formazione

Sicurezza delle informazioni: come formare le competenze che servono

Le informazioni sottostanno a regole e competenze che variano a seconda del ruolo che un soggetto svolge nel circuito della loro diffusione. Allo stesso modo, negli ultimi anni si è assistito a una crescente necessità di sicurezza a tutela dei flussi informativi

Pubblicato il 13 Gen 2023

Cesare Gallotti

Consulente su sicurezza delle informazioni, qualità e privacy

formazione

Negli ultimi anni i requisiti di sicurezza delle informazioni, in particolare di sicurezza informatica o cybersecurity, sono sempre più presenti in norme di legge, regolamenti e capitolati. Allo stesso modo aumentano le verifiche svolte da autorità pubbliche, partner privati e organismi di certificazione.

Questa maggiore presenza della sicurezza delle informazioni ha subito un’accelerazione a partire dal 2018, con l’entrata in vigore della General data protection regulation (GDPR), ma non solo. Un’accelerazione improvvisa che ha creato un gap con le competenze necessarie, tuttora insufficienti per coprire tutte le necessità.

Decreto Trasparenza, gli aspetti privacy che le aziende devono conoscere

Le competenze necessarie

Questo articolo vuole indicare, senza pretesa di essere esaustive, le competenze necessarie per la sicurezza delle informazioni per ruoli e compiti diversi tra loro:

  • organizzazione e processi
  • legale
  • audit
  • tecnologia di progettazione (applicazioni, sistemi e reti)
  • tecnologia di attacco
  • tecnologia di difesa
  • responsabili delle organizzazioni.

È importante osservare che ciascuna specializzazione richiede caratteristiche diverse, è necessaria una buona capacità di relazione per chi si occupa di processi. Le competenze nascono da culture e approcci diversi (l’organizzazione aziendale, il legale, la progettazione dei sistemi informatici, l’hacking), anche se poi devono convergere verso un unico obiettivo.

Organizzazione e processi

Chi si occupa di questo aspetto supporta le organizzazioni, come consulente interno o esterno, nell’ingegnerizzare i processi di un sistema di gestione per la sicurezza delle informazioni nelle sue più ampie declinazioni: gestione del personale, gestione delle identità, dei meccanismi di autenticazione e delle autorizzazioni, gestione degli incidenti, gestione del rischio, gestione della continuità operativa, gestione dei requisiti legali e contrattuali, gestione dei cambiamenti (sistemistici e applicativi), processo di sviluppo sicuro, e quant’altro.

La fonte documentale principale per questo tipo di competenze è lo standard ISO/IEC 27001 ma oggi, quasi tutti gli standard e i framework sulla sicurezza delle informazioni e su quella informatica, richiedono di strutturare correttamente i processi e non solo la tecnologia.

Sono numerose le offerte di formazione disponibili: dai corsi sulla ISO/IEC 27001 (dal lead auditor al lead implementer, alcuni accreditati da Accredia) ad altri, come il CISM di Isaca, associazione internazionale che si occupa della governance IT.

Altre discipline, come la gestione per i servizi (ISO/IEC 20000 e Itil), includono i processi di sicurezza e la relativa formazione che può coprire anche le esigenze di sicurezza.

L’offerta di formazione

Molte università oggi offrono corsi master o di approfondimento sulla sicurezza delle informazioni. Come è logico aspettarsi, i corsi che danno maggiore importanza ai processi sono quelli offerti dalle università di economia. Spesso questi corsi includono anche elementi di tecnologia di base e di legislazione.

Si segnalano tre sotto-discipline specifiche. La prima è quella relativa alla continuità operativa con corsi specifici promossi dal BCI, dal DRI Italy e, se basate sulla ISO 22301, dagli organismi di certificazione. Questo argomento è comunque sempre trattato, anche se non con lo stesso livello di dettaglio, nei corsi dedicati ai processi e all’organizzazione della sicurezza delle informazioni.

