lunedì, settembre 11
Resoconto delle sessioni del pomeriggio
Phil Becker, coordinatore del convegno, propone di fare un passo indietro per avere una visione di prospettiva. Dapprima la sicurezza è stato il motivo principale per l'adozione della identità digitale, e poi il focus si è spostato sulla gestione del rischio e sull'aderenza alla normativa. Ora acquisiscono importanza i "nuovi usi" che si fanno sul web dell'identità digitale.
In ogni caso tutto è cominciato con la sicurezza. Di questo parla il CTO di Symantec, Rob Clyde. Symantec si sta riposizionando, non è solo più sicurezza, e trova molto interessante il tema dell'identity management. Il focus rimane comunque la protezione (del PC, delle infrastrutture, ecc.) dalle minacce che arrivano in rete. L'identità è un pezzo fondamentale in questo schema (qualcuno direbbe "l'imputabilità dell'identità"), soprattutto per estendere il concetto di "protezione" a quello di "tranquillità" (confidence) nell'uso dell'IT. E anche la protezione non riguarda più solo l'infrastruttura, ma anche la protezione dele interazioni in rete.
Da un punto di vista della determinazione di "chi è dentro e chi è fuori", la tendenza che vede Clyde è che anche gli "insiders" vengono ormai considerati come esterni al perimetro di sicurezza, e quindi equiparati da un punto di vista della loro identità digitale agli utenti esterni. Sono le policy a essere diverse, non le identità. Mi pare una visione molto vicina a quanto stiamo portando avanti con ICAR-INF3.
Il secondo intervento è di Jim Harper del Cato Institute, autore di un libro intitolato "Identity Crisis" e titolare di un sito dedicato alla privacy. Il tema è "quante volte sono costretto a identificarmi per permettere l'attuazione di una corretta policy di autorizzazione?". Il libro ha origine due anni fa in una momento in cui il congresso americano stava pensando all'introduzione di uno schema di carte di identità nazionale. Nello scrivere questo libro, Harper ha scoperto che non esiste uno schema teorico (negli USA, immagino) su quando è necessario identificare qualcuno. Quali sono le caratteristiche di una carta di identità? 1) permette la sorveglianza dell'individuo 2) concede a chi emette la carta un grande potere sulle persone 3) facilita il furto di identità. Harper, che lavora in una organizzazione di ispirazione libertaria, è ovviamente molto scettico sul rapporto costi-benefici di una carta di identità emessa dal governo federale.
Parlando di autorizzazione, Harper pensa che l'autorizzazione, che normalmente è considerata "qualcosa che viene dopo", sia in realtà da collocarsi all'inizio di qualunque processo di accesso. L'autorizzazione risponde alla domanda "deve questa cosa avvenire o no?". E' per rispondere a questa domanda che tutti gli altri processi (identity management, autenticazione, identificazione) hanno luogo.
Harper ritiene che l'identificazione delle persone sia utilizzata troppo e anche a sproposito. Il costo dell'identificazione è molto elevato (costo in termini di rinuncia a libertà civili).
Il terzo intervento viene introdotto da Dick Hardt. Dick presenta una presentazione dal titolo "Identity in Big Sites" che riassume l'uso dell'identità digitale in grandi siti come Google, Yahoo!, Microsoft e eBay con il suo tipico stile che aveva già impiegato nella presentazione "Identity 2.0". Segue un panel, moderato da Dan Farber, raccoglie il CISO di PayPal oltre a due altre persone che non sono riuscito a identificare (una di Microsoft, una di Verisign), in cui si discute dei dettagli e prospettive dell'identity management nella visione di questi tre colossi.
In ogni caso tutto è cominciato con la sicurezza. Di questo parla il CTO di Symantec, Rob Clyde. Symantec si sta riposizionando, non è solo più sicurezza, e trova molto interessante il tema dell'identity management. Il focus rimane comunque la protezione (del PC, delle infrastrutture, ecc.) dalle minacce che arrivano in rete. L'identità è un pezzo fondamentale in questo schema (qualcuno direbbe "l'imputabilità dell'identità"), soprattutto per estendere il concetto di "protezione" a quello di "tranquillità" (confidence) nell'uso dell'IT. E anche la protezione non riguarda più solo l'infrastruttura, ma anche la protezione dele interazioni in rete.
Da un punto di vista della determinazione di "chi è dentro e chi è fuori", la tendenza che vede Clyde è che anche gli "insiders" vengono ormai considerati come esterni al perimetro di sicurezza, e quindi equiparati da un punto di vista della loro identità digitale agli utenti esterni. Sono le policy a essere diverse, non le identità. Mi pare una visione molto vicina a quanto stiamo portando avanti con ICAR-INF3.
Il secondo intervento è di Jim Harper del Cato Institute, autore di un libro intitolato "Identity Crisis" e titolare di un sito dedicato alla privacy. Il tema è "quante volte sono costretto a identificarmi per permettere l'attuazione di una corretta policy di autorizzazione?". Il libro ha origine due anni fa in una momento in cui il congresso americano stava pensando all'introduzione di uno schema di carte di identità nazionale. Nello scrivere questo libro, Harper ha scoperto che non esiste uno schema teorico (negli USA, immagino) su quando è necessario identificare qualcuno. Quali sono le caratteristiche di una carta di identità? 1) permette la sorveglianza dell'individuo 2) concede a chi emette la carta un grande potere sulle persone 3) facilita il furto di identità. Harper, che lavora in una organizzazione di ispirazione libertaria, è ovviamente molto scettico sul rapporto costi-benefici di una carta di identità emessa dal governo federale.
Parlando di autorizzazione, Harper pensa che l'autorizzazione, che normalmente è considerata "qualcosa che viene dopo", sia in realtà da collocarsi all'inizio di qualunque processo di accesso. L'autorizzazione risponde alla domanda "deve questa cosa avvenire o no?". E' per rispondere a questa domanda che tutti gli altri processi (identity management, autenticazione, identificazione) hanno luogo.
Harper ritiene che l'identificazione delle persone sia utilizzata troppo e anche a sproposito. Il costo dell'identificazione è molto elevato (costo in termini di rinuncia a libertà civili).
Il terzo intervento viene introdotto da Dick Hardt. Dick presenta una presentazione dal titolo "Identity in Big Sites" che riassume l'uso dell'identità digitale in grandi siti come Google, Yahoo!, Microsoft e eBay con il suo tipico stile che aveva già impiegato nella presentazione "Identity 2.0". Segue un panel, moderato da Dan Farber, raccoglie il CISO di PayPal oltre a due altre persone che non sono riuscito a identificare (una di Microsoft, una di Verisign), in cui si discute dei dettagli e prospettive dell'identity management nella visione di questi tre colossi.
# posted by Franz @ 21:19 
