Donne e ICT uno sguardo al settore della cybersecurity

Essere ingenere, donna, geek, manager, psicologa e digital forencer in un settore particolare come quello della sicurezza delle informazioni e dell’hacking è possibile. Oggi raccontiamo l’esperienza di Selene Giupponi, 32 anni, laureata in Ingegneria Informatica, Membro IISFA (Information Systems Forensics Association, Italian chapter) e HTCC High Tech Crime Consortium con Sede a Washington D.C., Memeber Board di EOS (European Organization For Security) ed è la sola donna italiana ad essere membro fondatore di ECSO (European Cyber Security Organization) accordo di Cooperazione Pubblica Privata al Parlamento Europeo a Strasburgo. Attualmente è Vice Presidente e Head of Digital Forensics Unit (Corporate) della Security Brokers ScpA.

1) Selene, come e quando hai deciso di lavorare nel settore della sicurezza delle informazioni e perchè?

Posso dire di essere“figlia d’arte”: papà era prima un programmatore e poi un sistemista sui mainframe IBM (gli AS/400, per capirci) ed io sono cresciuta nel suo laboratorio. Non avevo neanche quattro anni quando la mia sveglia mattutina divenne una voce sintetizzata che diceva “Buongiorno Selene”, e a cinque anni mi faceva già smontare e riassemblare i PC. E’ stato quindi normale avvicinarmi all’informatica: mi iscrissi ad ingegneria informatica, facoltà “diversamente femminile”, nel senso che noi ragazze eravamo davvero poche! Inoltre all’epoca, facevo sfilate… ero un “caso strano”, alta, (diciamo) carina, intelligente e smanettona. Non dimentichiamoci poi il periodo, siamo nella prima metà degli anni 2000, c’erano le chatline, le “IRC war”, c’era “quella cosa che si chiama Internet”, c’erano la curiosità e la voglia di capirne di hacking… Papà se ne accorse e, vuoi per accontentare le mie passioni, vuoi per tenermi lontana dai pasticci, iniziò a “spremermi” per fare di me un’amministratrice di sistema, non solo su OS/400 ma anche sui sistemi Windows Server, UNIX e Linux. Subito dopo la laurea trovai uno dei primi master in Informatica Forense d’Italia, all’Università di Camerino, in collaborazione con il Ministero dell’Interno e dalla Polizia Postale. Anche in questo caso ero l’unica donna, e l’unica civile: divenni così la “mascotte” dei poliziotti iscritti al master, con molti dei quali ancora oggi siamo in ottimi rapporti di amicizia, ci incontriamo in convegni e workshop, dove spesso siamo entrambi relatori.

2) Quali sono le Key factors della Tua attività lavorativa? Potresti provare a descriverle con 3 concetti chiave?
Sorrido, perché ne parlo spesso con il Presidente della mia azienda che spesso mi dice che ancor prima di essere una tecnica, in realtà faccio la psicologa. Ed in effetti la prima parola chiave credo sia la psicologia. Io sono una Digital Forenser, o forense informatica: a mia nonna sono riuscita a spiegare di cosa si tratta solo quando è apparsa in TV la serie CSI Cyber. Mi occupo di casi che implicano, giocoforza, reati, in ambito civile o penale: dalle scene familiari (separazione o divorzi) allo spionaggio industriale, passando per storie spesso terrificanti, che spesso evidenziano l’insorgere di termini e fenomeni “nuovi” quali cyber bullismo, cyber stalking, piuttosto che reati di pedofilia. Ecco perché dico che, sovente, mi ritrovo innanzitutto a fare la psicologa, ancor prima che l’ingegnere. Nella maggior parte dei casi il mio lavoro consiste nel recuperare prove, le quali si traducono in file ma non solo, i quali si trovano su dispositivi informatici: sistemi server, desktop, portatili, smartphone, ma anche navigatori satellitari, chiavette USB, hard drive esterni. In questi anni di carriera mi è davvero successo di tutto, anche di analizzare lo storage di una bambola gonfiabile! La terza keyword per raccontare la mia professione è l’essere una manager: quattro anni fa ho incontrato Raoul Chiesa, un vero e proprio guru nel settore della cybersecurity, un visionario che mi ha aiutato molto a crescere, uscire dai confini nazionali e capire che là fuori c’è un mondo intero da scoprire, pieno di persone, visioni ed esperienze interessanti. Ho deciso così di scommettere su una “pazza start-up” e sono entrata in Security Brokers, un’azienda globale, molto nota in Italia ma ancora di più all’estero. Ho iniziato a fare la “digital globe trotter”, nel senso che ho lavorato, insegnato e fatto esperienze davvero in mezzo mondo, dal Cile all’Oman, dalla Thailandia alla Repubblica Domincana, Cina, Germania, Francia, USA, Moldavia, Kosovo, Macedonia, Romania, Libano, Malaysia, Tunisia… e in tanti altri luoghi.

