Credits: #61041103 | @knee0, fotolia.com

Ricerca

LA SICUREZZA INFORMATICA

Non solo un problema software, ma che coinvolge anche le scienze sociali, economiche, organizzative e normative

18 settembre 2015
Versione stampabile
Paolo Giorgini
di Paolo Giorgini
Professore associato presso il Dipartimento di Ingegneria e Scienza dell'Informazione dell’Ateneo, coordina il gruppo di ricerca in Software Engineering, Formal Methods and Security.

La sicurezza informatica è indubbiamente uno dei temi più caldi e dibattuti degli ultimi anni. Non passa giorno che non si legga nelle cronache nazionali e internazionali di attacchi informatici, sempre più ingegnosi e articolati, a danno di grandi e piccole aziende, nonché di furti di identità a singoli cittadini e vulnerabilità di sistemi software di uso quotidiano. Gli sforzi degli esperti di sicurezza sono volti al continuo studio di meccanismi di prevenzione capaci di limitare le azioni degli hacker, sempre pronti a sfruttare ogni tipo di occasione offerta. Purtroppo, questi sforzi possono essere vanificati quando le vulnerabilità non sono esclusivamente di tipo tecnologico, ma sono la risultante di fattori che coinvolgono aspetti sociali e organizzativi e che richiedono quindi sia interventi di tipo software sia anche cambiamenti comportamentali e riorganizzazioni dei processi aziendali. A questo si possono aggiungere difficoltà legate ai cambiamenti normativi e legislativi ai quali le amministrazioni pubbliche e le aziende private sono soggette, rendendo la sicurezza e la privacy un problema in continua evoluzione. 

La sicurezza è quindi un problema multidisciplinare, in cui le competenze dell’ingegneria del software devono essere combinate con conoscenze nell’ambito delle scienze sociali, economiche, organizzative, normative e legislative. La comunità scientifica ha recentemente riconosciuto la necessità di sviluppare teorie, metodi e strumenti per l’ingegneria della sicurezza, capaci di coniugare problematiche prettamente tecniche e tecnologiche con aspetti più organizzativi e sociali, proponendo numerosi approcci e metodologie che stanno via via suscitando interesse a livello industriale. Negli ultimi anni, aziende come SAP e IBM hanno, infatti, introdotto all’interno dei loro processi produttivi strumenti e linguaggi per la progettazione e lo sviluppo sistemi sicuri da un punto di vista “socio-tecnico”. 

Il gruppo di ricerca in Software Engineering, Formal Methods and Security del Dipartimento di Ingegneria e Scienza dell’Informazione (DISI) ha condotto negli ultimi anni ricerche all’avanguardia nell’ambito della definizione di linguaggi di modellazione e strumenti di supporto all’analisi e alla progettazione di sistemi socio-tecnici sicuri. Attraverso la collaborazione con partner industriali, come ad esempio SAP, THALES, ATOS, Engineering e Business-e, il gruppo ha sviluppato nell’ambito di diversi progetti europei una consolidata esperienza in questo settore affrontando problematiche specifiche in ambiti come quelli della gestione del traffico aereo, la gestione dei processi sanitari e delle pubbliche amministrazioni.

La metodologia STS (Socio-Technical Security) proposta dal gruppo del DISI include un linguaggio di modellazione goal-oriented attraverso il quale è possibile studiare la sicurezza da un punto di vista della protezione degli asset aziendali e dei processi organizzativi ad assi associati, identificando e specificando i requisiti di sicurezza che dovranno essere implementati nei vari sistemi software utilizzati. La metodologia è supportata da tecniche di ragionamento automatico che permettono la verifica di tali requisiti ed eventuali politiche di sicurezza di carattere normativo e legislativo a cui i processi aziendali dovranno aderire. L’STS tool è un software realizzato dal gruppo di ricerca che supporta passo-passo il processo metodologico, permettendo ad esperti di dominio di studiare la sicurezza di un sistema socio-tecnico complesso, quale ad esempio il sistema di controllo del traffico aereo di un aeroporto. L’STS tool è gratuitamente scaricabile nella versione 2.0 dalle pagine del sito web del gruppo

Lo scorso 26 agosto, durante la ventitreesima edizione dell’IEEE International Requirements Engineering Conference tenutasi ad Ottawa in Canada, i docenti del gruppo di ricerca del DISI Paolo Giorgini, Fabio Massacci, John Mylopoulos e Nicola Zannone hanno ricevuto il prestigioso riconoscimento del “10 years most influential paper award” per il loro lavoro “Modeling security requirements through ownership, permission and delegation”.