It is time for research to think about security and privacy


We usually talk about cyber security and privacy related to the world of industry and personal, but today I would make some points related to research in universities.

how much security aware are universities?

This is an interesting topics, looking at the statistics on cyber security attacks I would say security and privacy awareness is not at the first point in their needs.

So bad …

well first of all let’s make a little distinction:

engineering vs the rest

it is out of doubt that engineering universities and research are more cyber security savvy than the rest. Some of them are also actively working and studying the the issue.

but nevertheless the overall cyber security and privacy approach, beside the ones actively working on the subject, is poorly implemented. on the other end engineering universities are full of guys playing with the fire … some will be the defenders of tomorrow, some are the hacker of today (hacker is not necessarily a bad term).

the rest is in a questionable situation, both cyber security and privacy lack of vision and willingness to address the point. even if there are areas that deal with very sensitive data, think healthcare industry.

the result is under our nose, a lot of people with great skills and knowledge on a lot of different subject completely unaware of the consequences of digitalization…. why do you think is so easy to break into healthcare systems, law firms and so on?….

The research issue

there was a time where being a scientist was putting your life at stake, was not easy to be Galileo Galilei at his time. But I hope that anyone with a brain can agree on the fact that science was mandatory to develop our society and way of life.  Science play an important role on human development, and I took science with the largest meaning…not only technology or physics, but medicine,  economy, social science, history, literature, philosophy … in a way culture … the connection and ramification of science with art, as an example, are undeniable… so we should ask ourselves if there can be a world without science.

But science is based on theories more than faith, trials more than prayers, and therefore need a solid trusted based …

the trust is no more here

In this security and privacy unaware environment seldom researchers that are not security focused put attention to security, but nowadays research environment and criminal landscape and geo_political warfare would suggest a different approach. if some years ago the word of a scientist was respected, nowadays seems that politics take over science and data and result are not what they are, consequences of studies and trial, but things are what your political beliefs want it to be.

so we see a rising of “creationists” or other religious para-scientific accreditation as “scientific”, as well the denial of scientific evidence in the name of political or religious beliefs (think at global warming as an example).

When you start a research you need, basically, to start collecting and managing data, use some computational power, share those data with peers…. but those data, those exchanges are what we should take a look for also in terms of privacy and security.

Depending on the nature of the research you can have direct evident privacy and security implications, but even if you are working on not apparently key areas you should put some precautions on the table. Let quickly try to explain why:

data are important

Data are what you have to work on, you sample, collect, store, analyze, transform data.

In a trusted environment you can avoid to care too much, come on i trust you and you trust the others so what can be wrong… but this is no more the reality.

  1. if your data have some kind of value (and i think they have, or you would not use them) you should protect them
  2. if your data are needed to prove your point you should be able to ensure they are reliable
  3. if your data need to be exchanged with others you should be sure what you transmit is what they get, and what you receive comes from a equally trusted source and data itself are trustable.
  4. if you work worth something may be you want some intellectual property on it, and therefore you have to be sure your result are not repudiable, subject to copy or used and\or modified without your knowledge

those 4 points are the the main areas where you should put privacy and security into the equation no matter what your research is.

what is the value?

Every time you have to invest something you make a tradeoff between the invested monetary resources and the expected output. in science this is a hard exercise so i understand most of the time you do not want to look for data protection but try to think how much you depend on those data..

what happen to your research if a ransomware encrypt you data?

what happen if a attacker or a incident poison your data with some bias?

sometimes you can also be a “collateral damage” and not the direct target but, does it make any different to you?

if you are not able to put those consideration on the table you can start wonder what is the value of your job.

protecting means?

usually you set up things using what comes to your hands. this does not means crappy thing but…how much planning have you put on this?

have you considered what happens if you lost your data for a mechanical crash?

or for a hacking attempt?

of for a genuine honest mistake of your developer that write the code that manage your data?

or if your shared repository have to give space to something more important?

and what if someone tamper your data?

and what if someone copy your data?

and what if ….

this kind of scenarios are not your research field, I know, but nevertheless are connected to your job and you should start to consider them.

backup, storage, encryption, access management, Intellectual Property protection, data exchange, computational requirements… all those thing should be managed in a sound reliable plan that foresee current and future needs…

the problem of exchange

another aspect that is really critical is how you can be sure that the data you are exchanging are managed correctly.

the first point when there is an exchange between to point is to be able to trust the point itself. this basically means you want to exchange data with this subject, but may be not with another one (i know you are not all friendly one to the other).

so the point is how you can be sure you are sending the data to the correct source…

When you send something you should assure the counterpart that what he\she\it will receive is what you are sending, data should be managed in a non repudiation and anti tampering way, and also maintain the ownership if needed.

