Man mano che le tecnologie si evolvono, lo stesso accade per le minacce informatiche: lo abbiamo constatato soprattutto lo scorso anno con la diffusione improvvisa e capillare del remote working e del lavoro agile, l’uso di dispositivi personali e reti domestiche e il boom delle piattaforme di collaborazione che hanno aumentato le opzioni e superfici di attacco a disposizione degli hacker. E, nonostante la razionalizzazione del budget a disposizione per affrontare le sfide di sicurezza a causa del grave impatto economico della pandemia, il mercato della sicurezza informatica non ha smesso di crescere e la maggior parte delle imprese ha colto l’occasione per investire, rinnovarsi e aumentare la sensibilità dei dipendenti sul tema.
In un siffatto scenario, il tema del rafforzamento della cosiddetta first line of defence, attraverso la formazione continua delle risorse umane, risulta di primaria importanza. Le certificazioni informatiche nell’ambito della gestione e del controllo degli asset informativi, nonché in materia di cyber sicurezza, si pongono come strumento di integrazione e validazione dell’esperienza di professionisti e manager. Per una trattazione più approfondita, rimandiamo alla lettura di questo servizio realizzato dal Legal Tech Consultant Federico P. F. Pontani. Di seguito, cercheremo di fornire una panoramica delle certificazioni in ambito cyber security e data protection più accreditate sul mercato.
Indice degli argomenti
Una prima distinzione: vendor neutral e vendor specific
Innanzitutto, vendor neutral e vendor specific sono le due categorie in cui generalmente si distinguono le certificazioni informatiche. Ciò che le differenzia è il fatto di essere non direttamente o direttamente associate a prodotti e servizi di specifici fornitori IT. Le certificazioni vendor neutral forniscono competenze più concettuali che, tuttavia, lungi dall’essere generiche, sono applicabili ad un più vasto range di situazioni. Il risvolto della medaglia è la mancanza di verticalità tipica delle certificazioni vendor, la cui utilità si giustifica, qualora sia essenziale la conoscenza del funzionamento dei prodotti o servizi dello specifico fornitore.
Nell’ambito delle certificazioni IT entry level, l’organizzazione statunitense CompTIA propone certificazioni vendor neutral secondo un percorso suddiviso in due aree di specializzazione (infrastructure pathway e cybersecurity pathway). La CompTIA A+ è forse la certificazione IT genric purpose più conseguita, con oltre 1 milione di soggetti certificati in tutto il mondo e l’accreditamento dall’American National Standards Institute (ANSI) ottenuto nel 2008. Analogamente, Google, nell’ambito del suo più ampio progetto Grow with Google, propone l’IT Support Certificate che ricalca pressoché gli stessi domini di competenza dell’A+. Inoltre, contrariamente alle più celebri certificazioni di Google in ambito cloud, può considerarsi vendor neutral. L’A+ e l’IT Support Certificate mirano a formare IT specialist in grado di comprendere e gestire, ad un livello base, le tecnologie ed architetture informatiche più diffuse.
Nel campo vendor specific, invece, troviamo certificazioni come la Cisco Certified Technician (CCT) del programma formativo incentrato sul networking di CISCO, nonché le certificazioni di Microsoft contrassegnate con il termine “fundamentals” (ad es.: Microsoft Certified: Security, Compliance, and Identity Fundamentals, Microsoft 365 Certified: Fundamentals, Microsoft Certified: Power Platform Fundamentals). Tali certificazioni hanno un approccio più verticale e risultano utili se l’azienda ha adottato o intende adottare le tecnologie dei fornitori in questione.
Le certificazioni più storiche e apprezzate
L’International Information System Security Certification Consortium (ISC)2 è una delle organizzazioni più apprezzate nel settore della formazione dei professionisti della sicurezza informatica, soprattutto per la certificazione Certified Information Systems Security Professional (CISSP), da molti ritenuta come the gold standard of information security, e rivolta a manager di sicurezza informatica e non a puri tecnici.
L’Information Systems Audit and Control Association (ISACA), attiva dal 1969, è una delle più storiche associazioni che riunisce professionisti del campo dell’information technology e fornisce certificazioni del personale in ambito IT audit, governance, management e cybersecurity. Inoltre, ISACA è fautrice del framework COBIT (Control Objectives for Information and Related Technologies) per il governo e la gestione efficiente della funzione IT.
