"La sindrome di Fort Apache", intervista a Corrado Giustozzi

 Il 15 ottobre 2007 è stato pubblicato il nuovo libro di Corrado Giustozzi che avevo già intervistato per IsacaRomaNewsletter nel gennaio 2007:  un'occasione imperdibile per  fare quattro chiacchiere.

Agatino Grillo (AG): Ciao Corrado.

Corrado Giustozzi (CG): Ciao, è un piacere essere di nuovo tuo ospite!

AG: Il 15 ottobre 2007 è stato pubblicato il tuo nuovo libro: "La sindrome di Fort Apache" . Di cosa tratta?

CG: Come dice il sottotitolo: "La sicurezza delle informazioni nella società postindustriale". Il libro tratta ovviamente di sicurezza delle informazioni ma non, come si potrebbe temere, da un punto di vista tecnico: il punto di vista è invece quello sociologico, per non dire "filosofico", e lo scopo è quello di illustrare il ruolo e spiegare l’importanza della information security nella società in cui viviamo al giorno d’oggi.

AG: A chi si rivolge il libro?

CG: Anche se è rivolto soprattutto ad un pubblico di "decisori aziendali", è comunque adatto ad ogni tipo di lettore interessato al ruolo della sicurezza delle informazioni nella nostra vita di tutti i giorni. Il libro da un lato vuole sensibilizzare i lettori non specialisti sui rischi non necessariamente tecnici che le nuove tecnologie presentano; dall'altro propone un modello allargato e sistematizzato di gestione organizzativa del rischio d'impresa che unifica le varie "sicurezze" in una visione unitaria e moderna, considerandole componenti tanto imprescindibili quanto complementari di una nuova "sicurezza unificata", volta a tutelare il business in sé e per sé.

AG: Quali sono le caratteristiche di questo modello "unificato"?

CG: Innanzitutto la riunificazione tra i vari tipi di sicurezza storicamente e tradizionalmente considerati differenti ed incompatibili: ad esempio la safety e la security, ma anche la sicurezza fisica, quella logica e quella organizzativa. Tutte queste “sicurezze” sono in realtà componenti di un’unica funzione superiore, che ha come obiettivo la tutela della capacità competitiva stessa di un’azienda od organizzazione, e che potremmo chiamare "sicurezza del business". La tesi esposta nel libro è che oggigiorno questa funzione si esplichi soprattutto garantendo il corretto esercizio della governance aziendale. In un certo senso, quindi, la moderna sicurezza del business non è altro che meta-governance.

AG: Perché "sindrome di Fort Apache"? Siamo destinati alla sconfitta? O dalla sconfitta nascerà qualcosa di nuovo?

CG: È destinato alla sconfitta solo chi, nella società contemporanea caratterizzata da aziende virtualizzate, forza lavoro mobile e business transnazionali, continua a fare la propria sicurezza come facevano a Fort Apache, ossia pensando di poter costruire una barriera invalicabile tra sé e "gli altri". L’equazione "dentro = buoni, fuori = cattivi" al giorno d’oggi non vale più, ammesso che sia mai stata davvero valida in passato. I paradigmi sono cambiati e, per non essere sconfitti, occorre adeguarsi.

AG: Circa un anno fa parlando dello stato della sicurezza in Italia  ricordavi che in Italia le cose si fanno solo se sono obbligatorie per legge ed a rischio di pesantissime sanzioni. In ambito sicurezza e Privacy, inoltre, lo stesso stato disattende spesso le proprie normative. Purtroppo le cose sembrano peggiorare: addirittura c'è chi in parlamento cerca di abrogare le misure minime di sicurezza previste dalla legge della privacy... Che si può fare?

