Risk Management – Intervista ad Alessandro Sinibaldi

Agatino Grillo (AG): Ciao Alessandro e grazie per la collaborazione. Vuoi fare una tua rapida presentazione professionale e personale?

Alessandro Sinibaldi (AS): Ciao, è un piacere incontrarci! Io sono Enterprise Architect e Project Manager e lavoro come libero professionista. Sono nato a Firenze il 13 settembre 1967 e sono dottore di ricerca in Fisica. Un tempo mi occupavo della nascita dell’universo ed ero un teorico delle particelle elementari e cosmologo. Dai miei studi, ho tratto un’enorme curiosità per tutto e uno spirito critico (e autocritico spero) piuttosto vivace, come è anche nella natura di noi toscani. Il fatto di essermi occupato nientepopodimenochè dell’universo, mi ha sempre spinto a occuparmi di tante cose e cercare un punto di vista analitico e

"unificatore" su tutto. Ho cominciato la mia carriera professionale come informatico circa 10 anni fa, poi mi sono spostato a Roma per il desiderio di conoscere realtà lavorative importanti e all’avanguardia e devo dire che per me Roma è stato un amore a prima vista. Ho lavorato in grosse realtà sia della Pubblica Amministrazione che in ambito Telecomunicazioni, confrontandomi con progetti impegnativi. Praticamente da sempre mi occupo anche di sicurezza informatica e, ultimamente, di Risk Management e Security Assessments. Sono certificato CISSP, CEH, MCSE: security, MCSD, MCDBA, OCP, SCSECA e CWSP e sono Assistente per i Common Criteria. Da diversi anni seguo con interesse Isaca Roma e CLUSIT, di cui frequento i seminari sempre con grande soddisfazione.

AG: Parliamo di sicurezza informatica. Come vedi il contesto italiano? La tua esperienza in azienda ti permette di delineare un confronto tra l'Italia e gli altri paesi? Come siamo messi? Dove si potrebbe migliorare?

AS: Basandomi sulla mia esperienza professionale, posso dire che spesso il cliente, che notoriamente ha un budget limitato, se deve scegliere tra funzionalità e sicurezza, quasi sempre preferisce le prime. Da un certo punto di vista è comprensibile, perchè una funzionalità o c’è o non c’è, mentre la sicurezza vive nel mondo del possibile. Potresti oggi spendere molti soldi per contrastare qualcosa che domani non capiterà mai. D’altra parte, però, è vero che la sicurezza rappresenta una "assicurazione sulla vita" e se te ne sei occupato per tempo, potresti risparmiarti un sacco di grane. Quello che spesso gli altri paesi hanno di bello, soprattutto quelli anglosassoni, è un approccio metodico, organizzato e omogeneo a tutti i problemi. Non a caso la maggior parte delle best practice e delle metodologie sono nate là. In Italia, spesso, abbiamo un approccio poco integrato e un pò approssimativo. Magari mettiamo le sbarre alle finestre e poi non ci accorgiamo di avere lasciato la porta aperta. L’attenzione che molte conferenze, anche in Italia, stanno dimostrando al tema, ci fa capire però che anche qui da noi le cose stanno cambiando. È importante capire che la sicurezza richiede un metodo "scientifico " anche perchè basta solo una cosa che può andare storta per mandare all’aria anni di lavoro, mentre dall’altro abbiamo persone sempre più oberate di attività che, non potendo avere 100 occhi come Argo, devono per forza avere un metodo.

AG: Quali sono le principali minacce che occorre oggi fronteggiare? Cosa si può fare?

AS: Devo dire che le cose che, personalmente, mi preoccupano di più sono 3:

  1. il furto dell’identità digitale,
  2. gli attacchi di tipo applicativo
  3. le BOTNET.

Oggi viviamo sempre di più su Internet, sia per lavoro che per divertimento e lì gestiamo i nostri soldi, acquistiamo, interagiamo con la Pubblica Amministrazione, ci occupiamo della nostra salute, stringiamo rapporti, ci raccontiamo  e molto altro ancora. Questo è un trend inarrestabile e, personalmente, lo vivo con molto entusiasmo. Trovo però che, spesso, persone senza scrupoli cercano di approfittare della nostra mancanza di attenzione o della nostra curiosità (come succede d’altronde anche nella vita reale), per arrecarci del danno, prendere il controllo dei nostri mezzi informatici e appropriarsi delle informazioni che ci identificano. Col passare del tempo, gli attacchi diventano sempre più subdoli, perchè vanno a sfruttare le debolezze delle persone e degli applicativi, spesso utilizzando canali di accesso legittimi. Per contrastarli, secondo me ci sono solo due modi: tanta formazione e un pò di sana diffidenza da parte delle persone, e tanto metodo e preparazione da parte degli operatori del settore. Da quest’ultimo punto di vista, sarebbe l’ora di finirla con le estenuanti riduzioni dei costi, le gare che si vincono al ribasso o il "Fast food " del software, tanto quello che si risparmia oggi, si paga comunque domani.

AG: Come hai iniziato ad occuparti di sicurezza informatica?

AS: È un argomento che mi ha sempre interessato e ho sempre pensato che, per farlo bene (e non è il caso del sottoscritto), ci vogliano dei discreti "attributi ". È un campo vastissimo che va a toccare praticamente tutto e che richiede una competenza su tutto e, capirai, che per un ex-cosmologo come me è un invito a nozze! Ho sempre avuto un enorme rispetto per gli hacker, intendendo con questo termine le persone creative, curiose e determinate che amano vedere "come sono fatte le cose " e sono rimasto sempre affascinato nel vedere come si riescano a sfruttare certe vulnerabilità.

AG: Cosa consiglieresti, come piano di studi ed esperienze professionali, a chi volesse intraprendere questo tipo di esperienza professionale?

AS: Personalmente, il consiglio più grosso che mi sento di dare è questo: "Andarci piano ". Non ci si improvvisa esperti di sicurezza dall’oggi al domani ed anzi, questo può essere solo il punto di arrivo di un percorso professionale ampio e approfondito. Quando ho cominciato a lavorare, facevo il responsabile dei sistemi informativi in una realtà, tecnologicamente avanzata, di circa 20 persone. Per me questa è stata una palestra insostituibile, perchè mi costringeva a dover gestire reti, database, sistemi operativi, hardware e applicativi. Dovevo tenere sott’occhio tutto e capire come ogni cosa interagiva con tutto. Quando sono passato a occuparmi di progetti più grossi, in cui la specializzazione dell’ambito era necessaria, avevo ormai acquisito un approccio multilivello, che mi portava comunque a immaginarmi come doveva funzionare tutto il complesso. L’altra cosa che mi sento di consigliare è "avere curiosità ". È importante porsi domande, cercare risposte con tenacia e determinazione e anche se il tuo lavoro ti costringe a occuparti di un quadratino, appena possibile, cerca di capire cosa fa il tuo vicino nel quadratino accanto.

AG: Hai diverse certificazioni professionali in ambito ICT e Security: cos'è una droga? Quali ritieni siano le più utili?

AS: Ahahaha! Ho sempre creduto nelle certificazioni perchè mi sono sempre detto "se devo studiare qualcosa per il mio lavoro, perchè non certificarmici sopra? ". Le ritengo un naturale completamento di un percorso di crescita e anche un buon biglietto da visita, ovviamente. Inoltre una certificazione ti dà un binario per studiare e anche una visibilità su un argomento che magari il classico "smanettone " non ha, perchè non ha seguito un percorso omogeneo e non ha, quindi, conoscenza organizzata, benchè magari sia bravissimo a risolvere il problema concreto. Ritengo che le certificazioni siano importanti quando sono sfidanti e quando aggiungono qualcosa, non quando sono un modo per estorcere soldi in più. Personalmente, ho sempre cercato di evitare le sovrapposizioni, cercando di scegliere, di volta in volta, la certificazione che ritenevo migliore. Consiglio comunque un mix tra certificazioni "teoriche " e certificazioni "pratiche ", nel senso di certificazioni di alto livello, come la CISSP, e certificazioni in cui si impari il funzionamento del singolo database o del singolo sistema operativo.

AG: Nel giugno 2007 hai pubblicato il libro "Risk Management" presso Hoepli. A chi si rivolge? Quali sono i contenuti principali?

AS: È un libro che ho iniziato a scrivere per me e che ho poi deciso di condividere. Mi sono posto il problema di cosa avrei fatto se un’azienda mi avesse dato un’attività di Risk Management e, cercando in giro, mi sono reso conto che la maggior parte del materiale che trovavo non mi dava metodologie pratiche. Non so se ci sono riuscito, ma l’obiettivo era quello di fare in modo che, una persona che prendesse in mano il libro, avesse un’idea di come comportarsi. È un libro che si rivolge, spero in umiltà e con lo spirito di confrontarsi, ad esperti di sicurezza  e responsabili IT. È sostanzialmente diviso in due parti: nella prima si affrontano gli aspetti generali e comuni e nella seconda si descrivono le varie metodologie.

AG: Esistono tante metodologie per l'analisi dei rischio. Quali ritieni le migliori? Che consigli daresti a chi deve intraprendere ex novo una analisi dei rischi in azienda?

AS: Personalmente preferisco le metodologie quantitative. Come ha detto una volta Pete Herzog, il creatore di OSSTMM, "Non si può gestire ciò che non si può misurare ". Il primo e il più importante obiettivo del Risk management è l’analisi costi/benefici. Devo usare una metodologia che mi permetta di:
a) confrontare la mia posizione nei confronti della sicurezza in due istanti diversi
b) confrontare la mia posizione nei confronti della sicurezza con quella degli altri, e in particolare con le best practice
c) avere una guida nel processo di acquisizione delle risorse, cioè ad esempio "mi conviene di più pagare una guardia fissa alla porta o mettere una porta blindata "?
Il primo consiglio che darei per intraprendere un’analisi dei rischi è quello di fare la mappatura dei processi. Devo prima capire bene cosa faccio, perchè lo faccio e come lo faccio. Poi devo capire cosa mi serve per farlo e infine come proteggerlo.

AG: Il risk management aziendale e l'IT risk management sono correlati? È possibile cominciare facendo solo IT Risk management?

AS: Sono sicuramente correlati, ed, anzi, questa è una cosa che norme come Basilea II, la Sarbanes-Oaxley e HIPAA, ed anche la nostra legge della Privacy, con la redazione del DPS, mettono bene in evidenza. Un "asset aziendale ", inteso nel senso di un posto dove risiede il valore di un’azienda, può essere esposto a una quantità di "attacchi " diversi che provengono da vari ambiti. Per quanto riguarda l’approccio al problema, molte metodologie suggeriscono, piuttosto che imbarcarsi in un mega-progettone di risk management che abbraccia tutta l’azienda, e che può portare sconvolgimenti e magari vedere la fine dopo anni, di raccogliere punti con progetti pilota più piccoli e procedere per gradi, magari in modo gerarchico, abbracciando ambiti e aree via via più ampi. Certo è che se si vuole tenere pulita la casa, bisogna stare attenti che chi entra non abbia le scarpe sporche e quindi controllare bene i punti in cui la nostra area, sottoposta al Risk management, si interfaccia con le altre che ne sono sprovviste.

AG: Nel tuo libro parli anche di COBIT. Ci fai una breve sintesi di questo framework per chi non lo conosce? In che modo entra nel Risk Management?

