IsacaRoma: Grazie per la collaborazione. Cos’è AIPSI?
Elio Molteni: La neonata AIPSI – Associazione Italiana Professionisti Sicurezza Informatica è il capitolo italiano (il centotreesimo [4] a livello internazionale!) di ISSA l’organizzazione internazionale degli esperti di sicurezza informatica che conta circa 13.000 associati nel mondo, molti dei quali forniti di importanti certificazioni quali CISSP, CISA, CISM…
AIPSI intende contribuire a rafforzare il ruolo della sicurezza delle informazioni su tutto il territorio italiano, collaborando con altre associazioni di categoria, con le istituzioni ed altri esponenti del mondo della sicurezza IT. Mettere a fattor comune le esperienze conseguite dai singoli per un vantaggio di tutti è, oggi più che mai, un traguardo da raggiungere.
Gli obiettivi che intendiamo perseguire sono:
- sostenere e tutelare gli interessi di chi si occupa professionalmente di sicurezza informatica;
- indirizzare chi vuole intraprendere la carriera professionale in ambito sicurezza informatica;
- agevolare l’interscambio di esperienze;
- collaborare con altre organizzazioni;
- adattare alla realtà italiana il percorso formativo di certificazioni, normative e standard internazionali di sicurezza.
IR: In Italia ci sono già molte associazioni in ambito sicurezza (Clusit [5], AIEA [6], ISACA [7]...); quali sono le caratteristiche di AIPSI? A chi si rivolge?
EM: AIPSI è un’associazione di persone, non di aziende o organizzazioni in genere: i nostri associati sono professionisti che si occupano di sicurezza IT e che provengono dalla libera professione, dalle aziende (clienti e fornitori) e dalle istituzioni.
Infine essere parte di un’organizzazione internazionale come ISSA permette ad AIPSI di condividere informazioni, documenti, esperienze con i colleghi internazionali.
IR: Come ci si iscrive ad AIPSI?
EM: Molto semplice: basta collegarsi al nostro sito, scaricare il modulo di adesione [8], compilarlo e inviarlo via fax. Ovviamente, come per tutte le associazioni che si rispettino, l’associato deve rispettare il codice etico (pdf [9], 90 K).
IR: Che servizi si hanno?
EM: Oltre a ricevere mensilmente la rivista “The ISSA Journal [10]”, si può partecipare ad eventi nazionali ed internazionali organizzati da AIPSI/ISSA e pubblicare documenti sul nostro sito (guadagnando quindi “crediti” per il mantenimento delle certificazioni CISSP, CISA, CISM); per il dettaglio dei servizi si può consultare il nostro sito web.
IR: Le iniziative riguarderanno solo Roma e Milano?
EM: Ci stiamo inoltre organizzando per coprire l’intero territorio geografico italiano grazie anche ai contributi individuali dei soci. Ai soci chiediamo, pertanto, la fattiva collaborazione per l’organizzazione di attività sul territorio italiano. Questo è il vero spirito di un’associazione!
IR: Come vede il quadro della sicurezza informatica in Italia? Da un certo punto di vista si è passati da un approccio di nicchia ad uno di massa con ovvi rischi in relazione alla qualità dei servizi. Qual è la sua visione?
EM: La formazione e le certificazioni professionali sono la base per poter offrire un servizio all’altezza delle aspettative del cliente; non sempre questo è sufficiente ma è un buon punto di partenza. Forse, come esistono le certificazioni di sicurezza internazionali CISSP, CISA ecc. dovrebbero esistere anche delle certificazioni “nazionali”. Ad esempio chi garantisce al cliente che il consulente sulla privacy sia realmente un esperto in materia?
IR: Lei lavora in una nota multinazionale. Come appare il nostro paese, dal punto di vista della sicurezza, osservato da oltre Atlantico?
EM: Non vorrei esprimere un parere che rifletta solo ed unicamente la visione della multinazionale per la quale lavoro, ma l’Italia non è vista poi così male nell’ambito della sicurezza. Quando si dice che c’è ancor molto da fare rispetto agli altri paesi è vero solo in parte. Pensiamo al mercato delle aziende in Italia rispetto agli Stati Uniti: a parità di tipologia di aziende, per esempio le grandi aziende, ritengo che il nostro paese non sia poi così indietro rispetto agli USA. Il problema esiste nelle piccole aziende, ove l’investimento in sicurezza è ancora molto basso. Ma quale sarebbe il grado di sicurezza in America se ci fosse il medesimo livello di polverizzazione delle aziende? Lascio a chi legge la risposta.