CG: Nel nostro Paese le leggi non vengono ben divulgate, ed anche quando sono intelligenti e sensate il loro recepimento lascia spesso a desiderare non soltanto da parte della gente comune ma anche e soprattutto da parte delle istituzioni. La legge sulla privacy non fa eccezione: è stata percepita sin dall’inizio come una inutile seccatura burocratica, e tutti cercano di eluderla senza curarsi di capire cosa dica e cosa significhi davvero. La proposta di esentare le piccole aziende dalla sua osservanza mi ricorda quella dei tassisti che non volevano usare la cintura di sicurezza, ma tant’è…

AG: In Italia il contrasto del cybercrime sembra aver fatto dei passi in avanti. A che punto siamo? C'è la giusta attenzione al fenomeno da parte delle istituzioni?

CG: Il termine cybercrime è assai ampio e copre moltissimi significati, quindi forse non è possibile generalizzare. Credo comunque che in generale negli ultimi anni il livello di attenzione verso questo fenomeno si sia alzato parecchio, e ciò è un bene. Rimane tuttavia ancora tanta strada da fare: quando si parla di cybercrime si pensa quasi esclusivamente all’hacker cattivo che tenta di intrudersi nei sistemi altrui, ma in realtà i problemi veri sono ben altri, e comunque la maggior parte dei guai viene non dall’esterno ma dall’interno delle organizzazioni.

AG: E per quanto riguarda la guerra elettronica o cyberwar di cui periodicamente di riempiono i giornali? Il nostro paese è attrezzato per le nuove sfide?

CG: Proprio in questi ultimi mesi sono balzate agli onori delle cronache le dichiarazioni di alcuni importanti leader politici occidentali secondo cui la Cina starebbe rivolgendo da tempo attacchi sistematici contro i sistemi informativi governativi e militari dei rispettivi Paesi. E non è una novità neppure il fatto che alcune organizzazioni terroristiche considerino la cyberwar come un efficace strumento di combattimento non convenzionale. Diversi Governi occidentali hanno da tempo approntato delle task-force specializzate per difendersi da tali attacchi, ed hanno varato programmi di readiness con l’obiettivo di innalzare il livello di guardia delle proprie organizzazioni contro queste minacce. L’Italia tuttavia non sembra particolarmente impegnata su questo fronte: mi pare infatti che di concreto si sia fatto ben poco, al di là di qualche sporadica ed effimera conferenza sulla protezione delle infrastrutture critiche. D’altronde ricordo che solo pochi anni fa un ministro elogiava la robustezza delle infrastrutture italiane in quanto, essendo ancora sostanzialmente basate su tecnologie primitive e non essendo interconnesse tra loro, risultavano di fatto immuni ai troppo sofisticati cyberattacchi moderni…

AG: in che consiste la tua attività come professore a contratto di "Laboratorio di criminologia e criminalistica (criminalità informatica)" presso il corso di Laurea in Scienze dell'investigazione dell'Università dell'Aquila? Qualcosa a che fare con i vari CSI, RIS di Parma, eccetera?

CG: Beh… un po’, ma non proprio! Il fatto è che in Italia negli ultimi anni si parla molto (e forse a sproposito…) di computer forensics, e sono così fioriti diversi insegnamenti universitari che pretendono di occuparsene: di solito si tratta o di corsi di informatica rivolti ai giuristi o di corsi di diritto rivolti agli informatici, nei quali gli esperti di una delle due materie cercano di spiegare agli studenti dell’altra materia le nozioni che mancano loro. Il mio è invece il primo caso in cui si insegna l’importanza delle tecniche di computer forensics a coloro che dovranno poi utilizzarle direttamente sul campo, o quanto meno che saranno chiamati a valutarne professionalmente l’impiego ed a conoscerne possibilità e limiti: ossia i futuri criminologi, gli investigatori, e più in generale coloro che opereranno nell’intelligence o nelle forze dell’ordine. Il mio tuttavia non è un corso di tecnica della computer forensics ma un insegnamento più generale, mirato ad inquadrare il problema della necessità di trattare in modo corretto ed adeguato le sempre più numerose forme di evidenze digitali, le quali possono costituire fonte di prova non solo in ambito penale ma anche in un processo civile o addirittura nell’ambito di un’indagine interna o di un’attività di audit.

AG: Sei anche  responsabilità dello sviluppo e delle relazioni esterne del Mensa Italia; a che attività stai lavorando (o hai già organizzato)?

