Come diventare security manager L’esperienza sul campo va bene. Ma sulla sicurezza le competenze si costruiscono anche seguendo percorsi di certificazione complessi e articolati. È un impegno gravoso, in termini economici e di tempo, ma che dà alle imprese la misura delle professionalità a cui vanno ad affidare l’integrità dei propri dati di
Voler dimostrare la propria esperienza e capacità nell'uso di un prodotto è una esigenza lecita, soprattutto in un mercato competitivo come quello dell'Information Technology. Anche se non sempre l'equazione "professionista certificato = più esperto sul mercato" è vera, le certificazioni risultano comunque validi strumenti per filtrare dalla piazza i tanti consulenti ed esperti fai-da-te che affollano il panorama italiano. Scegliere quale certificazione cercare di ottenere non è una scelta facile con vendor come Microsoft o Cisco, che offrono percorsi di studio articolati e certificazioni differenziate in base al livello di approfondimento o alla specializzazione scelta.
Meglio i costruttori o le organizzazioni? Ma quando il consulente del caso non vuole semplicemente certificarsi su di un prodotto o su una linea di prodotti, ma dimostrare le proprie capacità in un campo vasto e articolato come la sicurezza, le cose si fanno più complicate. Di fronte a lui infatti si parano due prospettive: la certificazione di sicurezza legata a un vendor specifico o la certificazione neutra, legata a nessun prodotto, a nessuna azienda. Qualunque strada scelga, il consulente dovrà affrontare una lunga sequenza di critiche da parte della comunità di sicurezza, molto attenta alla questione, e dalle aziende con le quali verrà in contatto. Qualora la scelta ricada sulle certificazioni del vendor, infatti, l'individuo potrà garantire a una qualunque società la sua massima capacità di installare, configurare, manutenere, un certo prodotto, software o hardware, firewall o scanner, ma si vedrà criticato dalla comunità che lo vede come un mero operatore di quel prodotto. Non una "certificazione di sicurezza" quindi, ma più correttamente una "certificazione su un prodotto di sicurezza". Qualcuno obietta che un consulente certificato su un prodotto firewall, per esempio, non possa comunque ignorare le problematiche di sicurezza che vi sono legate, ma è inutile negare la mancanza di una visione a 360 gradi della materia.
Cominciare dai prodotti Qualora la scelta ricada sulle certificazioni neutre, invece, l’individuo potrà dire di aver dimostrato la conoscenza delle problematiche in maniera ampia e omnicomprensiva, ma ricadrà in almeno due obiezioni: in primo luogo le aziende potrebbero essere preoccupate per la mancanza di skill specifici sul determinato prodotto che adottano e la comunità potrà rimanere scettica, imputando a un percorso formativo una eccessiva generalità e semplicità. E allora, come se ne esce? Di fatto l'ideale sarebbe rimanere nel mezzo, certificandosi inizialmente su alcuni singoli prodotti e poi ampliando gli orizzonti con una certificazione neutra. In questo modo aziende e comunità non dovrebbero poter aver nulla da ridire e la preparazione a una conoscenza della sicurezza sarebbe graduale. Certo è lunga la strada... (Ndr: ripreso dal settimanale Week.it del 14/2/2002) |