Riprendiamo un tema già trattato perché riteniamo di cruciale importanza sensibilizzare le aziende sulle problematiche legate alla protezione dei loro dati. Anche perché la presenza all’interno delle imprese di una figura dedicata all’information security è richiesta per legge.
Ci troviamo in un periodo storico in cui la sicurezza informatica è entrata a forza nel ciclo biologico delle aziende. Questo significa che, volenti o nolenti, gli imprenditori devono valutare seriamente le metodiche di gestione dellinformation security nelle loro strutture.
Il motivo di questo è duplice. Da un lato è la legge a imporre, di fatto, la presenza di una figura direttamente responsabile della sicurezza informatica, sia dal punto di vista civilistico sia da quello penalistico. Dallaltro le operazioni legate, per esempio, alla gestione degli incidenti, richiedono un contributo preventivo e post accadimento, da parte di personale fondamentalmente operante con cognizione di causa.
Il personale di cui sopra può o meno lavorare per conto di un outsourcer, ma a prescindere dalla predetta condizione, deve essere dotato di uno skill comprovato e verificabile.
Allo stato attuale le piccole medie imprese (soprattutto le seconde) sono costrette a gestire l"emergenza security skill", mediante delle manovre di riconversione del personale al quale si richiede di frequentare degli appositi cicli di training. Laddestramento del personale può essere effettuato in vari modi. Alcune aziende lo richiedono di tipologia "on site", in quanto ritengono, per la riservatezza degli argomenti trattati, che una personalizzazione del percorso di studi possa migliorare in maniera costruttiva il collaboratore sul quale si è investito. Se un approccio di questo genere potrebbe anche risultare condivisibile, di contro cè che, proprio a causa della forte personalizzazione del ciclo di studi, si corre il rischio di andare fuori standard. Questo aspetto, potenzialmente negativo, può maggiormente interessare loperatore che, in caso di passaggio ad altra azienda, corre il rischio di aver seguito un piano di formazione poco flessibile.
Parola dordine: trasversalità
Lalternativa a un ciclo di studi come quello testé citato è un training con un ambito disciplinare ben definito, ma non per questo poco flessibile. Solitamente si progetta un corso guardando alla figura professionale che ne dovrà essere il risultato. Ecco, quindi, che si iniziano a vedere i primi corsi per Infosecurity manager/Officer, Auditor, Pentester (i cosiddetti ethical hacker, per intenderci) e via dicendo. Ognuno di questi percorsi può presentare delle prerogative differenti tra un erogatore e un altro. Gran parte dello sforzo praticato dal cliente, quindi, sarà fare il bilancio tra offerta di know how, costi e potenziale rientro dellinvestimento. Per questo motivo sono sempre di più i clienti che preferiscono puntare sulla trasversalità, cioè su un ciclo di training in grado di fornire unoverview, anche approfondita, ma su più aspetti, detti anche "BoK" (Body of Knowledge) da approfondire successivamente anche in maniera autonoma.
A prescindere dal tipo di "indirizzo" tecnico prescelto, appare estremamente consigliabile valutare un programma bilanciato tra teoria e pratica. Questultima può anche non essere costituita dal cosiddetto "laboratorio puro", cioè dallhands on a tutti i costi, bensì anche da processi simulati di alto livello, come, per esempio, una procedura di auditing, di architecture design e via dicendo. Alcuni training provider hanno adottato questa formula nellerogazione di corsi "misti", cioè parte online e parte effettuata a mezzo di simulazioni. In questo modo il cliente ha il risparmio di costi dato dallerogazione della teoria da remoto e, al contempo, il massimo rendimento mediante leffettuazione delle sessioni pratiche. Altro consiglio: se si sta valutando la formazione di una figura manageriale legata alla sicurezza informatica (per esempio un infosecurity manager/officer) si opti per un piano di studi che comprenda anche una parte legale. Un operatore di questo genere deve certamente far suo un Body of Knowledge tecnico ma, avendo delle responsabilità normative ben definite, anche la parte legale deve essere estremamente curata.
Unultima considerazione (ma non per questo meno importante delle altre) va effettuata in ordine ai corsi per Ethical Hacker. Sono molti gli istituti di training, operanti in Italia, che basano la loro politica di marketing sul motto "puoi difenderti se sai attaccare".
A prescindere da semplici paragoni calcistici, riteniamo che questo detto non sempre sia vero, e che, in questo tipo di classe si possa facilmente cedere alleccesso. A tal fine, quindi, suggeriamo unattenta valutazione di programma e istruttore, semplicemente per evitare di andare a scuola di "lamer", un soggetto, cioè, che crede di essere un hacker vero, ma non è dotato di skll. Usa strumenti scritti da altri e, tra laltro, non comprende i danni che fa.