AS: Una volta che ho fatto l’analisi del rischio e identificato e messe in pratica le contromisure sorge il problema: come posso essere sicuro che il livello di sicurezza che ho raggiunto sia mantenuto nel tempo? La sicurezza è un pò come l’entropia solo che mentre quest’ultima non fa che aumentare, la sicurezza non fa che degradarsi. Mantenere la sicurezza richiede lavoro e  questo vuol dire fare dei controlli più o meno periodici e aggiustare il tiro quando serve. COBIT è lo standard de facto per la governance aziendale, definita come l’insieme delle strutture e dei processi che hanno lo scopo di dirigere e verificare che l’organizzazione stia effettivamente conseguendo i suoi obiettivi. Ecco perchè COBIT è lo strumento di gestione ideale per il controllo del rischio, nel senso che mi fornisce il quadro entro cui muovermi in modo integrato e coerente. Poi, andrò a fare i singoli controlli utilizzando altre metodologie con OSSTMM ad esempio.

AG: Common Criteria o ITIL? ISO 17799 o ISO 27000? Come raccapezzarsi tra tutti questi standard e best practice?

AS: Beh, consiglio sicuramente l’uso dei libri giusti, soprattutto di quelli che fanno una veloce spazzolata su tutti gli argomenti, perlomeno per sapere "di cosa stiamo parlando ". Una volta che ci si è fatti questa cultura di base, il consiglio è comunque quello di restare orientati al business e agli obiettivi aziendali. Considerato il fatto che l’adeguamento a uno standard non è mai semplicissimo, soprattutto quando si ha una realtà consolidata nel tempo, il mio consiglio è di fare poche cose ma farle bene e scegliere quelle poche cose in base alle proprie priorità. Sta di fatto poi che molti standard hanno una matrice comune e, quindi, quando si ha la cultura aziendale giusta e l’impostazione ai problemi corretta, spesso passare da uno standard all’altro è più facile.

AG: Una delle appendici del tuo libro si intitola "Come scrivere una buona policy". Un consiglio?

AS: Non inventare. Questo è il classico argomento su cui c’è gente che c’è già passata prima di noi. Cercare prima su internet se esiste qualcosa di già pronto o di adattabile. Scrivere una buona policy è una di quelle cose in cui tecnici e avvocati devono andare a braccetto. È importante avere fin da subito l’appoggio del senior management e fare in modo che le idee siano discusse e condivise. Inoltre, una policy non deve essere artificiosa e soprattutto deve essere comunicata nel modo adeguato agli utenti. Nella appendice che nomini ho citato vari siti su cui ho trovato materiale interessante che può dare delle buone idee al riguardo.

AG: Stai scrivendo qualcos'altro? A quando il prossimo libro? Di che parla?

AS: Il prossimo libro, dal titolo "Architetture Enterprise ", è praticamente già in stampa e uscirà a brevissimo per l’editore Infomedia. È un soggetto sfidante in cui sono contenuti argomenti come le metodologie di disegno architetturale, l’ingegneria dei requisiti, i modelli di business, dati e  applicativi, le architetture dei sistemi informativi e la governance. A questo seguirà, nella prima metà del 2008 sempre con Hoepli, un libro di Project Management in ambito IT. Successivamente, ho in cantiere un libro a 4 mani che spero troverete interessante. Ma per ora è una sorpresa.

AG: Come passi il tuo tempo libero? Hobby e passioni?

AS: Sono diplomato sommelier e frequento anche un master di analisi sensoriale di approfondimento, oltre che tenere in prima persona corsi sul vino. Più in generale, ho frequentato corsi come assaggiatore di formaggio e olio e enogastronomia in generale. Chissà che in futuro non ne venga fuori qualcosa...Inoltre, sono vari anni che mi cimento nelle danze irlandesi.

AG: Qualche buona lettura da consigliare?

