Con l’evoluzione del panorama delle minacce informatiche, i rischi delle risorse digitali e delle infrastrutture critiche si espandono rapidamente. Va da sé che professionisti qualificati nei settori della gestione e controllo, nonché della sicurezza delle informazioni, in grado non solo di anticipare e mitigare il rischio, ma ancor prima di comprendere le tecnologie impiegate, sono molto apprezzati.
Sotto questo aspetto, sono due le linee direttrici su cui è necessario concentrarsi: la sicurezza informatica e la tutela dei dati personali. Vediamo alcune tra le più note ed accreditate certificazioni in ambito cyber security e data protection, fornendo spunti e suggerimenti per venire incontro, in un’ottica di formazione continua, alla crescente domanda di competenze informatiche.
Indice degli argomenti
Certificazioni vendor neutral e vendor specific
Le certificazioni informatiche sono generalmente distinte in due categorie: vendor neutral e vendor specific. Con il termine vendor neutral ci si riferisce alle certificazioni non direttamente associate ai prodotti e servizi di specifici fornitori IT. Così, ad esempio, in ambito cloud una certificazione vendor neutral mirerà a verificare la conoscenza dell’applicazione di principi di sicurezza nel cloud in generale, nelle sue varie implementazioni; viceversa, nelle certificazioni cloud di Amazon (vendor specific) sarà verificata la conoscenza e capacità di implementare istanze e architetture AWS.
Le certificazioni vendor neutral, pertanto, forniscono competenze più concettuali che, tuttavia, lungi dall’essere generiche, sono applicabili ad un più vasto range di situazioni. Il necessario risvolto della medaglia è la mancanza di verticalità tipica delle certificazioni vendor, l’utilità delle quali si giustifica, in particolare, qualora sia essenziale la conoscenza del funzionamento dei prodotti o servizi dello specifico fornitore.
Prioritizzare i controlli di sicurezza informatica in azienda: best practice
Certificazioni entry level
Nell’ambito delle certificazioni IT entry level, l’organizzazione statunitense CompTIA, con sede a Downers Grove (Illinois), occupa da molti anni un posto d’eccellenza. Essa propone certificazioni vendor-neutral strutturate secondo un percorso suddiviso in due aree di specializzazione (infrastructure pathway e cybersecurity pathway). CompTIA è innanzitutto nota per la sua certificazione CompTIA A+, forse la certificazione IT genric purpose più conseguita in assoluto, con oltre 1 milione di soggetti certificati in tutto il mondo e l’accreditamento dall’American National Standards Institute (ANSI) ottenuto nel 2008.
Analogamente, Google, nell’ambito del suo più ampio progetto Grow with Google, propone l’IT Support Certificate che ricalca pressoché gli stessi domini di competenza dell’A+. Inoltre, contrariamente alle più celebri certificazioni di Google in ambito cloud, l’IT Support Certificate può considerarsi sostanzialmente vendor-neutral, vista la neutralità dei contenuti formativi rispetto ai prodotti e servizi Google.
L’A+ e l’IT Support Certificate mirano a formare IT specialist in grado di comprendere e gestire, ad un livello base, le tecnologie ed architetture informatiche più diffuse. Nel campo vendor-specific, invece, troviamo certificazioni come la Cisco Certified Technician (CCT) del programma formativo incentrato sul networking di CISCO, nonché le certificazioni di Microsoft contrassegnate con il termine “fundamentals” (ad es.: Microsoft Certified: Security, Compliance, and Identity Fundamentals, Microsoft 365 Certified: Fundamentals, Microsoft Certified: Power Platform Fundamentals). Tali certificazioni hanno un approccio più verticale e risultano particolarmente utili se l’azienda ha adottato o intende adottare le tecnologie dei fornitori in questione.
IT Management e cyber security: (ISC)2
L’International Information System Security Certification Consortium (ISC)2 rappresenta una delle organizzazioni più apprezzate e rinomate nel settore della formazione dei professionisti della sicurezza informatica. In particolare, la certificazione Certified Information Systems Security Professional (CISSP) è da molti ritenuta come the gold standard of information security, venendo richiesta come requisito essenziale per la partecipazione del personale ad alcuni progetti particolarmente delicati in ambito di sicurezza.
Si sottolinea che si tratta comunque di una certificazione rivolta a manager di sicurezza informatica e non a puri tecnici. Pertanto, tematiche specifiche quali, ad esempio, la configurazione delle porte di un firewall, non rientrano nel perimetro della certificazione perché ritenute assodate ad un livello più alto. Il CISSP è suddiviso in otto domini di competenza (Security and Risk Management, Asset Security, Security Architecture and Engineering, Communications and Network Security, Identity and Access Management, Security Assessment and Testing, Security Operations, Software Development Security) ed è una delle poche certificazioni riconosciute dal ministero della difesa statunitense (direttive DoDD 8570.01 M e DoDD 8140) per l’accreditamento del personale nei ruoli IAT, IAM e IASAE ad un livello 3 (il massimo previsto).
ISACA
L’Information Systems Audit and Control Association (ISACA), attiva dal 1969, è una delle più storiche associazioni che riunisce professionisti del campo dell’information technology e fornisce certificazioni del personale principalmente in ambito IT audit, governance, management e cybersecurity.
ISACA è nota soprattutto per le certificazioni:
- Certified Information Systems Auditor (CISA), prima certificazione dell’ISACA, attiva dal e 1978 dedicata agli auditor di sistemi informativi (riconosciuta per i ruoli IAT Level III e CSSP Auditor dal DoDD 8570);
- Certified Information Security Manager (CISM), assegnata ai manager con almeno cinque anni di esperienza sul campo (riconosciuta pressoché equivalente al CISSP di ISC2);
- Certified in Risk and Information Systems Control (CRISC), per i professionisti con esperienza nell’ambito della gestione dei rischi IT.
Inoltre, ISACA è fautrice del framework COBIT (Control Objectives for Information and Related Technologies), solo in parte sovrapponibile ad ITIL, per il governo e la gestione efficiente della funzione IT.
SANS Institute e GIAC
SANS Institute è un’organizzazione statunitense che opera nel campo della formazione dei professionisti della cybersecurity ed è rinomata per i suoi corsi hands-on, a carattere estremamente tecnico e professionalizzante. SANS non certifica direttamente le competenze ma ha costituito un organismo indipendente per la valutazione dei professionisti: il Global Information Assurance Certification (GIAC). GIAC mantiene un considerevole numero di certificazioni, molto specifiche, raggruppate in sei main focus areas (Cyber Defense, Offensive Operations, Digital Forensics & Incident Response, Cloud Security, Management, Legal & Audit, Industrial Control Systems).
Le certificazioni GIAC, dato l’elevato costo ed il livello tecnico richiesto, sono perseguite come step finale di perfezionamento rispetto ad una formazione già specialistica. Queste certificazioni godono forse della migliore reputazione sul mercato per la loro capacità di garantire la preparazione del professionista rispetto ai domini di competenza accertati.
Offensive Security
Offensive Security è una società americana che dal 2006 opera nel settore della sicurezza informatica, con particolare riferimento all’ambito del penetration testing, divenuta celebre per alcuni progetti open source di successo, fra cui la distribuzione linux Kali linux ed il database ExploitDB. Offensive Security, inoltre, mantiene una serie di certificazioni in ambito cybersecurity. Tra di esse la più nota è senza dubbio l’Offensive Security Certified Professional (OSCP), che valuta le capacità di penetration testing attraverso l’uso dei tool di Kali linux. In particolare, l’esame di certificazione – noto per la sua difficoltà – richiede ai candidati di individuare e sfruttare le vulnerabilità dei sistemi informatici presentati in ambiente virtuale (virtual lab) durante un percorso di valutazione che dura 24h.
L’OSCP è altamente rispettato nell’industry in ragione della difficoltà tecnica delle prove d’esame e la capacità delle stesse di valutare in modo effettivo le competenze pratiche dei penetration tester. Offensive Security ha la fama di non voler facilitare i candidati delle sue certificazioni con guide e materiali user friendly preferendo piuttosto spronarli verso un atteggiamento di ricerca autonoma e motivata della soluzione ai problemi sottoposti, nel pieno rispetto del motto try harder.
IAPP
L’International Association of Privacy Professionals (IAPP), con sede a Portsmouth (New Hampshire), rappresenta la principale associazione internazionale dei professionisti della privacy e, dal 2000, anno della sua fondazione, costituisce il punto di riferimento per best pratice, standard e attività divulgative di informazione in ambito privacy e data protection.
IAPP valuta le competenze legali, manageriali e tecnico-informatiche dei professionisti della privacy e della protezione dei dati personali. I percorsi di certificazioni di IAPP sono strutturati conseguentemente con il:
- Certified Information Privacy Professional (CIPP), per l’area legale, ulteriormente suddiviso a secondo dell’area geografica di riferimento delle normative privacy (Europe, US, Canada, Asia);
- Certified Information Privacy Manager (CIMP), riferita, come suggerisce il nome, ai manager della privacy e quindi con un particolare focus agli aspetti gestionali in ambito aziendale;
- Certified Information Privacy Tecnician (CIPT), indirizzata più tipicamente a tecnici ed ingegneri informatici ma anche a tutti quei professionisti e manager che debbano confrontarsi con funzioni più operative.
