Intervista a Marco Misitano

Agatino Grillo (AG): Ciao Marco e grazie per la collaborazione. Una tua rapida presentazione?

Marco Misitano (MM): Nella mia biografia c’è scritto che mi occupo professionalmente di sicurezza informatica da più di dieci anni, in realtà, anche se sono quasi quindici che ne ho fatto un lavoro, la passione c’è da molto prima. Da un pomeriggio del 1983, uscendo da un cinema dopo aver visto War Games non ho mai più smesso di pensarci. Da lì a poco il primo computer con un crescendo d’interesse, poi negli anni novanta è diventato un lavoro. Credo che in quest’ambito sia molto importante l'evoluzione, quindi ho trovato la voglia ed il tempo di studiare e prendere qualche certificazione, e siccome credo fortemente nella condivisione delle esperienze è facile trovarmi a scrivere su newsgroups e mailing list. È stato anche questo motivo che mi ha spinto assieme ad altri amici e conoscenti a formare uno zoccolo duro con il quale abbiamo portato in Italia ISSA (Information Systems Security Association)

formando AIPSI (Associazione Italiana Professionisti Sicurezza Informatica), che è il capitolo italiano di ISSA. Allo stesso tempo mi fa molto piacere collaborare con altre associazioni di sicurezza informatica che con diverse connotazioni operano sia in Italia sia all’estero. Il mio primo lavoro 'serio' è stato in McAfee; avevo capito bene come funzionavano gli antivirus ed ho partecipato allo startup della filiale italiana: è stato divertente! Sempre per McAfee, che nel frattempo era diventata Network Associates sono andato a vivere in Olanda per circa un anno. Li ero in un team di consulenza che si occupava della zona ed anche del nord Europa e medio oriente. È stata un'esperienza molto formativa lavorare in un ambito internazionale anche se per un periodo ristretto. Li ho iniziato a seguire tutti i prodotti di sicurezza che Network Associates proponeva, alcuni (ormai estinti) erano veramente eccellenti, il firewall Gauntlet ad esempio che si basava sul FWTK di Marcus Ranum. Purtroppo come tecnologia non ha avuto successo, secondo me era troppo avanzata per quel momento. Nel 2001 ho voluto spostarmi in un ambito ed in un’azienda molto diversa e sono arrivato in Cisco, che al momento era alla ricerca di qualcuno che si occupasse di sicurezza informatica, che ne sapesse un po’ di prodotti e li sapesse contestualizzare alle esigenze degli utilizzatori. Ed ancora oggi sono qui senza essermi annoiato!

AG: Cisco è una delle prime dieci tra le 100 Best Companies to Work For 2007. Che atmosfera si respira? Davvero l'innovazione è centrale nella tua firm?

MM: Sì. Si cerca di innovare a tutti i livelli ovviamente privilegiando le soluzioni tecnologiche. Cisco è un bellissimo posto dove lavorare; al di là della qualità dell'ambiente è molto stimolante lavorare in un’azienda che ha inventato così tante tecnologie e si sforza di renderle alla portata di tutti per migliorare la qualità di tutto quello che facciamo quando ci serviamo dell'informatica. È incredibile avere per colleghi persone che hanno scritto standard, RFC, che partecipano a comitati dell'IETF, che ritrovi in ufficio o nei viaggi di lavoro e che ti trasmettono la loro esperienza. Nel day-by-day in ufficio c'e' un bellissimo ambiente e con molti colleghi ci frequentiamo anche al di fuori del lavoro. Parlando dell'ufficio... C’è molta flessibilità: se lo preferisco posso stare a casa (a lavorare ovviamente!); non c’è nessun vincolo di presenza, l'importante è lavorare. Non è banale, ho sperimentato sulla mia pelle il cambio dalla modalità "luogo di lavoro" a "momento di lavoro". Magari con una telefonata o un’email mentre sei al supermercato puoi portare avanti qualcosa di lavorativo, senza per questo dover sacrificare la presenza a casa. C' è molta più flessibilità, ed è ottima per me, ed in fondo anche per l'azienda perché tutto sommato la produttività si alza, quando hai sempre un palmare in tasca :-)

AG: Cos'è il Cisco I-Prize?  
 