Riguardo alla valutazione del rischio, anch’essa è sempre presente nei corsi dedicati ai processi e all’organizzazione della sicurezza delle informazioni e, molte volte, anche nei corsi più tecnici. Per questa i riferimenti principali sono quelli degli standard internazionali ISO/IEC 27005 e ISO 31000. Molti organismi di certificazione (in quanto storicamente legati alla conformità agli standard ISO) e molte società di consulenza e formazione offrono i relativi corsi. Ulteriori corsi sono quelli offerti da Isaca.

La terza riguarda l’approvvigionamento o, come si preferisce dire oggi, la supply chain. Su questo argomento fondamentale sono numerose le pubblicazioni relative ai rischi relativi alla supply chain, in particolare ICT. Tra queste si segnala la disponibilità di documenti e ricerche sui siti del National Institute of Standards and Technology (NIST) e dell’Agenzia dell’Unione europea per la cybersicurezza (ENISA).

Oltre a ciò, c’è possibilità di leggere libri e articoli, anche gratuiti e online. Sono spesso affrontati anche in conferenze dedicate alla sicurezza. Purtroppo, molti di questi interventi si concentrano sulla soluzione scelta e sui risultati positivi, mentre sarebbe istruttivo anche conoscere le opzioni analizzate e gli aggiustamenti, sempre inevitabili, che sono stati fatti dopo la prima proposta.

Per la valutazione del rischio sono disponibili, oltre alle pubblicazioni (in particolare quelle del NIST) anche diversi modelli liberamente scaricabili da Internet. In questo caso bisogna prestare attenzione al fatto che, nella gran parte dei casi, gli approcci suggeriti per la sicurezza delle informazioni sono troppo teorici, basati su modelli proposti negli anni Ottanta (quando l’informatica era diversa dall’attuale) e praticabili da grandi imprese.

Risulta altrettanto utile, studiare anche gli approcci usati per altre discipline, perché nulla vieta il loro utilizzo anche per la sicurezza delle informazioni.

Le competenze organizzative sono solitamente richieste da consulenti, interni ed esterni. Per questo ruolo si consiglia di integrare le competenze con quelle di base di ambito legale (in particolare sul GDPR, ma anche sulle normative applicabili all’organizzazione per cui si lavora) e tecnologico, visto che i processi devono essere strutturati valutando anche le restrizioni imposte da normative e tecnologia, perché la valutazione del rischio non può prescindere da questi due aspetti.

Le norme di legge

Sono sempre più numerose le norme di legge che includono requisiti di sicurezza delle informazioni e informatica. Sono in discussione ulteriori Regolamenti europei significativi.

La normativa più nota è sicuramente il GDPR, applicabile da quasi tutte le organizzazioni. Molte altre sono presenti per alcuni settori: infrastrutture critiche, servizi bancari e finanziari, telecomunicazioni, servizi fiduciari a livello europeo (firma e certificati digitali, recapito elettronico) e nazionale (Spid, Pec, conservazione), e-commerce, e altro.

A queste bisogna aggiungere il decreto legislativo 231 del 2001 sulla responsabilità civile delle imprese, che a sua volta richiama alcuni elementi di sicurezza informatica.

Sono numerosi i corsi dedicati al GDPR, offerti da tante associazioni. Ulteriore proposta è quella della certificazione CIPP-e. Le università, soprattutto quelle di giurisprudenza, offrono, oltre ai corsi previsti per le lauree, corsi di perfezionamento o di tipo master sulle normative relative alla sicurezza informatica.

Sono disponibili sul mercato alcuni servizi di certificazione della privacy (o di alcuni trattamenti o del sistema di gestione). Gli organismi di certificazione offrono le relative formazioni per gli auditor e per chi vuole attuare quanto richiesto dallo schema di certificazione.

Importante è l’autoformazione, sia attraverso libri, articoli e convegni che permettono di approfondire le singole norme di legge, sia newsletter che permettono di mantenersi aggiornati sulle nuove normative, sulle sentenze significative di tribunali e di autorità di vigilanza e sulle interpretazioni più recenti.