Axelos
Axelos è una joint venture di natura societaria, nata dall’iniziativa del governo britannico e di una società di consulenza, costituita allo scopo di gestire e rendere operative metodologie di gestione e best practice nelle diverse realtà d’impresa. L’Information Technology Infrastructure Library (ITIL) riunisce un’insieme di best pratice, codificate già a partire dagli anni ‘80 (e continuamente aggiornate), per la gestione dei sistemi informativi e dei servizi IT, affinché gli stessi siano e rimangano funzionali alle strategie dell’impresa generando valore. In questo senso, molti sono i punti di contatto con lo standard ISO/IEC 20000 ed il framework COBIT di ISACA.
Lo schema di certificazione ITIL 4 propone diversi livelli di competenza, suddivisi in Foundation, Managing Professional, Strategic Leader e Master, che il professionista può dimostrare di aver acquisito sostenendo i relativi esami di certificazione. Axelos fornisce anche altri percorsi di certificazione, specialmente in materia di Project management, fra cui forse il più celebre è PRINCE2 (PRojects IN Controlled Environments), adottato da enti ed aziende in più di 220 nazioni.
Ec-council
La Certified Ethical Hacker (C|EH o CEH) rappresenta forse la certificazione di Ec-council più diffusa e nota al grande pubblico ed è riconosciuta dal Ministero della difesa statunitense per l’accreditamento del personale nei ruoli di CSSP Analyst, Infrastructure Support, Incident Responder ed Auditor. Negli ultimi anni, tuttavia, la certificazione è stata oggetto di molteplici critiche da parte della community degli esperti, in quanto accusata di sfornare “hacker teorici”, privi delle competenze pratiche che costituiscono l’essenza stessa della figura dell’hacker o penetration tester. Con la versione n. 11 della certificazione, Ec-council ha cercato di fornire una risposta riformando la certificazione ed introducendo più prove pratiche nell’esame di certificazione.
Ciononostante, Ec-council rimane una delle organizzazioni più apprezzate sul mercato in quanto grado di fornire svariati percorsi formativi e certificativi di competenze, fra cui la Certified Chief Information Security Officer (C|CISO) e la Certified Hacking Forensic Investigator (C|HFI), entrambe riconosciute dal DoDD 8570.
DAMA
La DAta Management Association (DAMA) è un’associazione indipendente, con capitoli diffusi in tutto il mondo, che si occupa dello sviluppo di modelli, politiche, procedure, linee guida per la gestione del ciclo di vita di dati ed informazioni nelle imprese. Il progetto di formazione è focalizzato al rilascio della qualificazione di Certified Data Management Professional (CDMP) secondo un sistema di progressione a livelli (complessivamente sono previsti quattro livelli: associate, practitioner, master e fellow) cui corrispondono un maggiore livello di difficoltà d’esame ed un maggiore numero di anni di comprovata esperienza nel settore.
Gestione e controllo degli asset informativi nel Cloud
Nell’ambito dei temi della gestione, controllo e sicurezza delle informazioni nelle architetture cloud, numerosi sono gli enti ed associazioni, di vario genere, che hanno costituito certificazioni ad hoc. Tuttavia, per onor di sintesi, si riportano solo quelli che, a nostro avviso, hanno raggiunto maggiore notorietà:
- l’organizzazione Cloud Computing Alliance, con i propri Certificate of Cloud Security Knowledge (CCSK) e Certificate of Cloud Auditing Knowledge (CCAK);
- (ISC)2, con il Certified Cloud Security Professional (CCSP);
- CompTIA Cloud+, dedicata a chi deve apprendere i fondamentali del cloud.
Inoltre, anche se a carattere vendor-specific, non si possono non citare, in ragione della loro recente e ampia diffusione i percorsi di certificazione cloud:
- Amazon AWS;
- Google Cloud;
- Microsoft Azure;
raccomandabili, nella certificazione entry level di ciascun percorso, a professionisti e manager che si debbano confrontare con le architetture cloud di uno di questi provider.
Conclusioni
Nell’attuale scenario in continua evoluzione, sia dal punto di vista delle tecnologie che delle minacce informatiche, il tema del rafforzamento della c.d. first line of defence, ovverosia le persone, attraverso la formazione continua, è di primaria importanza.
Le certificazioni informatiche nell’ambito della gestione e controllo degli asset informativi, nonché in materia di cyber sicurezza, si pongono come strumento di integrazione e validazione dell’esperienza di professionisti e manager, nell’ottica del continuo miglioramento delle risorse umane.
