Come supplire alla mancanza di skill nel mondo della sicurezza

Riprendiamo un tema già trattato perché riteniamo di cruciale importanza sensibilizzare le aziende sulle problematiche legate alla protezione dei loro dati. Anche perché la presenza all’interno delle imprese di una figura dedicata all’information security è richiesta per legge.

Ci troviamo in un periodo storico in cui la sicurezza informatica è entrata a forza nel ciclo biologico delle aziende. Questo significa che, volenti o nolenti, gli imprenditori devono valutare seriamente le metodiche di gestione dell’information security nelle loro strutture.


Il motivo di questo è duplice. Da un lato è la legge a imporre, di fatto, la presenza di una figura direttamente responsabile della sicurezza informatica, sia dal punto di vista civilistico sia da quello penalistico. Dall’altro le operazioni legate, per esempio, alla gestione degli incidenti, richiedono un contributo preventivo e post accadimento, da parte di personale fondamentalmente operante con cognizione di causa.


Il personale di cui sopra può o meno lavorare per conto di un outsourcer, ma a prescindere dalla predetta condizione, deve essere dotato di uno skill comprovato e verificabile.


Allo stato attuale le piccole medie imprese (soprattutto le seconde) sono costrette a gestire l’"emergenza security skill", mediante delle manovre di riconversione del personale al quale si richiede di frequentare degli appositi cicli di training. L’addestramento del personale può essere effettuato in vari modi. Alcune aziende lo richiedono di tipologia "on site", in quanto ritengono, per la riservatezza degli argomenti trattati, che una personalizzazione del percorso di studi possa migliorare in maniera costruttiva il collaboratore sul quale si è investito. Se un approccio di questo genere potrebbe anche risultare condivisibile, di contro c’è che, proprio a causa della forte personalizzazione del ciclo di studi, si corre il rischio di andare fuori standard. Questo aspetto, potenzialmente negativo, può maggiormente interessare l’operatore che, in caso di passaggio ad altra azienda, corre il rischio di aver seguito un piano di formazione poco flessibile.

Parola d’ordine: trasversalità


L’alternativa a un ciclo di studi come quello testé citato è un training con un ambito disciplinare ben definito, ma non per questo poco flessibile. Solitamente si progetta un corso guardando alla figura professionale che ne dovrà essere il risultato. Ecco, quindi, che si iniziano a vedere i primi corsi per Infosecurity manager/Officer, Auditor, Pentester (i cosiddetti ethical hacker, per intenderci) e via dicendo. Ognuno di questi percorsi può presentare delle prerogative differenti tra un erogatore e un altro. Gran parte dello sforzo praticato dal cliente, quindi, sarà fare il bilancio tra offerta di know how, costi e potenziale rientro dell’investimento. Per questo motivo sono sempre di più i clienti che preferiscono puntare sulla trasversalità, cioè su un ciclo di training in grado di fornire un’overview, anche approfondita, ma su più aspetti, detti anche "BoK" (Body of Knowledge) da approfondire successivamente anche in maniera autonoma.


A prescindere dal tipo di "indirizzo" tecnico prescelto, appare estremamente consigliabile valutare un programma bilanciato tra teoria e pratica. Quest’ultima può anche non essere costituita dal cosiddetto "laboratorio puro", cioè dall’hands on a tutti i costi, bensì anche da processi simulati di alto livello, come, per esempio, una procedura di auditing, di architecture design e via dicendo. Alcuni training provider hanno adottato questa formula nell’erogazione di corsi "misti", cioè parte online e parte effettuata a mezzo di simulazioni. In questo modo il cliente ha il risparmio di costi dato dall’erogazione della teoria da remoto e, al contempo, il massimo rendimento mediante l’effettuazione delle sessioni pratiche. Altro consiglio: se si sta valutando la formazione di una figura manageriale legata alla sicurezza informatica (per esempio un infosecurity manager/officer) si opti per un piano di studi che comprenda anche una parte legale. Un operatore di questo genere deve certamente far suo un Body of Knowledge tecnico ma, avendo delle responsabilità normative ben definite, anche la parte legale deve essere estremamente curata.


Un’ultima considerazione (ma non per questo meno importante delle altre) va effettuata in ordine ai corsi per Ethical Hacker. Sono molti gli istituti di training, operanti in Italia, che basano la loro politica di marketing sul motto "puoi difenderti se sai attaccare".


A prescindere da semplici paragoni calcistici, riteniamo che questo detto non sempre sia vero, e che, in questo tipo di classe si possa facilmente cedere all’eccesso. A tal fine, quindi, suggeriamo un’attenta valutazione di programma e istruttore, semplicemente per evitare di andare a scuola di "lamer", un soggetto, cioè, che crede di essere un hacker vero, ma non è dotato di skll. Usa strumenti scritti da altri e, tra l’altro, non comprende i danni che fa.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome