Conferenza USA sulla sicurezza e la privacy
Il ricercatore Daniel Ricardo dos Santos, primo autore dell'articolo insignito del premio, lavora presso l'Unità di ricerca Security and Trust (centro ICT) nell'ambito del progetto europeo SECENTIS ("Security and Trust of Next Generation Enterprise Information Systems") di cui la Fondazione Bruno Kessler è coordinatrice.
"Assisting the Deployment of Security-sensitive Workflows by Finding Execution Scenarios" è il titolo del paper presentato alla 29esima edizione della conferenza Data and Applications Security and Privacy (DBSeC) a Fairfax, Virgina (Stati Uniti) lo scorso luglio. L'articolo scientifico, scritto a otto mani (il lavoro di Daniel Ricardo dos Santos è stato supervisionato dal ricercatore FBK Silvio Ranise e da Luca Compagna e Serena Ponta, ricercatori presso il SAP Labs in Francia) presenta una tecnica per la messa in sicurezza dei processi di business. In altre parole, gli insiemi di attività strutturate il cui scopo è di produrre un servizio per alcuni tipi di clienti di un'azienda. Facciamo un esempio che ci aiuta a capire meglio. I casi più tipici di business process provengono dal mondo bancario. Immaginiamo la situazione in cui una persona chiede di accendere un mutuo. I dipendenti della banca sono di solito responsabili dell'esecuzione delle attività di questo processo: l'impiegato in una filiale assiste il cliente nella procedura di richiesta del mutuo, raccogliendo tutte le informazioni necessarie. Solo un manager della filiale però può prendere la decisione di garantire o rifiutare la richiesta.
In questo contesto è di fondamentale importanza prevenire o diminuire la probabilità di frodi che possono essere messe in atto da dipendenti disonesti. Al fine di prevenire questa eventualità, una delle prassi più utilizzate in ambito bancario consiste nel richiedere che l'impiegato che riceve la richiesta di mutuo debba essere differente da colui che prenderà la decisione di accettarla o rifiutarla. In questo modo, anche se il cliente della banca è una persona conosciuta dal primo, il secondo dipendente non potrà essere influenzato nella sua decisione. Il problema principale per l'istituto di credito è imporre l'applicazione di questa prassi. La tecnica di cui si parla nell'articolo è di grande aiuto proprio nei contesti in cui le aziende vogliono automatizzare in maniera sicura i propri business process e minimizzare i problemi derivanti da frodi.
Per queste ragioni, SAP, che è partner industriale del progetto SECENTIS (in particolare l'unità di Security & Trust che ha sede a Sophia Antipolis in Francia), nonché primo produttore al mondo di soluzioni informatiche per l'automazione delle imprese, ha un grande interesse nello sviluppo di sistemi automatici di questo tipo.
Il progetto SECENTIS
Il progetto europeo "Security and Trust of Next Generation Enterprise Information Systems" (SECENTIS), i cui partner principali sono la Fondazione Bruno Kessler e SAP Labs France (l'Università di Trento e TrentoRISE sono partner associati), è il contesto ideale in cui studiare soluzioni per queste problematiche. ,,SECENTIS è infatti un programma di dottorato industriale europeo (Marie Curie), finanziato con un budget di 1.2 milioni di euro dalla Comunità Europea, il cui scopo è quello di fornire un programma educativo innovativo di dottorato, al fine di formare una nuova generazione di esperti in sicurezza capace di gestire le sfide tecnologiche e scientifiche implicate dall'adozione di nuove tecnologie e di prevederne l'impatto sulle imprese.
Daniel Ricardo dos Santos, studente di dottorato brasiliano, è stato selezionato insieme ad altri quattro colleghi - tra una sessantina di domande - per partecipare al progetto SECENTIS, il cui coordinatore è Alessandro Armando, responsabile anche dell'Unità Security and Trust di FBK. I ricercatori di SECENTIS sono oggi a metà del loro percorso di dottorato, che terminerà nel 2017. Si spera che queste ed altre tecniche sviluppate all'interno del progetto trovino presto applicazione presso i partner industriali. La Conferenza DBSec - Data and Applications Security and Privacy.
La conferenza internazionale su "Data and Applications Security and Privacy" (DBSec) copre varie tematiche di ricerca sulla sicurezza e la privacy dei dati e delle applicazioni. Dalla sua creazione, la conferenza è sponsorizza dal gruppo di lavoro 11.4 dell'IFIP (International Federation for Information Processing), che si è formato nel 1986 per stimolare attività di ricerca in sicurezza e privacy per le applicazioni ed i dati sia a livello di progettazione che di implementazione.