Le verifiche

L’attività di audit richiede la conoscenza delle regole previste dagli schemi di certificazione per cui si vogliono condurre le verifiche.

Per gli auditor dei sistemi di gestione (per la sicurezza delle informazioni, per la privacy e anche per la qualità) sono disponibili diversi corsi di formazione. Si raccomanda di seguire quelli accreditati e solitamente erogati dagli organismi di certificazione, ma non solo. In genere, i criteri di qualifica prevedono una formazione di 40 ore, esperienza comprovata e, per i rinnovi, il mantenimento delle competenze attraverso formazione.

Esistono altri tipi di audit, i più noti sono quelli che portano alla produzione dei rapporti Soc2 e Soc3 i quali sono solitamente condotti dalle società di revisione contabile e al cui proposito sono disponibili corsi di formazione.

Isaca propone la certificazione Certified Information Systems Auditor (Cisa) per gli auditor e i capitoli locali possono proporre la relativa formazione.

Da osservare che, prima di svolgere attività di audit in autonomia, è sempre opportuno prevedere un periodo di affiancamento. Se infatti il lavoro può sembrare semplice (basta fare domande), per comprendere appieno le scelte delle organizzazioni oggetto di audit è necessario conoscere il contesto e il settore, le aspettative dei clienti e degli utenti, la dimensione, le normative applicabili. Nessun corso fornisce queste competenze, che possono essere acquisite solo con l’esperienza.

Molti auditor, a dir la verità, spesso dimostrano di valutare nello stesso modo le procedure di grandi aziende in settori critici o regolamentati e quelle di Pmi in settori non critici.

Per svolgere gli audit è sempre necessario avere competenze di base della tecnologia e della normativa applicabile, oltre che dei processi.

Tecnologia di progettazione (applicazioni, sistemi e reti)

Per progettare applicazioni, sistemi e reti informatiche sicure è necessario conoscerne le caratteristiche tecniche e gli strumenti a disposizione. La tecnologia va considerata nelle sue tre dimensioni fondamentali: lo sviluppo software, la gestione dei sistemi operativi (e non solo) e la gestione delle reti.

Per questo sono disponibili corsi tecnici, che trattano tutti gli aspetti senza concentrarsi su specifiche tecnologie. Il più famoso è sicuramente il Certified Information Systems Security Professional, che si occupa soprattutto di sistemi e reti.

Si segnalano anche i corsi che portano alle certificazioni Cisa e Certified Information Security Manager (Cism) di Isaca, Eucip, Isecom, EC-Council e Sansa. Csa propone un percorso dedicato al cloud.

Per quanto riguarda la sicurezza in ambiente OT (ossia delle reti e dei sistemi usati in ambito industriale, ma non solo) si può far riferimento alle norme della serie IEC 62443 e alla formazione offerta da Isa, ossia l’ente che segue l’evoluzione di queste norme.

Alcune società offrono ulteriori opportunità di formazione in questo ambito, va però prestata attenzione all’effettiva esperienza dei docenti, spesso acquisita in ambito IT (ossia “informatica di ufficio”) più che OT, con il risultato che replicano i corsi sull’IT senza considerare le specificità degli ambienti industriali.

La sicurezza applicativa, anche se sempre più importante, ha meno offerte di formazione. Alcune società offrono corsi relativi all’Open Web Application Security Project (Owasp Top 10), mentre non risultano facilmente reperibili corsi più ampi. È disponibile, ma non in Italia, il Certified Secure Software Lifecycle Professional (Csslp) di Isc2, che illustra tutti gli aspetti di sicurezza applicativa: ciclo di vita dello sviluppo sicuro, requisiti funzionali, sicurezza dell’ambiente di sviluppo, architetture di sicurezza e principi di sviluppo sicuro, codifica sicura, strumenti di analisi Sast (Static Application Security Test) e Dast (Dynamic Application Security Test).