Ho imparato quanto è bello apprendere da culture differenti dalla nostra e, vedendo il tutto “da fuori”, sono riuscita a vedere l’errore che facciamo noi italiani: restiamo seduti nel nostro orticello, parliamo un pessimo inglese e pensiamo di essere i più bravi al mondo. Purtroppo non è così, c’è un mercato globale altamente competitivo, e ci sono tantissimi Paesi al mondo dove esiste davvero la meritocrazia, mentre da noi – purtroppo – spesso si valuta con altre metriche, diciamo non proprio….corrette, o coerenti con la professionalità richiesta per svolgere quel dato incarico o lavoro, nel nostro Paese valgono perlopiù  i legami di entourage familiare, amicale o politico. Nel mio caso invece grazie ai sacrifici dei miei genitori, ho studiato come una pazza, preso bus e treni con la pioggia, la nebbia e il sole che ti ammazza di caldo, ho sudato come ogni studente dovrebbe fare, e mi sono costruita un lavoro, una posizione, un nome, attraverso i fatti e non le parole. Purtroppo verifico sempre più come in Italia questo sembri una rarità, addirittura talvolta fa di te “quella strana”, una pecora non dico nera ma… grigia. Lavorando all’estero ho invece toccato con mano cosa sia “l’essere lì perché sei brava, non perché ti hanno dato la spintarella”. Un esempio? Sono stata chiamata per tenere un workshop di una settimana all’American University di Beirut: dopo tre giorni sono stata chiamata dal Rettore e mi hanno proposto di gestirmi, in piena autonomia, un intero semestre di specializzazione. In Italia, a Roma, quando ero all’Università alcuni miei professori copiavano le ricerche e le tesi, nel senso che se le rubavano proprio, le facevano loro, e tutte noi studentesse (e studenti) percepivamo il “baronato”, professori che oltre allo stipendio dello Stato, erano anche titolari di aziende o studi di consulenza, e si beavano del lavoro e degli sforzi fatti in realtà dagli studenti.

Amo l’Italia, è il mio Paese, ma se non fosse stato per la mia tenacia e la start up nella quale ho investito, della quale ora sono Vice-Presidente, probabilmente sarei rimasta anche io nel mio piccolo giardino, avrei lavorato solo in zona Pontina e su Roma, non avrei migliorato (drasticamente) il mio inglese, francese e spagnolo, non avrei avuto l’opportunità di lavorare per multinazionali, grandi organizzazioni o di collaborare con l’Interpol, la NATO, le Nazioni Unite. Sarei rimasta, probabilmente, “soffocata” da una mediocrità che, mi spiace dirlo, uccide l’imprenditorialità e la voglia di fare di noi giovani. Ora, a 32 anni mi sento l’esperienza di una 40enne, sono una tecnica che ha imparato (ed ancora sta imparando) ad esse anche una manager, a gestire un’azienda e non solo una Business Unit con un gruppo di geek smanettoni .

3) Si parla spesso di divario digitale e in particolare di genere, ma quale è la tua opinione  e come secondo te può essere affrontato? Nella tua professione quali criticità hai riscontrato e quali invece aspetti positivi da poter implementare?
Esattamente come noi donne nell’IT siamo “merce rara”, ancora peggio è quando ci spostiamo in sotto-categorie dell’IT, in specializzazioni di nicchia come appunto la Digital Forensics e l’Information Security. Anche in questo caso, all’estero, le cose sono leggermente diverse, forse anche grazie ai concorsi ed agli aiuti dei programmi “for women” di aziende come Google e Facebook. Ancora prima di questi “special programs”, però, noto come sia un fatto di mentalità, di mindset, come si dice all’estero.

