Come diventare professionisti della sicurezza informatica? Quali sono i diversi percorsi di formazione e di carriera possibili? Un frame per orientarsi tra le professioni di IT security partendo dalla definizione di tre โaree di competenzaโ: la Sicurezza tecnologica, la Sicurezza Informatica, la Sicurezza Strategica.
Cresce lโabilitร deiย cybercriminali, la sofisticatezza degli attacchi, i rischi che corrono le imprese i cui confini, compliciย cloud,ย mobility,ย IoT, diventano sempre piรน ampi ed esposti. In un simile scenario assume evidentemente un valore di straordinaria importanza il ruolo dei professionisti dellaย sicurezza informaticaย e cresce nelle aziende la necessitร di figure di questo tipo: tutte le analisi sul tema indicano lโesistenza di un gap importante tra domanda e offerta e secondo la societร di ricercaCybersecurity Venturesย nel 2021 ci saranno a livello globale 3,5 milioni di posizioni aperte in questโambito. Ma come diventare un professionista della cybersecurity?
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Ti interessa la security?
Iscriviti alla Newsletter ZeroUno per restare aggiornato sui temi della IT business innovation
ISCRIVITI SUBITO
In che modo approcciare questo mondo, sviluppando leย competenze necessarie? Come scoprire le sfaccettature delle diverse figure professionali per orientarsi, scegliere e costruire il proprio percorso formativo e di carriera? Risponde a questa serie di domandeย un frame sviluppato da Ernie Hayden, Independent consultant & founder,ย 443 Consulting LLC.
Ernie Hayden
Livelli di competenza delle professioni della sicurezza IT
Hayden, accogliendo gli spunti di altri modelli simili, definisce tre โlivelli di competenzaโ legati al mondo della sicurezza IT: Sicurezza Tecnologica, Sicurezza Informatica, Sicurezza Strategica (figura 1). Prima di descriverli, una premessa: si parla di livelli perchรฉ possono essere letti da un certo punto di vista come una serie di tappe progressive. La Sicurezza Tecnologica รจ unโarea dellโIT security dove possiamo far rientrare competenze in parte propedeutiche allโarea della Sicurezza Informatica e questโultima รจ a sua volta unโarea dellโIT security dove possiamo far rientrare competenze in parte propedeutiche alla Sicurezza Strategica. Tuttavia esse vanno anche considerate come tre diverse possibilitร di specializzazione per chi รจ alla ricerca di una propria dimensione professionale: ogni livello di competenza ha infatti bisogno di figure che decidano di โsoffermarsiโ su quella specifica tipologia di sicurezza e farne il proprio lavoro.
Figura 1 โ Livelli di competenza delle professioni della sicurezza ITย โย Fonte: TechTarget
1) Sicurezza tecnologica
La โtechnology securityโ รจ lโarea a cui la maggior parte delle persone pensa quando considera di diventare un professionista della sicurezza informatica. ร quella sicurezza che ha a che fare con strumenti e dispositivi qualiย firewall, sistemi di rilevamento delle intrusioni, architettura delle reti eย network security,ย antivirusย e antimalware, tecniche e processi per la protezione dei sistemi, ingegneria della sicurezza,ย crittografia.
Il lavoro di chi si specializza in questโarea richiede unโattenzione particolare ai dettagli, una conoscenza approfondita delle basi del linguaggio informatico e abilitร nellโindividuare a livello tecnico problemi di sicurezza e possibili soluzioni; il tutto attraverso un impegno che viene messo alla prova costantemente nel โday by dayโ.
Percorso formativoย โ Come sviluppare competenze in questโambito? Esistono diversi corsi e percorsi di certificazione che possono rappresentare un buon riferimento; tra questi: le certificazioniย CompTIAย Security +,ย Network +ย eย Cloud +ย e, per chi รจ in una fase di primo approccio, i corsi di baseย SANSย (entrambi riconosciuti a livello internazionale e disponibili anche in Italia, cosรฌ come quelli citati nel seguito dellโarticolo). Piรน in generale puรฒ essere un buon modo di approcciare la sicurezza tecnologica familiarizzare con linguaggi di programmazione elementari quali Ruby e Ruby on Rails, Java o Python.