CG: L’obiettivo che mi sono prefisso in questo ruolo, che ho assunto dallo scorso aprile, consiste nel promuovere l’immagine pubblica del Mensa adempiendo contemporaneamente a quelli che da statuto sono gli scopi istituzionali dell’associazione: ossia scoprire e incoraggiare l'intelligenza umana a beneficio dell'umanità, favorire contatti sociali fra persone intelligenti, effettuare ricerche sulla natura, le caratteristiche e gli usi dell'intelligenza. Coniugando questo mandato con la mia attività nel campo della sicurezza ho recentemente organizzato un evento assai particolare che ha riscosso un enorme successo: un convegno intitolato “Sicurezza informatica: questa (s)conosciuta”, svolto lo scorso 19 novembre nella prestigiosa sede dell’Auditorium "Sandra Russo" di Consip a Roma, nel quale tutti i relatori erano soci Mensa oltre che esperti di sicurezza. Un esperimento audace, fortemente supportato da Consip che ha molto creduto nell’iniziativa. E la partecipazione del pubblico è stata così straordinaria da costringerci a diffondere in streaming su Internet l’intera giornata, per consentire la partecipazione almeno "vrtuale" alle moltissime persone che non erano riuscite a trovare posto nel pur ampio Auditorium di Consip.

AG: Consigli per qualche sana lettura? Come passi il week end?

CG: Di solito cerco di riservare i week-end alla famiglia, anche se purtroppo molte volte li sfrutto per recuperare gli arretrati nel lavoro o li sacrifico alle altre cose che faccio (ad esempio scrivere un articolo, preparare una conferenza, rispondere ad interviste come questa…). Per quanto riguarda leggere, cosa che faccio sempre con grande passione, il genere che preferisco è la fantascienza anche se divoro praticamente ogni altro genere con pari impegno; ultimamente però la cronica carenza di tempo libero mi porta a consumare più spesso saggistica che non narrativa. Proprio recentemente ho però trovato un’interessante via di mezzo in "La fisica dei supereroi" (Einaudi, 2007), un libro serio e rigoroso ancorché fuori dalle righe nel quale l’autore, professore di fisica all’università del Minnesota, passa in rassegna i superpoteri dei vari supereroi dei fumetti spiegando quali di essi siano fisicamente plausibili e quali no. Simpatico e godibile.
 
AG: Grazie Corrado e alla prossima.

CG: Grazie a te.

Chi è Corrado Giustozzi?

Corrado Giustozzi è consulente e docente di sicurezza delle informazioni (CISM, Lead Auditor BS7799 e ISO27001) e giornalista scientifico (UGIS).
Si occupa dal 1986 di crittografia e tecniche di protezione delle informazioni, sicurezza dei sistemi informatici e telematici, crimini ad alta tecnologia, aspetti socioculturali di rischio nell’uso delle nuove tecnologie. Collabora con il Comando Generale e con il Reparto Operativo Speciale dell'Arma dei Carabinieri, fa parte del Comitato Scientifico della Polizia delle Telecomunicazioni ed è perito del Tribunale Penale di Roma in materia di criminalità informatica. È professore a contratto di "Laboratorio di criminologia e criminalistica (criminalità informatica)" nel corso di laurea in "Scienze dell’investigazione" dell’Università dell’Aquila, e docente nel Master Universitario di II livello in "Gestione della Sicurezza Informatica per l'impresa e la Pubblica Amministrazione" dell’Università di Roma Uno "La Sapienza". Ha condotto importanti progetti di audit ed assessment e progettato infrastrutture di sicurezza presso grandi aziende e pubbliche amministrazioni. Attualmente è Security Evangelist presso Zeta Reticuli di Roma. Per puro snobismo non ha un proprio blog, ma il suo sito web personale (www.nightgaunt.org) è uno dei più antichi tuttora esistenti in Rete.

Articoli collegati su questo sito

Link

Creative Commons

Questo articolo è pubblicato secondo la licenza di utilizzo di Creative Commons CC-BY 2.5 (Attribuzione 2.5 Italia )