Ed allora torniamo alla meritocrazia, a quello che sai fare. Il capo dell’unità forense di un’importantissima banca svizzera mi adora, semplicemente perché ho scritto un tool per il recupero dei dati cancellati su AS/400. Io vorrei solo poter fare il mio lavoro, perché lo amo, è la mia passione ed ho questa enorme fortuna: faccio quello che mi piace, ogni giorno, giro il mondo ed incontro persone, esperienze, culture, realtà differenti. Altrimenti andrei a fare la cameriera, non la geek! E’ davvero bello quando il tuo lavoro è anche il tuo hobby preferito!

4) Quali sono le sfide di oggi nel settore sicurezza delle informazioni ad esempio in relazione alla privacy e tutela dei dati personali? Siamo pronti per affrontarle?

La privacy è un concetto, uno status culturale, ancor prima che una “legalia”. Hai mai osservato un americano ed un europeo discutere di privacy? Abbiamo culture differenti, ed arriviamo da cicli storici differenti. La privacy, secondo il mio modesto e personale parere, “ce la siamo giocata”, l’abbiamo persa man mano che le (odierne) tecnologie prendevano piede, arrivando dal mondo militare a quello civile. Ovviamente, la stessa privacy è correlata, quasi legata tramite un filo invisibile, ai dati personali.

Penso che la sfida maggiore sia quella della cultura, del buon senso degli utenti: alla fin fine siamo noi a caricare le nostre foto, filmati, pensieri e parole, a taggare gli amici, a raccontare dove siamo stati la sera prima o in vacanza. Buon senso, nulla di più: di questo c’è davvero bisogno, o lo facciamo per deception?

Certo, rimango poi basita quando leggo sui giornali notizie come quella di questi giorni, dove le amiche di una ragazza la hanno filmata – e postata su Whatsapp – mentre, completamente ubriaca, veniva violentata nei bagni di un locale. In questo caso il buon senso ovviamente non c’entra, ritengo invece ci sia un reale bisogno di norme punitive nei confronti di chi alimenta, amplifica, rende pubbliche – seppure in cerchie ristrette di contatti, qual è la filosofia stessa di Whatsapp – azioni così spregevoli: siamo alla follia pura, alla mania di protagonismo. Non so nemmeno bene come definirlo!

Devono esserci regulation chiare, forti, decise e tempestive, altrimenti continueremo a vedere ragazze e ragazzi, tipicamente adolescenti ma non solo, che si suicidano. Internet, a livello tecnico, rende difficile il diritto all’oblio (ricordiamo tutti il triste caso di “Forza Chiara”), ed allora è necessario che la magistratura intervenga; per farlo, necessitiamo di leggi e, purtroppo, sappiamo bene quando la legislazione sia quasi sempre in ritardo, rispetto all’evolversi delle tecnologie.

5) E i rischi invece quali sono i più comuni a cui bisogna prestare maggiore attenzione? Secondo la tua esperienza esistono rischi specifici nell’uso degli strumenti digitali orientati al genere?

La maggior parte delle app “spyware”, che includono funzionalità di geolocalizzazione, oltre che di intercettazione (chiamate fatte e ricevute, SMS, chat e così via) devono essere installate “fisicamente”, ovverosia chi ci vuole spiare deve avere accesso fisico al nostro telefono, quantomeno nella maggior parte dei casi. Ed allora iniziamo con un bel PIN a protezione del nostro smartphone o del nostro tablet: 4, meglio 6, numeri da ricordarci, evitando magari la nostra data di nascita, o l’anniversario di quando ci siamo messi insieme al fidanzato o al marito!

