Re: [ml] Security Certification

Consentitemi soltanto un ultimo, finale commento su questo argomento -
non ho poi altro da aggiungere e penso sia stato detto tutto e il
contrario di tutto...


On 3/18/07, Andrea Boggio <andrea.boggio@xxxxxxxxxxxxx> wrote:
> Quanti CISSP o similia conosci che sono anche programmatori ?

Io sono stato programmatore. Ma adesso non tornerei a farlo di certo.

Il collega che mi ha fatto l'endorsement CISSP (e quindi CISSP a sua
volta) lavora ai certificati e al DRM, ed ha un forte background di
programmazione Java specializzata nel mondo mobile (i certificati TSL
e DRM per i terminali, ovvero i telefoni cellulari, richiedono una
specifica preparazione, dato che questi aggeggi sono molto, molto più
"schifiltosi" di un banale Apache, e queste tecnologie richiedono
associazione univica con sessioni, MSISDN ecc. ecc.). L'altro collega
CISSP nella mia azienda è stato un programmatore Unix.

Quindi non ne conosco tanti (tre incluso me) ma spero che per il
momento ti basti... :-D


> Come faccio a padroneggiare un dominio di sicurezza se non ho mai affrontato
> un qualunque problema di ottimizzazione ?

Se intendi dire (non è molto chiaro quello che dici) che bisogna
essere stati programmatori per lavorare nell'ambito della sicurezza,
ripeto: purtroppo un sacco di persone sono incapaci di pensare "out of
the box". La sicurezza è un ambito vasto.  Direi che anni di
esperienza come sistemista, forse, in molti ambiti, sono forse più
utili. Ma dipende dall'ambito.


> Evidentemente e' possibile farlo
> solo superficialmente e per sommi capi, intuendo e associando standard e
> sigle ma non padroneggiando l'argomento.

Oppure evidentemente, si conosce soltanto il proprio ambito e di
quello si sta parlando. Legittimamente, ma è solo uno dei possibili
mondi.


> Forse sono stanco di tanta fuffa che gira in questo mondo, pero' apprezzo
> sempre di piu' le persone realmente competenti e sempre meno i tromboni che
> si fanno precedere dalle sigle invece che dai fatti.

Quante volte ti è capitato di incontrare un CISSP "trombone" che non
sapeva fare il suo lavoro? io conosco pochi CISSP, e con ancora meno
ci lavoro assieme (saremo in tre) ma devo dire che questi pochi, al
contrario, mi hanno impressionato e caso mai spinto a certificarmi.

Comunque è evidente che anche questa è la mia limitata esperienza,
comunque mi perdonerai se non mi astengo dal riportarla - non perché
ci sia alcun bisogno di difendere la certificazione CISSP (non ce n'è
bisogno) ma perché, ancora, queste sembrano le parole di chi
certificazioni non ne ha e si sente "minorato" quando vede tante sigle
in una signature.

Francamente non capisco questa acrimonia. Pur preferendo scrivere una
boiata qualsiasi su Descartes che le mie "sigle", non sento (eccessiva
;-)) acrimonia per chi le "sventola"... si vede che tratta le mailing
list di full disclosure anche come praticelli per il recruiting di
contratti... buon pro gli faccia e auguri :-) oppure ritiene che le
sue idee od opinioni abbiano più "peso" se seguite da queste sigle.
Puerile - ma che noia ti dà?

Infine: è evidente e nessuno ha affermato che una certificazione
garantisca alcuna competenza di per sé, se non quella di essere stato
in grado di superare l'esame. Detto questo, non vedo proprio come
possa testimoniare a /sfavore/ di qualcuno. Se tu giudichi *davvero*
le persone dalle loro capacità e non dai titoli, non capisco perché tu
debba avere questa acredine. Non ti starai togliendo qualche sassolino
dalla scarpa?


> In soldoni intendevo esprimere il concetto che l'abito non fa il monaco, e
> che i vestiti che spesso bisogna indossare sono parte di modi di fare che
> non rispondono a logiche tecnologiche quanto a logiche di vendita,
> commerciali.
>
> Se uno desidera sancire professionalmente un certo tipo di conoscenza lo
> facesse pure, nessuno si scandalizza per questo (e' la normalità, e' il
> mercato), pero' la passione e' altra cosa ...

Certo, ma che c'entra questo col chiamare "trombone" chi ha una
certificazione? Io sono ben lungi da quello a cui aspiro in termini di
"titoli", ma non posso che dire: tanto di cappello a chi li ha. Non
testimonierà le sue capacità ma certamente testimonia qualcosa sulla
persona.

Anche soltanto il _mantenere_ una certificazione come la CISSP o la
CCSP ti costa, in termini economici e di tempo per lo studio, un sacco
di soldi e di tempo ogni anno. Quindi, o sei un professionista con gli
zebedei, o la tua azienda ti paga e ti fornisce il training - in ogni
caso, stai certo che non sei l'ultimo sprovveduto.


> Poi chiaro, non sono io a detenere verita' assolute e molto probabilmente
> esistono anche persone che coniugano passione e professionalita', sugellando
> questo sublime connubio anche tramite acquisizioni di acronimi e sigle

Non capisco perché questa debba essere una eccezione, e l'eccezione
non debba essere invece l'opposto. Non so che esperienze hai avuto but
I feel sorry for you :-)


> Non era mia intenzione aprire flames, ma quando scrivo percorrere altre vie
> intendevo proprio tornare alla radicalità e in parte anche alle oigini
> stesse dell'informatica (in termini di approccio).

Sì ma non si sono ancora capite queste "vie". Secondo te approfondire
che significa, leggersi i libri di Kernigham e Ritchie o di Stevens?
avere un laurea in Informatica? suvvia, sbilanciati un po' di più e
non ci dare mezzi bocconi: a questo punto voglio proprio capire cosa
intendi dire, e chi sarebbero secondo te i veri "informatici" "in
termini di approccio".


Cordiali saluti

PS. alcuni dei migliori informatici che ho conosciuto sono laureati in
filosofia e fisica... ;-)
--
Marco Ermini
Dubium sapientiae initium. (Descartes)
root@human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini