Cresce l’abilità dei cybercriminali, la sofisticatezza degli attacchi, i rischi che corrono le imprese i cui confini, complici cloud, mobility, IoT, diventano sempre più ampi ed esposti. In un simile scenario assume evidentemente un valore di straordinaria importanza il ruolo dei professionisti della sicurezza informatica e cresce nelle aziende la necessità di figure di questo tipo: tutte le analisi sul tema indicano l’esistenza di un gap importante tra domanda e offerta e secondo la società di ricerca Cybersecurity Ventures nel 2021 ci saranno a livello globale 3,5 milioni di posizioni aperte in quest’ambito.
Come diventare professionisti della sicurezza informatica?
In che modo approcciare questo mondo, sviluppando le competenze necessarie? Come scoprire le sfaccettature delle diverse figure professionali per orientarsi, scegliere e costruire il proprio percorso formativo e di carriera? Risponde a questa serie di domande un frame sviluppato da Ernie Hayden, Independent consultant & founder, 443 Consulting LLC.
Who's Who
Ernie Hayden
Hayden, accogliendo gli spunti di altri modelli simili, definisce tre “livelli di competenza” legati al mondo della sicurezza IT: Sicurezza Tecnologica, Sicurezza Informatica, Sicurezza Strategica (figura 1). Prima di descriverli, una premessa: si parla di livelli perché possono essere letti da un certo punto di vista come una serie di tappe progressive.
Lavorare nella sicurezza informatica, da dove iniziare
La Sicurezza Tecnologica è un’area dell’IT security dove possiamo far rientrare competenze in parte propedeutiche all’area della Sicurezza Informatica. E quest’ultima è a sua volta un’area dell’IT security dove possiamo far rientrare competenze in parte propedeutiche alla Sicurezza Strategica.
Tuttavia esse vanno anche considerate come tre diverse possibilità di specializzazione per chi è alla ricerca di una propria dimensione professionale. Ogni livello di competenza ha infatti bisogno di figure che decidano di “soffermarsi” su quella specifica tipologia di sicurezza e farne il proprio lavoro.
Sicurezza tecnologica, dal firewall in poi
La “technology security” è l’area a cui la maggior parte delle persone pensa quando si considera di diventare professionisti della sicurezza informatica. È quella sicurezza che ha a che fare con strumenti e dispositivi quali firewall, sistemi di rilevamento delle intrusioni, architettura delle reti e network security, antivirus e antimalware, tecniche e processi per la protezione dei sistemi, ingegneria della sicurezza, crittografia.
Il lavoro di chi si specializza in quest’area richiede un’attenzione particolare ai dettagli. E inoltre una conoscenza approfondita delle basi del linguaggio informatico e abilità nell’individuare a livello tecnico problemi di sicurezza e possibili soluzioni; il tutto attraverso un impegno che viene messo alla prova costantemente nel “day by day”.
Percorso formativo
Come sviluppare competenze in quest’ambito? Esistono diversi corsi e percorsi di certificazione che possono rappresentare un buon riferimento. Tra questi: le certificazioni CompTIA Security +, Network + e Cloud +. Per chi è in una fase di primo approccio, i corsi di base SANS (entrambi riconosciuti a livello internazionale e disponibili anche in Italia. Più in generale può essere un buon modo di approcciare la sicurezza tecnologica familiarizzare con linguaggi di programmazione elementari quali Ruby e Ruby on Rails, Java o Python.
Sicurezza informatica e protezione dei dati
Il secondo livello del modello che stiamo prendendo in considerazione include gli aspetti più ampi, programmatici della sicurezza informatica. Questo dominio è meno focalizzato sulla tecnologia e più sulla protezione dei dati e delle informazioni. E questo attraverso l’individuazione e l’applicazione di processi, politiche, standard, procedure e linee guida. Chi lavora nell’ambito della Sicurezza Informatica si occupa di gestione del rischio, governance, conformità alle normative, continuità operativa e disaster recovery, proprietà intellettuale, integrità aziendale e finanziaria, spionaggio industriale, privacy, indagini informatiche forensi.
Si può intraprendere una carriera in quest’area senza avere competenze ed esperienze approfondite nell’ambito della Sicurezza Tecnologica. Ma in caso contrario la professionalità del candidato ne trarrà sicuramente giovamento. Potrà tenere in considerazione nello svolgimento del proprio lavoro anche gli aspetti di sicurezza più strettamente tecnologici. E avere gli strumenti per sviluppare una comprensione più ampia della natura delle problematiche aziendali e delle sue complessità.
Percorso formativo
Tra le certificazioni di riferimento il Certified Information Systems Security Professional di ISC2. È il Certified Information Systems Manager di ISAC – Information System Audit and Control Association. Si tratta dell’organizzazione no profit che opera nello sviluppo e nella certificazione deglli skill dei professionisti in ambito IT Audit, IT Governance, Information Secuiery & Risk e Cybersecurity.
Sicurezza Strategica
La Sicurezza Strategica viene intesa in questo frame come quell’area della sicurezza che si occupa di sicurezza informatica a livello nazionale e di warfare. I professionisti della sicurezza strategica di solito lavorano nell’esercito, nelle agenzie di intelligence nazionali e nella cyber threat intelligence di grandi aziende e università. Ogni giorno il loro lavoro è risolvere problemi strategici nell’ambito della sicurezza informatica.
Chi si occupa di quest’area della sicurezza ha a che fare con il cyber-terrorismo e il terrorismo fisico, il cybercrime, la guerra cibernetica, la dottrina e la politica nazionale e internazionale della sicurezza informatica, la threat intelligence e l’analisi delle minacce.
Il successo in questo settore richiede forti capacità di analisi del panorama della cybersecurity e capacità di elaborare strategie. Ma anche la comprensione delle logiche del mondo dello spionaggio e lo sviluppo di competenze di tipo geopolitico.
La Sicurezza Strategica può essere considerata, per gli elementi di complessità che comporta, il terzo e ultimo livello del frame. Le competenze legate agli altri due livelli sono, in una certa misura, di carattere propedeutico per questa delicata area della sicurezza.
Percorso formativo
Hayden non fornisce indicazioni di corsi strutturati. Si limita segnalare che un ottimo modo per iniziare a costruire competenze in materia di sicurezza strategica è lavorare con agenzie di intelligence governative o nell’esercito.
Il valore dell’apprendimento permanente e delle capacità comunicative anche per i professionisti della sicurezza
A proposito del percorso formativo necessario per diventare professionisti della sicurezza informatica all’altezza delle sfide, il suggerimento per tutti è non solo seguire corsi e percorsi di formazione strutturati. Ma anche muoversi in modo autonomo secondo un principio di apprendimento permanente. È utile mantenersi sempre aggiornati leggendo la documentazione prodotta dagli enti di ricerca, dalle università (ricerche di mercato, report, white paper ecc.), dai fornitori di tecnologia per la sicurezza; tenendosi informati con riviste, blog e manuali sul tema. Ancora, partecipando agli incontri delle associazioni di sicurezza locali così come alle conferenze sulla sicurezza informatica.
Al di là della preparazione verticale in ambito security, è infine di estrema importanza che un professionista della sicurezza sia in grado comunicare efficacemente le proprie idee agli altri attori coinvolti nei processi di security all’interno dell’organizzazione di cui fa parte. La sua professionalità non sarà davvero completa se non saprà esporre il proprio pensiero in modo preciso. E produrre report e presentazioni efficaci rivolte ai colleghi o alla direzione esecutiva.