Beh, questa è la risposta a tutti quelli che mi hanno chiesto: “Ma come fai a trovare anche il tempo di scrivere su un blog?” Nell’ultimo anno non l’ho trovato. In realtà le cose non stanno proprio così, ogni tanto il tempo lo avrei avuto, ma scrivere su un blog è una di quelle cose che va fatta come abitudine, altrimenti si smette. E poi, a dirla tutta, lo sforzo è tanto e la soddisfazione così così.
Comunque, rieccomi. Cos’ho fatto in questo anno? Il solito. Cos’è successo di nuovo in questo anno nel campo della sicurezza IT? Niente 🙂 Questo a grandi linee. Ma poi, guardando nel dettaglio, di cose ne ho fatte e ne sono successe.
Dal punto di vista professionale, mi sono occupato di diverse cose. Senza un ordine particolare: di firma digitale, di biometria, di denial of service distribuiti, di business continuity, nonché di problematiche di gestione e organizzazione.
Ma quello che può maggiormente interessare i lettori di questo blog sono le attività con le associazioni, in particolare AIPSI e CLUSIT.
Con AIPSI, l’attività principale è stata la predisposizione delle certificazione LoCSI, che certificano “le competenze relative alle norme, regolamenti e legislazioni Italiane ed Europee che completano il necessario bagaglio tecnico del professionista della sicurezza IT”. È stato un lavoro considerevole, che ha coinvolto parecchie persone ma che capita al momento giusto. Si sta infatti diffondendo la consapevolezza che il professionista IT deve ormai conoscere e rispettare una quantità considerevole di norme che trattano problemi specifici di sicurezza, che è proprio quanto affrontano la certificazione LoCSI e la relativa attività di formazione. In questa direzione va del resto anche il provvedimento del Garante relativo agli amministratori di sistema, indicando che l’amministratore “deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”. Proprio per questo abbiamo ritagliato un profilo di certificazione focalizzato sulle conoscenze minime che un amministratore di sistema deve avere dal punto di vista delle normative.
Con il CLUSIT invece, ho continuato l’attività sulle PMI. Devo dire che è un settore in cui non è facile ottenere risultati, specialmente nella congiuntura attuale: tante cose sono partite e si sono fermate. Al momento, le collaborazioni più interessanti sembrano essere quella con Assintel e quella con CNA.
Un discorso a parte merita la collaborazione con ENISA, sempre come CLUSIT e nell’area PMI. Ho partecipato da un gruppo di lavoro apposito, “Ad Hoc Working Group on Analysing micro enterprises’ needs and expectations in the area of information security”, il cui report è disponibile qui, nonché alla predisposizione di “Awareness Raising Quizzes Templates”. È stata un’attività molto interessante, che mi ha permesso di confrontarmi con esperti di tutta Europa e che ha confermato come certi problemi siano comuni alle PMI di tutti i paesi, e quanto può essere utile collaborare a livello europeo. Anche qui però, la strada da fare è ancora molta.
In realtà, anche dal punto di vista tecnico qualche novità in questo ultimo anno c’è stata. La virtualizzazione dei sistemi è ormai molto diffusa, e i relativi problemi di sicurezza sono stati ampiamente discussi. Quello che ancora viene poco trattato è l’utilizzo della virtualizzazione come strumento per separare ambienti diversi, più che per raccoglierli. Un esempio è la creazione di ambienti virtuali sul desktop, in modo da trattare in un contesto confinato le attività più rischiose, ovvero l’utilizzo della virtualizzazione come meccanismo di segregazione. Ormai le prestazioni dei desktop sono più che adeguate, ma dal punto di vista dell’usabilità ancora non ci siamo. Nel frattempo, riguardo alla segregazione, qualcosa sembra che si stia facendo nel campo dei browser. Chi ha seguito questo blog ricorderà forse il mio post “Segregazione e trasparenza subito“, e quello di poco successivo “Finalmente un browser sicuro“. In quest’ultimo dicevo che è improbabile che certe logiche di segregazione entrino entro breve nei browser mainstream. Ebbene, sono felice di essere, almeno in parte, smentito: l’idea di creare contesti diversi, seppure non troppo isolati, sembra stia entrando nella logica dei browser; almeno per questo progetto (sperimentale, peraltro) di Microsoft. Tuttavia, per quanto questi sviluppi siano utili e vadano nella direzione di soluzioni architetturali, sempre preferibili, resto dell’idea che avere semplicemente più istanze di browser in ambienti separati sarebbe attualmente più semplice ed efficace.
Anche nel settore del voto elettronico, che mi è sempre stato a cuore, c’è qualche novità: finalmente comincia ad essere visto in modo critico, e con la riduzione degli entusiasmi ci si chiede se il gioco valga la candela. A quanto pare in Irlanda hanno deciso di no. Anche negli USA si moltiplicano le voci che suggeriscono cautela, e vengono fuori le prime notizie di frodi. Si noti che non si tratta di una frode strettamente informatica, ma sulla difficoltà delle persone nel capire come funziona il voto elettronico. Ed è proprio questo uno dei punti che ho sempre criticato al voto elettronico: mentre tutti, più o meno, capiscono il meccanismo del voto tradizionale e del suo conteggio, e quindi possono partecipare al controllo della regolarità delle operazioni, con il voto elettronico devono delegare tutto ad un gruppo di tecnici specializzati, rinunciando secondo me ad una proprietà importante del sistema tradizionale.
Ecco, ho ricominciato a scrivere. Ora devo cercare di continuare…
Bentornato Claudio, è sempre un piacere leggerti 🙂
Bentornato.