Ho detto “la maggior parte” perché, da un paio di anni, il mercato “grigio” ha visto spuntare app e software-spia davvero sofisticati, provenienti in genere dalla Russia e dall’Ucraina, ma non solo, che non costano certo le poche decine di euro (il costo “classico” degli spyware per i quali bisogna avere fisicamente il mano il telefono che ci interessa, fosse anche per pochi secondi) ma nemmeno le decine di migliaia di soluzioni “altamente professionali”: parliamo di 200 o 300 euro, per spyware che si installano davvero da remoto. Nella maggior parte dei casi bisogna “ingannare” la vittima, magari inviandogli via SMS, Whatsapp, email o Viber, un link “malicious”. Si chiama così, in gergo, poiché quel link porterà ad una pagina infettata, che include cioè al suo interno una o più vulnerabilità software: sarà quindi il nostro browser (il Safari di turno per IOS di Apple, altri browser per Android, piuttosto che Internet Explorer o Firefox per i nostri laptop) il “veicolo di infezione”, l’entry point attraverso il quale lo spyware si installerà e, silenziosamente, inizierà ad inviare all’esterno le nostre informazioni.

6) Cosa potremmo fare per difenderci?

Innanzitutto, la regola dell’antivirus, propria del mondo desktop e laptop, vale anche sui dispositivi mobili e anche sui Mac OS: installiamolo, aggiorniamolo, usiamolo! In seconda istanza, la già citata regola del buon senso: se “Anna”, nostra amica di Roma, ci invia un link “strano” via SMS o email, insieme ad un testo di accompagnamento in inglese, al posto dei suoi soliti “Aho’ bella sister, guarda un po’ qua!!!” beh…. Qualcosa di strano c’è, no? Perché allora, invece di cliccare smodatamente e spassionatamente, non alzare il telefono e chiamare, parlare con la nostra amica Anna? Infine, aggiornare sempre il sistema operativo del nostro smartphone. Magari – questo un consiglio basato su diverse mie esperienze personali – non proprio “subito subito”, non insomma appena esce l’update: aspettiamo qualche ora, anche uno o due giorni, leggiamo su forum e da amici se hanno avuto problemi con l’aggiornamento (come spesso capita) e poi, dopo aver eseguito un sano backup, aggiorniamo il nostro adorato telefono.

7) I dati europei relativi alla presenza femminile nel settore ICT hanno fotografato una situazione non molto incoraggiante: le donne rappresentano solo il 30% della forza lavoro di cui oltre il 20% composto da professioniste trentenni mentre si assiste nella fascia anagrafica a partire dai 45 anni all’abbandono del settore a metà carriera (il cosiddetto fenomeno della Femal Leaky Pipeline) che determina un drastico calo della presenza femminile che infatti con estrema difficoltà riesce a raggiungere solo il 9% del totale della forza lavoro. Hai riscontrato nella tua realtà lavorativa nel settore sicurezza l’incidenza del fenomeno?

Sono dati veri, ma che variano molto, moltissimo da Paese a Paese: se proviamo ad applicarli ai Paesi scandinavi, ad esempio, non penso che i conti tornerebbero; e neanche tra Nord, Centro e Sud Italia. Ad ogni modo un 30% non credo sia una percentuale “brutta”, seppur mi sembri sottostimata: siamo sicure, solo il 30%? Io, nella mia vita professionale quotidiana, vedo numeri maggiori. Non è che i “guru” delle statistiche non hanno ben capito che l’ICT è diventato pervasivo ed è entrato in categorie di settore che, prima, non erano etichettate come ICT, o non lo includevano? Ad esempio, chi oggi fa comunicazione e PR… più che altro “fa ICT”, sta sui Social, lavora ed opera in un ambiente virtuale, quantomeno dal punto di vista esecutivo, ed il lavoro classico di “PR” si limita, a quanto vedo lavorando con colleghe di quel settore, agli incontri di persona con il committente. Ritengo insomma che, forse, ci siano degli errori alla base, di classificazione di “cos’è ICT”. In merito al FLP (Female Leaky Pipeline) quel flag ai 45 anni di età mi sembra decisamente sbagliato. Io vedo donne che, al contrario, dopo i 45 anni tornano a lavorare, con i figli oramai adolescenti (o maggiorenni), o che comunque hanno intrapreso il loro percorso; vedo invece tante, troppe amiche mie coetanee, le trentenni per capirci, che abbandonano il lavoro per “fare le mamme”. E’ una scelta, molto personale aggiungo ma, spesso, diventa una scelta obbligata, per le politiche dell’azienda in cui si lavora. Questo è un mindset che deve cambiare: non solo per la competitività del Paese Italia, ma anche e soprattutto per il rispetto e l’orgoglio di essere donne, ancora prima che madri e professioniste.