now they can be a genoma of a rock, a clinical trial result on the effect of mars over alopecia, a set of data on relationship between gun distribution and bird control rate, the climate data of the last 100 years in neverland…whatever… you need your data be recognized as:

1) yours

2) truthful even after the transfer

the point here is that otherwise anyone can change assumption and therefore conclusion making you part of a fraud. you should always be able to say, they those were not my data….

and in a moment where politics and science collide once again this is not a minor issue.

food for thought

privacy and cyber security are sons of the current expansion of the digitalization. Those issues are not a side tough but real component of your everyday job even if you are a researcher in areas way far from cyber security, information technology or whatever.

you should also start thinking if those data should be kept public how to maintain, store and allow access to them in a consistent and secure way. Sure you can post them on facebook and tweet them but maybe, just maybe, this would not be the optimal solution.

And you should start thinking about those things before it’s too late. no matter who you are, what you do digital life is here for you too and you should start acting accordingly.

just think about it.

Antonio

 

 

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

It is time for research to think about security and privacy was originally published on The Puchi Herald Magazine

Advertisements

L’ingrato lavoro dell’ingrato recruiter


Era una giornata uggiosa, come sempre il perfido cercatore di lavoro (il questuante come li chiami tra colleghi) aveva inondato il mondo di curriculum vitae, ed uno era arrivato fino a te.

Maledizione

ti scappò di dire mentre guardavi svogliatamente la inutile quantità di informazioni di cui non ti fregava assolutamente nulla fuoriuscire da quel CV

questo è uno del mestiere, mi sa anche che devo far finta di ascoltarlo

ma almeno la tua pila di 2000 candidati da mostrare al tuo capo la avevi preparata, lui ti avrebbe chiesto di ridurla a 150 per mostrare che si fa screening, e poi sarebbe stato presentato al cliente il lavoro con la promessa che a breve avrebbero ristretto la rosa a una ventina di persone con cui si sarebbe fatto un colloquio per preparare la shortlist.

ma qualcuno di sti stronzi lo devo sentire?

ti chiedevi mentre utilizzavi la famosa tecnica “ad cazzum” per filtrare i primi cv.

quelli in corpo 10 via, non si legge bene

quelli che ai più di 37 anni via, costi troppo…ma non tutti sennò sembra che discrimini per età (e poi devi far finta di valutare le competenze, che palle)

quelli più di 3 pagine via, che mica sono pagato per leggere romanzi

siccome hai chiesto a tutti di compilare i form online aggiungo un search per parole chiave:

leccaculo e stronzo non ci sono però, servirebbero

dici ridendo tra te e te mentre metti improbabili chiavi di ricerca per buttare il maggior numero possibile di cv.

‘azz troppo pochi, riduco i filtri

mica facile arrivare al numero richiesto di cv, un lavoro durissimo…

Ora capiamoci, come recruiter ti trovi a dover a che fare con una serie di interfacce da corte dei miracoli che ti pressano da tutte le parti:

  • da un lato c’è il cliente che non sa cosa vuole, non lo capisce, non sa spiegarlo ma vuole che costi poco, sappia fare tutto e che abbia 20 anni con esperienza trentennale ma disposto a stage
  • dall’altro c’è il tuo capo che ti dice di lavorare, che se no ti trovi dall’altra parte della scrivania
  • dall’altro ancora c’è il capo del tuo capo che parla col cliente, e tutti e due sono in fibrillazione, tutto è sempre molto più urgente della urgenza stessa…
  • dall’altro c’è il questuante, quello che cerca lavoro, ma non potrebbe trovarselo da solo, proprio da te viene? ok lo hai chiamato tu probabilmente, o ha risposto ad un tuo annuncio, ma insomma che cosa pensa che tu sia li per lui?
  • dall’altro …

aspetta ma quanti lati hai?

ok ok divagavo.

fuori piove, quella pioggia sottile che ti bagna anche se hai l’ombrello… ma finalmente hai raggiunto i 150 cv finalmente una milestone, che non sai cosa vuol dire ma il tuo capo lo dice sempre….

Bravo, adesso si che si ragiona

il tuo capo è contento, anche il suo capo è contento, anche il cliente è contento e sei contento anche tu… per il momento una “milecosa” l’abbiamo passata.

Le dannate interviste

mo mi toccano le interviste

Questo pensiero iniziò a entrarti nel cervello… come un rumore fastidioso. Già lo sapevi, avresti dovuto perdere il tuo tempo a chiamare gente, parlargli per fare almeno un certo numero di incontri, del resto deve sembrare un processo di selezione.

Adesso iniziava ad entrarti nella mente che non sapevi neanche cosa si stesse cercando, già, ma alla fine non frega niente a nessuno ne a te, ne al cliente…

ok magari interessa al candidato, ma mica sei il suo confessore…hai già i tuoi di problemi

Buon giorno dott. xyz, la disturbo?

ma che disturbo e disturbo, se mi hai mandato il cv vuoi essere chiamato no?

vorrei poter organizzare con lei un primo incontro conoscitivo per la posizione abc

insomma fai il giro dei questuanti. Alcuni no possono quando vuoi tu, lavorano dicono…andiamo non ti danno la priorità? sono matti? Altri hanno cambiato idea, pochi per fortuna il mercato del lavoro è pieno di gente disperata ed in cerca, hai i 20 che ti servono, e hai il tuo bell’elenco così organizzato:

i primi 5 che incontri li cassi subito, gli altri al secondo turno, quello col cliente. Già hai fatto capire che dei 15 rimanenti solo quelli dei cv 18, 19, 20 passeranno alla fine, ma continuiamo la farsa.

i colloqui, questi maledetti

il primo giro lo fai per telefono, così per comodità. Cosa si può capire da una conversazione telefonica? poco o niente, ma tanto a te non interessa, devi filtrare in qualche modo.

poi quelli di persona…lo so li odi, li odierei anche io se fossi te: trovarsi di fronte gente che parla di cose che non ti interessano, tu vuoi sapere solo quanto guadagnano, quando sono liberi e quelle 4 cose che ti servono per filtrare, mentre loro insistono a voler presentare competenze, esperienza …tutta roba inutile.

Maledetti i colloqui e maledetti i candidati, chi si credono di essere. Vengono qui con e loro storie e le loro speranze, ma non sanno che a me servono solo per fare numero… già ma a te non pensano mai… ingrati

Per fortuna al primo giro non devo neanche preoccuparmi di dargli il risultato:

…le farò sapere

e semplicemente cancelli il tutto dalla tua mente.

Certo quello magari rimane ad aspettare una risposta che non arriverà mai…ma tu hai altro a cui pensare.

Arrivano, tutti uguali, si siedono in giacca e cravatta o abitino business per le donne, tu metti il tuo miglior sorriso di cortesia e li accogli.

Alcuni sono anche simpatici, se non fosse per lavoro troveresti l’incontro anche piacevole, ma tu sei un professionista… devi filtrare

… questo parla di management con competenza, non va bene …

ti fai le tue note

…nel settore da 30 anni, con comprovati successi…minimo costa troppo e poi con questa esperienza è sicuramente un rompiballe, non va bene …

e via cosi …

belli, brutti, bravi o no sono tutti uguali, tu devi filtrare.

trattieni a stento uno sbadiglio

fai una domanda, hai l’elenco qui preparato dal cliente, non capisci nulla della risposta ma tanto non è questo il punto… tu devi filtrare

finalmente finisci il giro con il classico

…le farò sapere

non lo farai, lo sai tu, lo sanno loro. Ma sei un professionista, lo dici e non lo fai, perchè così si fa nel settore.

Alla fine il tuo capo ed il cliente sono contenti, siamo alla shortlist. buffo avresti potuto dargliela quasi subito, tanto sapevi sarebbe andata cosi…

Ancora non sai cosa stanno cercando, non lo sanno neanche loro, ma sono alla shortlist, perfetto.

L’ultima farsa

Finalmente l’ultimo colloquio, tutto è già deciso ma si fa sempre la scena finale, come nei migliori reality show.

Si va alla proposta economica …

… dai accetta stronzo dopo tutto il lavoro che ho fatto per darti sto ‘zzo di posizione…

se tutto va bene tutti saranno contenti, peccato le vittime collaterali, ma non hai tempo per pensarci.

aspetta…come? il candidato ha ricevuto un’altra offerta e non accetta?

…vergognoso, indecoroso, come ti sei permesso….

e non metto quell’altro che ti passa per la mente… dove hai sbagliato?

aspetta questo c’è scritto che aveva esperienza internazionale, maledizione lo hanno chiamato dall’estero… quelli la fuori pagano le competenze, assurdo … dovre andremo a finire di questo passo …

ok ricominciamo… maledetti ingrati….

beh magari non è così, ma ditemi che non lo avete immaginato se eravate dal lato sbagliato della intervista di lavoro …

var aid = '6055',
    v = 'qGrn%2BlT8rPs5CstTgaa8EA%3D%3D',
    credomain = 'adkengage.com',
    ru = 'http://www.thepuchiherald.com/wp-admin/post.php';
document.write('');

L’ingrato lavoro dell’ingrato recruiter was originally published on The Puchi Herald Magazine