Re: [ml] Security Certification

Andrea Boggio wrote:

> Le certificazioni "vendor-independent" dovrebbero attestare l'acquisita
> conoscenza non di una tecnologia particolare quanto di un modus operandi, di
> un approccio, di metodologie, best practices, standard di riferimento ...
> Una visione di "alto livello" (aliena quindi dai particolari tecnici) che
> dovrebbe articolare la security con i processi aziendali.
> 

Il fatto che siano indipendenti non vuole dire che siano aliene da
particolari tecnici, vuole dire che non affrontano la configurazione
di specifici prodotti. Ad esempio le certificazioni del SANS, per
quanto ne so, pur essendo indipendenti sono molto tecniche, e forse
fin troppo verticali.

> Per la mia esperienza, nell'ambito security le certificazioni in Italia
> servono solamente per strategie commerciali; non aggiungono autorevolezza a
> chi le detiene (tranne che in contesti INFORMATICAMENTE ignoranti) e non
> rappresentano un plus significativo.

Una certificazione attesta a terzi, e quindi, se vogliamo, è
necessariamente una strategia commerciale, vuoi di un'azienda che
presenta le competenze del proprio personale, vuoi del
professionista che mostra la propria preparazione alla propria
azienda o a chi lo deve assumere. Una certificazione dovrebbe
attestare una certa preparazione minima, che è comunque di più di
quanto ti può raccontare un generico curriculum in cui il candidato
alla fine scrive un po' quello che vuole, o di quello che ti
racconta il commerciale che ti presenta l'azienda. Una volta che il
rapporto è stabilito, la certificazione interessa meno. Che cosa poi
voglia dire "preparazione minima" è una questione di situazioni e
gusti personali. Io penso che se il professionista medio che si
occupa di sicurezza nelle aziende (anche medie) avesse le competenze
per certificarsi CISSP, staremmo già parecchio bene, con o senza arp
spoofing. Allora forse ci sarebbe spazio anche per la certificazione
"Super Guru della Sicurezza" ;)

Per inciso, parecchie offerte di lavoro e di consulenza, da quello
che ho visto, cominciano a richiedere certificazioni, proprio perché
chi deve assumere qualcuno non ha, per definizione, le competenze
necessarie per valutare i candidati dal punto di vista tecnico, e
quindi ha bisogno di qualcosa di ragionevolmente credibile e
oggettivo su cui basarsi.

Non sono convinto che le certificazioni siano così inutili: a me è
già capitato più di una volta di dire, discutendo di una possibile
attività, "per inciso, sono auditor IT certificato", e la cosa
spesso ha tranquillizzato il mio interlocutore; è chiaro che se gli
avessi detto "sono certificato CISA" magari mi avrebbe chiesto se è
contagioso, ma bisogna anche presentare le cose nel modo giusto.

> Se uno vuole studiare le vie da percorrere sono altre ...

Certo, almeno per le certificazioni indipendenti citate (CISA,
CISSP...). Sono certificazioni che coprono lo scibile della
sicurezza o dell'audit, che non studi certo per prepararti
all'esame. Infatti sarebbero destinate a chi quella professione la
fa già.
Studi, lavori, ti certifichi, presenti (commerciale) la tua
professionalità. Poi naturalmente è possibile che uno che non si
occupa di sicurezza riesca a studiarsi a memoria il manuale CISSP e
passi l'esame, ma sarebbe certamente un caso limite...
Magari per le certificazioni dei vendor la cosa è diversa e
preparandoti all'esame studi anche la specifica tecnologia, non lo so.

ciao

- Claudio

-- 

Claudio Telmon
claudio@xxxxxxxxxx
http://www.telmon.org