7) Indubbiamente una delle barriere esterne di accesso al settore trova causa anche nella poca presenza femminile nei percorsi di studio STEM, per vari ordini di motivi, ma sicuramente è condiviso da più parti la necessità di avvicinare le nuove generazioni femminili ai percorsi di studio scientifici. Ma come si potrebbe fare secondo te anche per incentivare più ragazze ad interessarsi anche ai percorsi di cybersecurity? Potrebbero essere utili ad esempio percorsi nelle scuole in questo senso?

Non credo che il problema sia lo scarso numero di donne nei percorsi formativi di cybersecurity, anzi! Da ciò che vedo è il contrario, spesso sono i maschietti ad essere in numero minore. Il problema sono proprio i percorsi formativi! In Italia ho insegnato in tantissimi master, posso dire dall’estremo nord al profondo sud. In tutti i casi ho visto master raffazzonati, dove l’importante era inserire i soliti, le solite “figlie/i di”, senza un filo conduttore, un flusso logico tra i vari moduli di insegnamento, con slide (qualcuno ancora li chiama “lucidi”…!!!!) vecchie e non aggiornate, con la lingua inglese vista come un ostacolo (!). Aiuto spesso ragazze a fare la tesi e, quando consiglio loro letture, paper e libri, mi sento spesso (troppo spesso!) dire “ma… sono in inglese!!! Come faccio??”. Cara ragazza, se hai deciso di studiare l’Information Security, o quantomeno l’Information Technology… non ti viene da pensare che quasi tutto è in lingua inglese?

La sicurezza delle informazioni è una scienza bellissima, composta da tante, tantissime sfaccettature e specializzazioni. La TV ed il cinema, credo, hanno aiutato e giocano un ruolo forte nella scelta del percorso di studi da parte delle ragazze (e dei ragazzi), ma concordo con te: insegnare questa materia, quantomeno l’ABC, già nelle scuole (non dico elementari, anche se si dovrebbe, ma quantomeno le scuole medie) spronerebbe, aiuterebbe i giovani a comprendere – e qui torno al concetto di privacy – l’importanza del bene più importante che hanno: le informazioni. Una volta una persona che stimo molto mi ha detto una cosa che ha cambiato il mio modo di vedere i social: “tu non sei l’utente, sei il prodotto”. Ecco: cerchiamo di essere un po’ più utenti (coscienti, vivaci, attenti e pretenziosi) ed un pò meno prodotto!

8) Quali i tuoi prossimi obiettivi e cosa Ti auguri, come donna e come tecnologa, per il futuro delle nuove generazioni al femminile?

I miei prossimi obiettivi sono semplici: crescere professionalmente, continuare a girare il mondo ancora per un po’, rendere fieri di me la mia famiglia ed i miei cari… ma anche “correre di meno”, non perdere il contatto con la vita reale, le amiche e gli amici, non dimenticarmi che, a volte, è bello anche spegnere tutto (modalità aerea ;), “scollegarmi” per un po’, scappare dallo stress ed apprezzare la natura, la storia e l’arte, un buon ristorante, un panino su un prato, magari dopo essermi tolta le scarpe, sentendo l’erba sotto i piedi, respirando il profumo della natura.

Per le nuove generazioni al femminile: continuate così ragazze, siamo tante, stiamo aumentando… programmiamo, insegniamo, facciamo ricerca e sviluppo, creiamo, inventiamo. “Donne, donne… oltre alle gambe c’è di più”, recitava una canzone di tanti anni fa. E’ vero, noi ce ne siamo accorte, non molliamo ed andiamo avanti: grazie a Dio l’IT è sex-neutral, ed un computer non guarda “di chi siamo figli”, ma ragiona con una logica meritocratica, il più  delle volte!