Alcuni libri e siti dedicati ad alcuni linguaggi di programmazione forniscono indicazioni per la codifica sicura, mentre altri offrono strumenti per il ciclo di vita dello sviluppo sicuro. Si tratta comunque o di materiale dedicato aspetti molto specifici o troppo teorici (“valuta il rischio e individua le misure da applicare”). La fonte più completa è forse il manuale per il Csslp, ma presenta molte inesattezze.

Per i singoli prodotti, i produttori mettono a disposizione materiale e corsi di formazione. Società come Check Point, CISCO, Microsoft, IBM, Oracle e tanti altri hanno programmi di certificazione delle competenze. Sono solitamente molto costosi e i partecipanti sono dipendenti di partner del produttore.

Le università propongono diversi corsi, sia all’interno dei corsi di laurea, sia in master dedicati. Università di ingegneria e di informatica propongono percorsi con maggiore attenzione alla tecnologia (più di tipo infrastrutturale che applicativo), a discapito delle parti organizzativa e legislativa, anche se comunque presenti. Da ricordare che l’ambiente universitario è più orientato alla ricerca e quindi si tratta di corsi più teorici che pratici.

Autoformazione

Per quanto riguarda la tecnologia è fondamentale dedicare del tempo all’autoformazione, ricercando libri e materiale online. Può essere utile, sul proprio pc, creare una partizione per un’istanza Linux e studiare questo sistema operativo, e sperimentare il funzionamento di compilatori e builder con semplici esempi di codice.

Infine, è da ricordare l’importanza della formazione interna: persone che seguono corsi di formazione o si auto-formano hanno sempre la necessità di acquisire le competenze relative alla tecnologia usata nella singola realtà dove lavorano.

Inoltre, le competenze non vanno confuse con l’esperienza che necessita di tempo per essere acquisita. È quindi importante che le organizzazioni, come fanno molte, soprattutto le medie e le grandi, organizzino sessioni di formazione interna e prevedano tempi di affiancamento per le nuove persone. Non si devono illudere che buoni voti conseguiti nello studio siano sufficienti per riconoscere un buon professionista della sicurezza.

Tecnologia di attacco

Le opportunità di formazione per chi vuole verificare la sicurezza dei sistemi informatici sono numerose. Il percorso che porta all’acquisizione di queste competenze spesso inizia con l’auto formazione, attraverso siti web, riviste (oggi sempre meno) e libri dedicati alle tecniche di hacking.

L’obiettivo è svolgere attività di ethical hacking, compito che richiede molta pazienza e capacità di analisi. Per chi vuole avere una formazione più strutturata, le opportunità di formazione sono offerte soprattutto da enti statunitensi come Sans e Giac, Isecom, EC-Council.

Le basi dell’hacking sono comunque trattate anche nell’ambito dei corsi dedicati alla progettazione tecnica della sicurezza.

Ethical hacker, assolti ma non troppo: le “zone grigie” del diritto penale

Tecnologia di difesa

Non sono molti i corsi dedicati alla gestione degli incidenti. Il Sei mette a disposizione corsi online in inglese per la gestione degli incidenti. Chi si occupa di difesa, solitamente, ha formazione simile a chi si occupa di progettazione, anche se le caratteristiche personali sono molto diverse (chi si occupa di difesa, solitamente, ha orari di lavoro più flessibili e deve sopportare momenti di stress).

I produttori di Security information and Event management (SIEM) e altri prodotti di sicurezza offrono corsi specifici per la tecnologia scelta. Caso particolare di difesa è la digital forensics. Da un punto di vista tecnico, si segnalano i corsi messi a disposizione da Sei, Sans, Iisfa e altri. Questi corsi sono di tipo tecnologico. Per quanto riguarda invece le competenze legali, alcune università di giurisprudenza offrono corsi di perfezionamento o master.

Responsabili delle organizzazioni

Caso particolare sono le competenze manageriali. È importante che i manager abbiano delle minime basi di informatica e di gestione della sicurezza. Questo perché devono acquisire la sensibilità necessaria per capire gli sforzi fatti da chi deve mettere in sicurezza un’organizzazione ed evitare comportamenti di sottovalutazione.