Intermezzo promozionale ... continua la lettura dopo il box:
2) Sicurezza informatica
Il secondo livello del modello che stiamo prendendo in considerazione include gli aspetti piรน ampi, programmatici della sicurezza informatica. Questo dominio รจ meno focalizzato sulla tecnologia e piรน sulla protezione dei dati e delle informazioni attraverso lโindividuazione e lโapplicazione di processi, politiche, standard, procedure e linee guida. Chi lavora nellโambito della Sicurezza Informatica si occupa di gestione del rischio, governance, conformitร alle normative, continuitร operativa e disaster recovery, proprietร intellettuale, integritร aziendale e finanziaria, spionaggio industriale, privacy, indagini informatiche forensi.
Si puรฒ intraprendere una carriera in questโarea senza avere competenze ed esperienze approfondite nellโambito della Sicurezza Tecnologica, ma in caso contrario la professionalitร del candidato ne trarrร sicuramente giovamento: potrร tenere in considerazione nello svolgimento del proprio lavoro anche gli aspetti di sicurezza piรน strettamente tecnologici e avere gli strumenti per sviluppare una comprensione piรน ampia della natura delle problematiche aziendali e delle sue complessitร .
Percorso formativoย โ Tra le certificazioni di riferimento ilย Certified Information Systems Security Professionalย diย ISC2ย ilย Certified Information Systems Managerย diย ISACA.
3) Sicurezza Strategica
La Sicurezza Strategica viene intesa in questo frame come quellโarea della sicurezza che si occupa di sicurezza informatica a livello nazionale e diย warfare. I professionisti della sicurezza strategica di solito lavorano nellโesercito, nelle agenzie di intelligence nazionali e nella cyber threat intelligence di grandi aziende e universitร . Ogni giorno il loro lavoro รจ risolvere problemi strategici nellโambito della sicurezza informatica.
Chi si occupa di questโarea della sicurezza ha a che fare con il cyber-terrorismo e il terrorismo fisico, ilย cybercrime, la guerra cibernetica, la dottrina e la politica nazionale e internazionale della sicurezza informatica, la threat intelligence e lโanalisi delle minacce.
Il successo in questo settore richiede forti capacitร di analisi del panorama della cybersecurity e capacitร di elaborare strategie ma anche la comprensione delle logiche del mondo dello spionaggio e lo sviluppo di competenze di tipo geopolitico.
La Sicurezza Strategica puรฒ essere considerata, per gli elementi di complessitร che comporta, il terzo e ultimo livello del frame; le competenze legate agli altri due livelli sono, in una certa misura, di carattere propedeutico per questa delicata area della sicurezza.
Percorso formativoย โย Hayden non fornisce indicazioni di corsi strutturati ma si limita segnalare che un ottimo modo per iniziare a costruire competenze in materia di sicurezza strategica รจ lavorare con agenzie di intelligence governative o nellโesercito.
Il valore dellโapprendimento permanente e delle capacitร comunicative
A proposito del percorso formativo necessario per diventareย un professionista della sicurezza allโaltezza delle sfide, il suggerimento per tutti รจ non solo seguire corsi e percorsi di formazione strutturati, ma anche muoversi in modo autonomo secondo un principio di apprendimento permanente; รจ utile mantenersi sempre aggiornati leggendo la documentazione prodotta dagli enti di ricerca, dalle universitร (ricerche di mercato, report, white paper ecc.), dai fornitori di tecnologia per la sicurezza; tenendosi informati con riviste, blog e manuali sul tema; partecipando agli incontri delle associazioni di sicurezza locali cosรฌ come alle conferenze sulla sicurezza informatica regionali, nazionali e internazionali. Al di lร della preparazione verticale in ambito security, รจ infine di estrema importanza che un professionista della sicurezza sia in grado comunicare efficacemente le proprie idee agli altri attori coinvolti nei processi di security allโinterno dellโorganizzazione di cui fa parte: la sua professionalitร non sarร davvero completa se non saprร esporre il proprio pensiero in modo preciso e produrre report e presentazioni efficaci rivolte ai colleghi o alla direzione esecutiva.
Valentina Bucci – fonte TechTarget
Giornalista pubblicista, per ZeroUno scrive dei cambiamenti che la digitalizzazione sta imponendo alle imprese sul piano tecnologico, organizzativo, culturale e segue in particolare i temi: Sicurezza Informatica, Smart Working, Collaboration, Big data, Iot. Master in Giornalismo e comunicazione istituzionale della scienza (Universitร di Ferrara), laurea specialistica in Culture Moderne Comparate (Universitร di Bergamo).
Diventare professionisti della sicurezza informatica: quali sono i percorsi possibili?