SANS Institute è rinomata per i suoi corsi hands-on, a carattere tecnico e professionalizzante e si avvale di un organismo indipendente per la valutazione dei professionisti: il Global Information Assurance Certification (GIAC) mantiene un numero di certificazioni, molto specifiche, raggruppate in sei main focus areas (Cyber Defense, Offensive Operations, Digital Forensics & Incident Response, Cloud Security, Management, Legal & Audit, Industrial Control Systems). Dato l’elevato costo ed il livello tecnico richiesto, sono perseguite come step finale di perfezionamento rispetto ad una formazione già specialistica.
Celebre per alcuni progetti open source di successo, fra cui la distribuzione linux Kali linux ed il database ExploitDB, Offensive Security è una società americana che dal 2006 opera nel settore della sicurezza informatica, con riferimento al penetration testing. Tra le certificazioni in ambito cybersecurity, la più nota è l’Offensive Security Certified Professional (OSCP), che valuta le capacità di penetration testing attraverso l’uso dei tool di Kali linux. L’OSCP è altamente rispettato nell’industry in ragione della difficoltà tecnica delle prove d’esame e la capacità delle stesse di valutare in modo effettivo le competenze pratiche dei penetration tester.
L’International Association of Privacy Professionals (IAPP), con sede a Portsmouth (New Hampshire), rappresenta la principale associazione internazionale dei professionisti della privacy e, dal 2000 costituisce il punto di riferimento per best pratice, standard e attività divulgative di informazione in ambito privacy e data protection. IAPP valuta le competenze legali, manageriali e tecnico-informatiche dei professionisti della privacy e della protezione dei dati personali.
Axelos è una joint venture di natura societaria, nata dall’iniziativa del governo britannico e di una società di consulenza, costituita allo scopo di gestire e rendere operative metodologie di gestione e best practice nelle diverse realtà d’impresa. L’Information Technology Infrastructure Library (ITIL) riunisce un’insieme di best pratice, codificate già a partire dagli anni ‘80 (e continuamente aggiornate), per la gestione dei sistemi informativi e dei servizi IT, affinché gli stessi siano e rimangano funzionali alle strategie dell’impresa generando valore. Axelos fornisce anche altri percorsi di certificazione, specialmente in materia di Project management, fra cui forse il più celebre è PRINCE2 (PRojects IN Controlled Environments), adottato da enti ed aziende in più di 220 nazioni.
La Certified Ethical Hacker (C|EH o CEH) è riconosciuta dal Ministero della difesa statunitense per l’accreditamento del personale nei ruoli di CSSP Analyst, Infrastructure Support, Incident Responder ed Auditor. Negli ultimi anni, è stata oggetto di molteplici critiche da parte della community degli esperti, in quanto accusata di sfornare “hacker teorici”, privi delle competenze pratiche che costituiscono l’essenza stessa della figura dell’hacker o penetration tester. Ciononostante, rimane una delle organizzazioni più apprezzate sul mercato in quanto grado di fornire svariati percorsi formativi e certificativi di competenze, fra cui la Certified Chief Information Security Officer (C|CISO) e la Certified Hacking Forensic Investigator (C|HFI), entrambe riconosciute dal DoDD 8570.
La DAta Management Association (DAMA) è un’associazione indipendente che si occupa dello sviluppo di modelli, politiche, procedure, linee guida per la gestione del ciclo di vita di dati ed informazioni nelle imprese. Il progetto di formazione è focalizzato al rilascio della qualificazione di Certified Data Management Professional (CDMP) secondo un sistema di progressione a livelli (complessivamente sono previsti quattro livelli: associate, practitioner, master e fellow) cui corrispondono un maggiore livello di difficoltà d’esame ed un maggiore numero di anni di comprovata esperienza nel settore.
Nell’ambito dei temi della gestione, controllo e sicurezza delle informazioni nelle architetture cloud, numerosi sono gli enti ed associazioni, di vario genere, che hanno costituito certificazioni ad hoc. Tra le più note: l’organizzazione Cloud Computing Alliance, con i propri Certificate of Cloud Security Knowledge (CCSK) e Certificate of Cloud Auditing Knowledge (CCAK); (ISC)2, con il Certified Cloud Security Professional (CCSP); CompTIA Cloud+, dedicata a chi deve apprendere i fondamentali del cloud. Inoltre, anche se a carattere vendor-specific, i percorsi di certificazione cloud: Amazon AWS; Google Cloud; Microsoft Azure; raccomandabili, nella certificazione entry level di ciascun percorso, a professionisti e manager che si debbano confrontare con le architetture cloud di uno di questi provider.
Immagine fornita da Shutterstock