MM: Un'idea rivoluzionaria può essere nella testa di chiunque. Però non tutti possono avere i mezzi per portarla avanti, dato che spesso servono tanti investimenti ed anni di ricerca per passare da un’idea alla sua applicazione su larga scala. Il principio dell’I-Prize é quello per cui se un’idea viene proposta a Cisco essa viene presa in considerazione e valutata molto attentamente. Se l'idea ha un potenziale ed un razionale di business viene creata una divisione che la porterà avanti ed il promotore dell'idea può essere coinvolto in questo processo per continuare a sviluppare l’intuizione iniziale. Ovviamente Cisco può fornire le risorse aggiuntive necessarie! Conosco una persona che ha avuto un'idea, l'ha sottoposta e Cisco, dopo una attenta analisi, ha deciso di portarla avanti creando una business unit specifica. Certo deve essere una bella soddisfazione! L’I-Prize è più che un semplice concorso; inoltre vedere la propria idea realizzata è la prima ricompensa!

AG: Che peso ha la sicurezza nella soluzioni di Cisco?

MM: La sicurezza è molto importante. Cisco "vede" la sicurezza a tutti i livelli, dal cavo di rete al livello applicativo. La sicurezza non é una cosa fine a se stessa, ma va contestualizzata alla protezione di qualcosa. Il vantaggio e la differenza delle soluzioni di sicurezza Cisco é che lo stesso vendor produce ad esempio una soluzione di IP Communication, e questa va resa sicura. Non solo. Va prodotta con razionali di sicurezza, in modo che l'utilizzatore della tecnologia abbia la possibilità - in termini di funzionalità tecniche e conoscenza - di renderla sicura con il minimo sforzo. Cisco ce la sta mettendo tutta nel rendere sicure le proprie tecnologie di IP Communication, di Wireless, di DataCenter, ed altro. Io sono convinto che sia meglio avere sicurezza applicata ad altre tecnologia più che di una soluzione olistica fine a se stessa o un portafoglio prodotti con dozzine piuttosto che centinaia di diversi pezzi di un puzzle. Cisco è uno dei pochi produttori che si possono permettere di fare considerazioni di sicurezza dai livelli più bassi del networking fino al livello applicativo, e dare ai propri utilizzatori delle risposte e delle proposte concrete ed efficaci. Il fatto che investa moltissimo sulle persone che si occupano di sicurezza, in termini di certificazioni individuali, momenti di aggiornamento ed accrescimento è un altro fattore qualificante.

AG: Qualche consiglio a chi volesse candidarsi per lavorare in Cisco?
 
MM: È una domanda ricorrente :-)  a cui non ho una risposta precisa. Per chi ha già esperienza, sul sito Cisco sono segnalate le offerte di lavoro. La cosa migliore è l'invio della propria candidatura attraverso questo canale perché tutte le richieste sono prese in considerazione. Per chi invece è un neolaureato Cisco ha un programma ad hoc che consiste in un anno di 'incubazione' presso la nostra sede di Amsterdam. Il percorso è disponibile sia per chi vuole diventare un commerciali e sia per chi è interessato alla carriera di tecnico di prevendita. Chi supera la selezione per partecipare al programma ha l'opportunità di fare corsi sulle più svariate tecnologie e su tutte quelle altre competenze che ad un impiegato Cisco sono richieste. Questo periodo è anche inframmezzato dai "field trip" nel paese di destinazione (il programma è europeo e sono selezionate persone di tutto il continente), e durante questo soggiorno i candidati affiancano persone Cisco nel lavoro giornaliero. Alla fine di questo periodo d’incubazione i partecipanti sono assegnati alla struttura Cisco. Conosco diverse persone che hanno fatto questo processo e tutti sono entusiasti della cosa.

AG: Sei fra i soci fondatori di AIPSI che ha di recente compiuto due anni...

MM: Sono soddisfatto di come stanno andando le cose con AIPSI. Con gli altri soci fondatori condividevamo il senso di mancanza di un punto di aggregazione fra chi nel nostro paese si occupa professionalmente di sicurezza informatica ed il fatto che stiamo continuando crescere e raccogliere molti consensi vuol dire che avevamo ragione. I soci sono in crescita e siamo diventati il capitolo ISSA più importante in Europa, secondo solo al capitolo inglese. Anche come iniziative siamo fra i capitoli più attivi addirittura al mondo. Le iniziative sono già tante e ne abbiamo in testa altrettante; purtroppo è difficile trovare il tempo per portare avanti tutto. In fondo AIPSI sarebbe già da sola un lavoro a tempo pieno per tutti noi del direttivo. Spero di riuscire assieme a tutti i soci a continuare a far crescere questa realtà facendola emergere ancora di più. Per inciso, i due anni (l’undici ottobre 2007) non li abbiamo festeggiati, eravamo tutti così impegnati che non abbiamo avuto occasione.