AS: Beh, il sommelier che è in me vi consiglia il sempreverde "Il profumo" di P. Suskind ma anche "Memorie di un assaggiatore di vino" di D. Cernilli. Un altro libro, di tutt’altro genere, che ho adorato quando l’ho letto è stato "Maus" di A. Spiegelman. Veramente bello e toccante. Lo metterei obbligatorio nelle scuole..

AG: Che ne pensi dell'open source? Lo utilizzi?

AS: Lo utilizzo con grande soddisfazione e ritengo che in giro ci siano prodotti open source di altissimo livello, almeno per quanto posso giudicare. Personalmente non mi ritengo un talebano dell’open source. Certe diatribe a cui capita talvolta di assistere mi lasciano abbastanza indifferente. Io ritengo che ogni azienda abbia il diritto/dovere di utilizzare lo strumento a lei più congeniale, che sia open source o meno. Io cerco di pormi in modo pragmatico: "A me serve questo, questo e quest’altro. Quale software me lo dà? ". Ci sono situazioni in cui posso capire che un’azienda preferisca un software di tipo commerciale perchè risponde meglio ad una logica di mercato. Io pago e tu mi devi dare quello che ti chiedo, quando te lo chiedo e come te lo chiedo e se non lo fai, legalmente, ti posso perseguire. Certo è che sarebbe bella un pò di coerenza. Nel momento in cui utilizzo software open source sarebbe auspicabile che ci fosse un ritorno di qualche tipo nei confronti della comunità. Personalmente lo ritengo un modello di sviluppo affascinante, di cui, forse, non si hanno ancora chiare le implicazioni di Business.

AG: Alcuni sostengono che il software open source sia "intrinsecamente" più sicuro di quello il cui codice è proprietario o comunque soggetto a restrizioni. Qual è la tua idea?

AS: Quando mi sono trovato a lavorare per clienti, e in particolare a fare assessment di sicurezza, generalmente mi sono accorto che se qualcosa era "nascosta ", probabilmente non avrebbe fermato una persona determinata, ma sicuramente le avrebbe fatto perdere tempo prezioso e magari avrebbe aumentato le possibilità che lasciasse tracce. Non ritengo, come d’altronde non lo ritiene quasi nessuno, che il security by obscurity sia un buon paradigma a prescindere, però penso che sia comunque un ulteriore linea di difesa. Il sorgente aperto è bello perchè tutti possono metterci gli occhi e vedere come è fatto. Il problema sta solo nel vedere se chi lo capisce meglio e prima è "buono " o "cattivo ".

AG: Parliamo delle licenze libere e del diritto d'autore. I diritti sulle tue opere scadranno a 70 anni dalla tua morte. Ritieni che sia giusta, adesso come adesso, una normativa del genere oppure pensi che la si possa rivedere?

AS: Non sono un grande esperto delle tematiche sul diritto d’autore e, se devo essere sincero, l’argomento non mi ha mai particolarmente entusiasmato. Ritengo comunque che le licenze libere e il diritto d’autore o l’open source e il software commerciale debbano essere scelte coerenti di chi le fa. Se non altro, è giusto che sia una scelta perchè chi produce qualcosa lo ha fatto generalmente a sue spese, in termini di tempo e competenze. È vero anche che, come diceva Newton "ho potuto vedere l’orizzonte perchè sono salito sulle spalle dei giganti " e se i giganti non lo avessero fatto salire o se lo avessero fatto pagare e lui non avesse potuto permetterselo..beh..forse staremmo ancora disquisendo di angeli e forze...

AG: Hai mai pubblicato qualcosa con licenza libera? Pensi di farlo?