IR: Sono previste attività internazionali con gli altri capitoli di ISSA?
EM: Sì. Per pianificare queste attività ogni mese abbiamo una conference call con tutti i presidenti degli altri capitoli. Anticipo che nel 2006 la “ISSA European Conference” si terrà il 21 giugno a Roma: credo che sia un bel risultato per un’associazione giovane come AIPSI…
IR: Quali sono le iniziative [11] “italiane” su cui sta lavorando AIPSI?
EM: L’iniziativa più importante è la nostra volontà di dare all’associazione una connotazione a carattere nazionale. Per questo abbiamo appena nominato il coordinatore delle attività locali. Tutto il resto, se vogliamo, è parte integrante di questo programma. Lo scorso 17 febbraio a Roma abbiamo fatto un incontro di benvenuto ai soci dell’area centro illustrando quanto abbi amo già fatto e gli sviluppi futuri. A Milano il medesimo incontro lo abbiamo fatto prima di Natale. Stiamo, inoltre, pianificando una serie di eventi mirati su temi di attualità con una formula a nostro parere innovativa: il primo di questi incontri sarà il primo marzo a Milano [12] presso il Multicenter Mondadori di Via Marghera e sarà aperto anche ad altre associazioni.
Ci tengo a sottolineare che riteniamo importantissima la sinergia fra associazioni: se vogliamo rafforzare la sicurezza IT è importante che più associazioni possano reciprocamente collaborare!
IR: Parliamo di lei: ha scritto diversi libri in ambito sicurezza informatica. Vuole dirci qualcosa a riguardo?
EM: Qualche hanno fa ho scoperto di essere abbastanza bravo ad esprimere concetti apparentemente difficili con un linguaggio semplice, comprensibile a tutti. Questa piccola dote, che probabilmente ho da quando sono nato ma che non avevo mai valorizzato, mi ha spinto a sfruttare le conoscenze acquisite in ambito sicurezza IT per renderle comprensibili anche ai non esperti. Cosi, nel 2003, è nata l’idea del primo libro “La sicurezza dei sistemi informativi, teoria e pratica a confronto” [13]. Lo scorso anno ho applicato il medesimo approccio (quello della semplicità espositiva) per il secondo libro “Qualcuno ci spia, spyware nel tuo PC [14]”. Entrambi sono editi da Mondadori Informatica. La scrittura di un libro è un’esperienza affascinante ma con un livello di impegno elevatissimo!
IR: Parliamo di certificazioni professionali per la sicurezza Qual è la sua opinione?
EM: Chi di noi si farebbe curare da un medico che non abbia conseguito la laurea in medicina?
Perché per la sicurezza IT non deve essere prevista una certificazione?
Con queste brevi parole penso di aver espresso il mio personale parere, anche se tengo a sottolineare che le certificazioni non bastano per essere un vero professionista!
IR: Grazie e buon lavoro
EM: Grazie a voi!
Chi è Elio Molteni?
Elio Molteni, CISM, CISSP, Lead Auditor BS7799 è il presidente di AIPSI, socio di AIEA, capitolo di Milano di ISACA, membro del consiglio direttivo di CLUSIT.
Lavora in Computer Associates ove ha svolto numerose attività tecniche e manageriali nell'ambito della sicurezza e della gestione dei sistemi.
Autore di due libri in ambito sicurezza: “Qualcuno ci spia, spyware nel tuo PC” e “La sicurezza dei sistemi informativi, teoria e pratica a confronto”, entrambi editi da Mondadori Informatica.
Articoli collegati
- Come cambia la professione di IS Auditor – colloquio con Silvano Ongetta presidente di AIEA [15]
- Intervista a Anthony Cecil Wright, presidente di ANSSAIF [16]
- Intervista a Gigi Tagliapietra, presidente di CLUSIT [17]
- Interview with Allan Boardman, ISACA London President [18]
- ACFE: l’associazione dei professionisti anti frode [19]