati non è più una disciplina scientifica ma piuttosto una disciplina ingegneristica. Cosa intendeva? Qual è la differenza?
RA: Come ogni altro problema di ingegneria la protezione delle informazioni ha bisogno di solide basi intellettuali, basi che provengono da discipline quali la crittologia, il controllo accessi, l’information flow e la “Signal Detection Theory”. Il "security engineer" deve anche avere basi di management e comprendere i principi di contabilità, di economia ed i processi di business della sua clientela. In fondo l’ingegneria consiste nell’applicare la scienza ai vincoli del business.
Il "System engineering" ha anche a che fare con l’imparare dall’esperienza e nel mio libro ho raccolto una serie di casi in cui i sistemi di sicurezza hanno fallito. Dobbiamo imparare da tali fallimenti, così come gli ingegneri civili imparano più da quei pochi ponti che cadono piuttosto che da quelli (la maggioranza) che stanno su.
IR: Grazie professore.
IsacaRoma newsletter link
IsacaRoma: Salve professor Anderson e grazie per la collaborazione. Alcuni giorni fa lei ha ottenuto l’autorizzazione dall’editore per rendere disponibile sul web la versione elettronica del suo libro "Security Engineering" che quindi può adesso essere scaricato liberamente. Quali i motivi della sua decisione?
Ross Anderson: Ho due obiettivi. In primo luogo desidero raggiungere una audience il più possibile vasta in special modo per quanto riguarda gli studenti meno abbienti. In secondo luogo apprezzo, in modo libertario e pragmatico, i temi della cultura e del software libero; credo che molti editori (ed in special modo chi produce musica e software) abbiamo un atteggiamento troppo difensivo sul tema del copyright. Non mi aspetto di perdere denaro rendendo questo libro gratuito sul web: molta gente lo ha già letto e coloro che leggendolo on line lo troveranno interessante potrebbero anche decidere di comprarne una copia cartacea.
IR: Cos’è il "Security Engineering"?
RA: Il "Security Engineering" riguarda la progettazione e costruzione di sistemi capaci di rimanere affidabili anche in condizione di attacchi, errori o incidenti. Il "Security Engineering" richiede una expertise multidisciplinaria che spazia dalla crittografia alla computer security e comprende le problematiche di “hardware tamper-resistance”, i metodi formali nonché una conoscenza della psicologia applicata alle organizzazioni, dei metodi di audit e degli aspetti legali. Gli skill relativi al "System engineering", dall’analisi dei processi attraverso il software engineering fino ai metodi di valutazione e testing, sono anch’essi importanti ma da soli non bastano in quanto si occupano degli eventi legati agli errori e agli incidenti ma non agli attacchi.
IR: Il libro è stato scritto nel 2001 e la conclusione era che la protezione delle informazioni nei sistemi informatizzati non è più una disciplina scientifica ma piuttosto una disciplina ingegneristica. Cosa intendeva? Qual è la differenza?
RA: Come ogni altro problema di ingegneria la protezione delle informazioni ha bisogno di solide basi intellettuali, basi che provengono da discipline quali la crittologia, il controllo accessi, l’information flow e la “Signal Detection Theory”. Il "security engineer" deve anche avere basi di management e comprendere i principi di contabilità, di economia ed i processi di business della sua clientela. In fondo l’ingegneria consiste nell’applicare la scienza ai vincoli del business.
Il "System engineering" ha anche a che fare con l’imparare dall’esperienza e nel mio libro ho raccolto una serie di casi in cui i sistemi di sicurezza hanno fallito. Dobbiamo imparare da tali fallimenti, così come gli ingegneri civili imparano più da quei pochi ponti che cadono piuttosto che da quelli (la maggioranza) che stanno su.
IR: Grazie professore.
Security Engineering – I capitoli del libro
- What is Security Engineering?
- Protocols
- Passwords
- Access Control
- Cryptography
- Distributed Systems
- Multilevel Security
- Multilateral Security
- Banking and Bookkeeping
- Monitoring Systems
- Nuclear Command and Control
- Security Printing and Seals
- Biometrics
- Physical Tamper Resistance
- Emission Security
- Electronic and Information Warfare
- Telecom System Security
- Network Attack and Defense
- Protecting E-Commerce Systems
- Copyright and Privacy Protection
- E-Policy
- Management Issues
- System Evaluation and Assurance
- Conclusions
- Bibliography
IsacaRoma newsletter link
- Intervista a Ross Anderson
- Interview with Ross Anderson (in lingua inglese)
- Ross Anderson: Perché la sicurezza delle informazioni è ardua - Una prospettiva economica
- Ross Anderson presenta WEIS 2006
- Ross Anderson on WEIS 2006, the fifth Workshop on the Economics of Information Security (WEIS 2006) (in lingua inglese)
- Privacy in the Digital Age
- Bruce Schneier: Questions & Answers (in lingua inglese)
- Bruce Schneier: domande e risposte
- Bruce Schneier: le vulnerabilità dei software e le responsabilità
» email this story | printer friendly version | 2591 reads