AS: Devo essere sincero..non ho un aspetto pubblico molto sviluppato: non ho mai avuto un mio sito web o un mio blog, non ho mai messo filmati su youtube o immagini su picasa, non ho mai condiviso links su del.icio.us e..non ho mai pubblicato niente con licenza libera. Il fatto che sia sempre stato così orso e così poco Web 2.0 dipende anche dal fatto che non ho mai ritenuto di poter dire alla gente cose così interessanti da meritare di essere condivise. Mi sono buttato a scrivere libri sia per scommessa, che per farmi conoscere, che perchè mi piace insegnare. Col tempo vedremo che succederà, ma comunque non lo escludo. Il fatto è che, almeno per quanto riguarda i libri, fa più effetto se uno scrive sul CV che ha pubblicato un libro per una nota casa editrice piuttosto che se lo ha messo a disposizione in formato pdf sul suo sito personale.

AG: Conosci Wikipedia? La usi?

AS: La conosco e la uso in modo saltuario, cioè non automaticamente ma quando Google mi ci porta. Spesso mi è servita moltissimo, in altri casi un pò meno. La ritengo comunque un esperimento riuscito di editoria collettiva

AG: Tornando a Wikipedia, oltre che consultarla, hai mai provato a modificare, correggere o scrivere qualcosa?

AS: No, sempre perchè non mi ritengo così all’altezza di farlo. Pensare che un mio scritto possa contribuire all’intelligenza e alla conoscenza collettiva è una grossa responsabilità. Probabilmente mi obietterai che anche per un libro è così eppure li scrivo, o almeno ci provo. Tuttavia un libro può essere acquistato o meno, Google invece è implacabile e prima o poi ti indicizza e quando, come è capitato a me cercando qualcosa, la voce di Wikipedia è la prima nella lista beh..se avessi scritto la voce in questione sentirei la grossa responsabilità di averlo fatto. È vero che prima o poi qualcuno ti corregge, ma nel frattempo?

AG: Su Wikipedia hai mai trovato scritte grosse cavolate?"

AS: Per il momento no, o almeno non me ne sono accorto...

AG: Oltre a Wikipedia esistono molti altri progetti legati a Wikimedia con finalità leggermente diverse. Ad esempio Wikinotizie... La conosci? Inoltre c'è Wikimedia Commons, che contiene due milioni di file multimediali, più che altro fotografie...

AS: Non li conoscevo e, anzi, ringrazio sempre chi mi fa conoscere cose nuove ed interessanti ed in questo caso te. Riguardo alle fotografie condivise...generalmente non mi interessano granchè. Devo dire che ultimamente ho dovuto ricredermi parecchio, almeno per quanto riguarda youtube perché, in occasione di un recente corso sul vino che ho tenuto, è stato una miniera di materiali multimediali a cui ho potuto attingere come supporti formativi.

AG: Cosa ne pensi del futuro di Wikipedia?

AS: Il lavoro collaborativo ha un interesse a prescindere dalle motivazioni e dalle forme che assume. Magari a volte c’è un pò di ritrosia da parte della gente a considerare di qualità qualcosa che viene dalla collaborazione di molti, rispetto a qualcosa che viene dalla bravura e dall’esperienza di pochi. Più che wikipedia, mi sembrano, a questo proposito, più interessanti certi esperimenti di quotidiani online condivisi. Perchè spendere soldi per mandare un giornalista in un posto lontano quando virtualmente posso raggiungere qualunque parte del mondo, sfruttando chi è già sul posto e che ha un’esperienza diretta del fatto? Forse questa sarebbe una rivoluzione di portata anche maggiore. L’informazione finalmente in mano alla gente piuttosto che a pochi gruppi di potere che la possono manipolare come meglio credono.

AG: Come è possibile contattarti?

AS:  la mia email è: alessandro_sinibaldi@virgilio.it

AG: Grazie Alessandro

AS: Grazie a te

Seminario sul Risk Management

Alessandro Sinibaldi sarà relatore nel seminario gratuito organizzato da IsacaRoma per l’11 dicembre 2007 a Roma sul tema del "Risk Management".

Articoli collegati su questo sito

Link

Creative Commons

Questo articolo è pubblicato secondo la licenza di utilizzo di Creative Commons (Attribuzione - Non commerciale 2.0 Generico)