AG: Sarai relatore a Net&System Security '07 con un intervento dal titolo "Lo stato corrente (e futuro) della sicurezza informatica". Che temi affronterai?
 
MM: Quando ho scritto il titolo non avevo le idee molto chiare a parte una direzione di massima. Vorrei fare un po’ di considerazioni aperte, non il solito monologo che per quanto brillante resta tale. Sto leggendo tutti i report possibili ed immaginabili sulla sicurezza, su cosa è successo, su quali dinamiche, tecnologie e considerazioni sono più attuali. Raccoglierò gli spunti interessanti e li presenterò, contestualizzandoli al nostro paese, sopratutto offrendo il mio punto di vista come uno spunto. Avrò lo speech di apertura, che in genere è riservato ai "grandi analisti" o "luminari". Non mi reputo né l'uno né l'altro e provo un grande orgoglio e sento una gran responsabilità ad essere la persona alla quale è stato chiesto di fare il primo intervento. Pur vestendo i panni Cisco in quell’occasione, assolutamente non sarà la tradizionale presentazione di "la strategia Cisco per la sicurezza" (è una promessa!). Ho letto e sto leggendo diversi spunti e fatti interessanti e li commenterò traendone qualche conclusione. La sfera di cristallo non ce l'ho, quindi sarà anche una sfida con me stesso per vedere se indovino…Per inciso non sarà l'unico intervento. Nel pomeriggio parteciperò ad una tavola rotonda nella quale parleremo di certificazioni professionali in ambito di sicurezza informatica. Il mio contributo sarà illustrare il punto di vista di una grande azienda: cosa si chiede in termini di competenza ai propri dipendenti e che valore si dà alle diverse certificazioni, considerando anche che Cisco ha le proprie. Illustrerò anche alcuni punti di vista personali sulle diverse certificazioni dato che ne possiedo sia di indipendenti sia rilasciate da Cisco. Sarà interessante confrontare la mia esperienza con il punto di vista universitario presente alla tavola rotonda.

AG: Recentemente sei stato alla RSA Conference di Londra di cui hai ampiamente parlato nel tuo blog. Qualche considerazione finale?

MM: Non ho visto grandi novità e, se non si fosse capito, a parte pochi interventi, non ne sono tornato entusiasta. Spesso questi grandi eventi finiscono per essere una grande fiera in cui si parla delle solite cose fra i soliti addetti ai lavori. Gli spunti interessanti ed innovativi sono stati abbastanza pochi. La considerazione finale è che è stato più un motivo per incontrare persone che non ho occasione di vedere altrimenti, che non un momento di grande accrescimento culturale, solo qualche spunto. Ho riflettuto che dovrei provare a frequentare conferenze nuove ed emergenti, ma spesso è difficile scegliere quella giusta in particolare per chi come me vuole in ogni caso sentire un po’ di tutto, tendenze di mercato, tecniche e tecnologie. Probabilmente troverei troppo marketing nel Gartner Summit e troppo tecnica in una Blackhat Conference. Su questo, accetto suggerimenti!

AG: Come va il tuo blog? E’ uno strumento utile anche per comunicare con i tuoi clienti?