Va detto che consulenti (interni ed esterni) e auditor tendono a esasperare le esigenze di sicurezza e quindi è opportuno che le altre funzioni di un’organizzazione siano dialettiche, ma è anche necessario che abbiano un minimo di consapevolezza. Si può quindi raccomandare un percorso di conoscenza di base dei processi di sicurezza e della tecnologia, esattamente come, per la patente di guida, è richiesta una conoscenza di base del motore. Questo perché l’informatica è sempre più pervasiva nelle organizzazioni.

Un’esperienza personale

Vorrei riassumere la mia esperienza personale, forse utile per far capire meglio cosa ha guidato la scrittura di questo articolo. Mi sono laureato in matematica a marzo 1999 e avevo pochissime esperienze in ambito informatico (un corso universitario in Pascal, un corso trimestrale organizzato un’azienda milanese con Regione Lombardia su AS/400 e Lotus Notes, già allora tecnologie al tramonto, una scarsa conoscenza dell’Html e alcune conoscenze di base di Dos, Windows e Office).

Volevo iniziare a lavorare ma mi venne suggerito di fare una tesi sulla crittografia e poi di occuparmi di sicurezza informatica. Seguii il suo consiglio. Trovai lavoro in Securteam e probabilmente convinsi l’Ad Giulio Carducci per le mie potenzialità, non certo per le mie competenze. A quelle provvide Maurizio Bedarida, responsabile dell’ufficio di Milano, che mi segnalò articoli pubblicati su varie riviste disponibili all’epoca su sistemi operativi e programmazione, mi fece studiare la BS 7799 (che poi, aggiornata, diventò la ISO/IEC 27001), ITSEC e i Common Criteria, oltre che le procedure di Securteam e il Defender (la metodologia di valutazione del rischio sviluppata internamente).

Per quanto mi concerne poi studiai Linux, dopo averlo installato su una partizione del mio pc di casa e aver comprato un manuale, libri reperibili in ufficio e altro materiale su Internet, all’epoca non c’era Google e non c’erano riviste online così diffuse. C’erano molti articoli e newsletter, tra cui quella di Bruce Schneier, ma bisognava cercarli con pazienza. Comprare libri online era ancora un’esperienza nuova e da fare con prudenza, vista la possibilità di abuso dei dati della carta di credito, allora molto poco protetta.

C’erano pochi corsi, alcuni indirizzi universitari (ricordo bene il corso della Bocconi, frequentati da molti miei colleghi e poi amici) e alcuni master. Ho fatto domanda al Politecnico, ma non fui selezionato, forse per motivi tecnici o perché poco convinto, visto che stavo cambiando azienda.

In altre parole, ho fatto molta autoformazione, anche con il supporto dei miei colleghi e supervisori. Nel 2002 venni assunto da un organismo di certificazione e fui costretto a seguire molti corsi di formazione sulla ISO 9001, sulla BS 7799 e poi ancora sulla ISO/IEC 20000-1 e altro. Nel 2008 feci una breve esperienza in Quint Wellington Redwood Italia, dove acquisì le competenze su Itil.

Da fine 2008 sono libero professionista e ho investito molto nella formazione (corso di perfezionamento in Digital forensics presso l’Università di Giurisprudenza della Statale di Milano, esami e corsi Bci, Prince 2, Scrum, CIPP-e, Itil 4 e altri), nella partecipazione a gruppi di lavoro (in particolare l’ISO/IEC JTC 1 SC 27 che scrive le norme della serie ISO/IEC 27000 e la Clusit Community for security) e nell’assistere ad alcune conferenze. E ancora molto del mio tempo è ancora dedicato all’autoformazione e al confronto con i colleghi e i clienti.

Oggi le opportunità di formazione sono molto più numerose di venti anni fa, ma penso che sia ancora necessario investire tempo e denaro per acquisire competenze nella sicurezza informatica e dedicare tempo all’autoformazione. Penso anche che sia importante che le organizzazioni investano denaro e tempo per il proprio personale affinché possano imparare e tenersi costantemente aggiornati.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 3