Jani Arnell (JA): Una delle principale attività del gruppo di Risk Management di ENISA è proprio analizzare l’area dei rischi emergenti. Dal punto di vista del Risk Management non vi è nessuna differenza con l’analisi dei rischi correnti perché il processo rimane lo stesso: dobbiamo identificare e gestire questi che si presentano a "macchia di leopardo"sui nostri asset oggi come in futuro. La maggiore differenza fra i rischi emergenti e quelli correnti proviene dai metodi e tool utilizzati, dalle fonti informative e dalle contromisure. Al momento non esistono ancora metodi noti e pubblici per gestire i nuovi rischi e non ci sono inventari sulle fonti informative e sulle informazioni che si devono ottenere quando si conduce un Risk Assessment per i problemi emergenti; inoltre le contromisure, oggi, non sono sufficienti per proteggerci dalle nuove minacce.
ENISA sta facendo del suo meglio per dare risposte a queste sfide investigando le varie possibilità, facendo crescere la consapevolezza e facendo incontrare le persone per discutere di tali aspetti.
IR: Lei ha proposto la seguente formula: “Emerging Risks = Protection Goals meno Protection Mechanisms”. Può spiegarcela?
JA: È un modo molto semplice per definire gli emerging risk. Nel linguaggio comune si potrebbe dire che il rischio si concretizza quando c’è una minaccia significativa rispetto alla quale non si stanno proteggendo appropriatamente i propri asset per mezzo di contromisure appropriate quali firewall, policy, etc. Ciò che è importante capire è che questo approccio non basta per i rischi emergenti. Nonostante si possano aver implementato tutte le possibili contromisure disponibili non è possibile proteggersi contro le minacce in un ambiente altamente dinamico come quello in cui ci troviamo. Detto in altre parole: abbiamo dei fori nei nostri scudi.
IR: Nella sua visione è importante considerare anche i "rischi sociali" come il cyber terrorismo e l’information warfare. Perché?
JA: Quando cerchiamo di identificare gli emerging risk, è importante aver chiaro l’intero contesto. Anche se gli emerging risk probabilmente si manifesteranno insieme alle nuove tecnologie questo non è tutto. Come identificare quali saranno le tecnologie emergenti nel futuro e le modalità con le quali le utilizzeremo? E quali sono i rischi rilevanti a loro connessi? Saper rispondere a queste domande vuol dire comprendere i differenti livelli di rischio e la loro evoluzione. Ciò significa comprendere il mercato, le nostre necessità e comportamenti e le dipendenze che tutto ciò crea. Differenti livelli di rischio significano impatti diversi ai nostri vari asset che possono incidere sulla continuità e lo sviluppo dei mercati interni dell’Unione.
IR: Cos’è l’ "Ubiquitous Computing paradigma" e perché lo slogan "Security xor privacy"?
JA: Mi piace questo slogan perché descrive bene la situazione. Al momento può assumere due significati. In primo luogo indica che si può privilegiare la sicurezza o la privacy ma non entrambe (o almeno non in maniera facile). Il secondo significato è che la sicurezza attuale è insufficiente a proteggere la nostra privacy nel futuro contesto del computing.
IR: Può darci qualche esempio di scenario di rischio per i nuovi contesti del computing? Qual è l’approccio corretto?
JA: Il mondo si muove verso il mobile e pervasive computing. Ciò significa che nuove tecnologie ci aiuteranno a soddisfare i nostri bisogni. Siamo già circondati da network e computer. Lo saremo sempre di più anche per quel che riguarda le reti mobili e gli RFID. Ubiquitous Computing? Sì probabilmente è il nuovo paradigma ma è difficile ipotizzare i tempi. Ci sono visioni differenti, ed anche discussioni accese, sull’uso dei chip RFID impiantati nei nostri corpi ad esempio, che sarebbero sicuramente utili per garantire migliori servizi medici, autenticazione, riconoscimento passaporto e shopping! Qual è il corretto uso di tali nuove tecnologie? È ancora troppo presto per dirlo. Possiamo solo combinare tutte le informazioni in nostro possesso e tentare delle predizioni, costruire degli scenari, ed impostare una visione del futuro che ci aspetta e dei relativi rischi.
IR: Quali sono le sue conclusioni ed i suggerimenti sui rischi emergenti?
JA: Gli " emerging risk " sono parte del Risk Management e rappresentano una nuova ed interessante sfida. Non è tanto la mancanza di metodologie e strumenti che ci deve impensierire quanto la base informativa che ancora non possediamo per identificare e quantificare i rischi. Ciò significa che dovremo affidarci di più ai metodi qualitative e puntare sulle nostre visioni e capacità predittive. Questa è una sfida per gli esperti di sicurezza ed anche per i "decision maker": come agire in mancanza di statistiche affidabili? Forse stiamo diventando qualcosa di simile ai meteorologi: il nostro obiettivo è tentare di prevedere il "tempo della sicurezza" del futuro.
IR: Grazie Jani.
JA: Grazie a voi. Arrivederci!
(Questa intervista è disponibile anche in lingua inglese [4])
Chi è Jani Arnell?
Jani Arnell è un esperto della European Network and Information Security Agency (ENISA) nell’area Risk Management. I suoi incarichi consistono nel promuovere le metodologie e gli strumenti di Risk Management e Risk Assessment agli stakeholder di ENISA quali gli stati membri e le piccole e medie imprese, identificando i rischi attuali ed emergenti e contribuendo al lavoro generale di sicurezza di ENISA.Prima di ENISA, Jani ha lavorato diversi anni nel Finnish National CERT-team come Information Security Advisor conseguendo numerose esperienze in ambito minacce, contromisure, awareness raising e coordinamento delle attività di Information Security a livello aziendale e di end user.
Jani ha studiato Corporate Security, Security Management ed è specializzato in Information Security.
Il suo CV completo è disponibile in: http://www.linkedin.com/ppl/webprofile?action=vmi&id=1771234&trk=ppro_viewmore [5]
IsacaRoma link
ENISA
- ENISA: Rapporto sullo spam [6]
- ENISA: Workshop on Information Security Certifications – 28 novembre 2006, Atene [7]
- ENISA: le presentazioni (ed i risultati) del Risk Management Workshop di Roma [8]
- ENISA: Intervista al dott. Louis Marinos, Risk Management Senior Expert [9]
- ENISA:
la guida per costituire un CERT [10]
ENISA: il glossario del Risk Management (lettere S - Z) [11] - ENISA: il glossario del Risk Management (lettere N - R) [12]
- ENISA: il glossario del Risk Management (lettere F - M) [13]
- ENISA:
Inventario delle metodologie di Risk Management / Risk Assessment [14]
- ENISA: il glossario del Risk Management (lettere A - E) [15]
- ENISA: il sito dedicato al Risk management ed assessment [16]
- ENISA
Risk Management Workshop, 13 ottobre 2006, Roma [17]
- ENISA – Intervista ad Isabella Santa, Awareness Raising Working Group Coordinator [18]
- ENISA: nuovi rischi e minacce per la sicurezza delle reti e delle informazioni e piano di azione per il 2008 [19]
- ENISA, l’agenzia di sicurezza europea [20]
- Intervista ad Andrea Pirotti, Executive Director di ENISA [21]
- La visione di ENISA [22]
- ENISA: raccolta di informazioni sulle certificazioni di sicurezza – invito a collaborare [23]
ENISA Quarterly
- ENISA Quarterly – Messaggio dal Direttore Esecutivo [24]
- Guida internazionale per la protezione delle infrastrutture critiche informatizzate [25]
- ENISA Quarterly - Come innalzare la Information Security Awareness [26]