MM: È operativo da poco e pubblicizzato da pochissimo, devo anche farci ancora qualche lavoretto di cosmetica, è lontano anni luce dal tuo. Mi da una grossissima soddisfazione vedere che le statistiche di accesso sono un crescendo costante, evidentemente gli spunti e commenti che offro sono d’interesse per molti e spero lo siano ancora ed ancora di più in futuro. Non so se e quanto sia o possa diventare uno strumento di comunicazione per clienti ma a dire il vero non è questo che avevo primariamente in mente, quando l'ho fatto. Come scrivo nel disclaimer è un blog personale, anche se particolare, essendo personale dell'uomo security di Cisco. Sicuramente non è un blog Cisco, anche se ovviamente ho il piacere di segnalare cose che riguardano la mia azienda e che per forza di cose io vengo a sapere prima di altri. Vorrei anche raggiungere un buon bilanciamento fra commenti e spunti personali e contenuti mirati alla diffusione della conoscenza sulla security Cisco. A parte qualcuno, non so quanti sono i clienti che ci accedono, ma sono convinto che spargendosi la voce questo strumento verrà apprezzato come canale di comunicazione per argomenti di sicurezza Cisco. Si affiancherà ai miei interventi su mailing list, forum, newsgroups ed alle innumerevoli email che mi arrivano con la formula "scusa, non ci conosciamo ma volevo chiederti...". Quest’ultima è una cosa che mi riempie d’orgoglio perché evidentemente riesco a lasciar trasparire la mia volontà di mettere a disposizione la mia esperienza professionale.

AG: Che fai di bello nel tempo libero?

MM: Nel poco tempo libero vuoi dire! Purtroppo ne ho pochissimo, anche perché sono diventato papà di una splendida bambina nello scorso aprile e quindi quello che era poco tempo libero adesso è diventato pochissimo e si è aggiunto un nuovo passatempo, giocare con lei ed i suoi peluche :-)
A parte questo ho tre grandi passioni che cerco di coltivare quando posso: la lettura, la musica e la cucina. Non ho televisione - più per caso che per scelta - ed adoro leggere libri di ogni tipo ad una buona velocità. Ascolto sempre musica, quando sono in ufficio ho spesso le cuffie, quando sono al PC. Ascolto di tutto anche se ho una predilezione per l'house, ed il mio hobby preferito è mixarla. Ho un mixer, due lettori CDJ e mi sono appena regalato una Kaoss Pad KP3, un processore di effetti. Messi assieme sono un giocattolo di lusso e per me è divertentissimo. A qualche festa di amici mi si può trovare alla consolle. :-)
Ed infine dato che sono una buona forchetta, mi piace cucinare. Mi rilassa molto passare alcune ore a spignattare per poi godermi il risultato, faccio anche delle cose piuttosto elaborate. Ovviamente con l'abbinamento di una buona bottiglia. Abbiamo una sfida aperta con un amico, due o tre volte l'anno l'uno invita l'altro (il quale deve portare una bottiglia pregiata su indicazione di chi invita) e si esibisce in una cena. L'invitato e le compagne dovrebbero fare da giuria, in realtà finiamo solo per farci delle ottime cene. Vedi, avrei bisogno di troppo più tempo libero !

AG: Com'è che ti fai il pane in casa?  

MM: Nessun segreto, macchina del pane. :-) Fa parte di un buon pasto, ma sono ancora in fase sperimentale.

AG: Il tuo libro/piatto/disco preferito ?

MM:

  • Il Signore Degli Anelli, di Tolkien, che ho letto a tredici anni e mi ha lasciato un bellissimo ricordo.
  • Le Sarde, un pesce povero della mia terra natale (la Sicilia) che adoro fatte in ogni modo.
  • Il disco preferito cambia spesso, in questo momento in macchina ho "House of OM" di Mark Farina.


AG: Qualche lettura (non professionale) consigliata?

MM: Bellissimo, triste ma a tratti esilarante "Cosa ti aspetti da me" di Lorenzo Licalzi, interessante "The world is flat" di Thomas Friedman, avvincentissimo "L'Afgano" di Forsyth, irritante "La Casta" di Stella e Rizzo, scorrevoli "Il Codice da Vinci" e "Digital Fortress" (tradotto: Crypto) di Dan Brown, inquietante "Next" di Crichton, comunque meno notevole di "Preda" (anche se il mio preferito di Crichton resta "Airframe"). Notevole "Follia" di McGrath e godibile "Il cacciatore di aquiloni" di Hosseini. Di De Carlo mi sono piaciuti tutti, "Di noi tre" più degli altri. Ancora di Licalzi ho un bel ricordo de "Il privilegio di essere un guru", uno dei pochi che mi faceva ridere a crepapelle mentre lo leggevo. A proposito, sto leggendo "Come Dio comanda" per ora, grazie della dritta, è molto bello!

AG: Ciao e grazie

MM: Grazie a te ed a presto!

Articoli simili

Link