Security Manager: il curriculum perfetto
Inserito da Alain De Cristofaris il Mer, 2006-07-05 10:36
Antologia | Luglio 2006 | Security
060705-PSM1
di Alain De Cristofaris
Sempre più spesso mi chiedono “Come si diventa Security Manager?”.
A volte la domanda arriva da nuovi colleghi che approdano su scrivanie vacanti nel mio stesso ufficio (giovani stegisti o neolaureati al primo impiego); altre volte da persone che da anni svolgono un diverso lavoro (per lo più nell’ambito dell’IT) e che cercano probabilmente un’occasione per stare al passo coi tempi.
Insomma in un momento in cui (tanto per cambiare…) il mercato del lavoro è in crisi sembra che tutti vogliano occuparsi di sicurezza informatica!
Da tempo pensavo di buttare giù una lista delle 10 cose più importanti che il Security Manager (SM) dovrebbe fare e/o conoscere.
Ho intenzione di chiamarla la “Security Manager’s Top Ten”. Chissà, magari è di aiuto a qualcuno!
PS: Ovviamente si tratta di opinioni personali. Non prendete per oro colato quanto segue.
Il decalogo del Perfetto Security Manager (PSM)
Sento già le proteste! Serve davvero la laurea? E perché poi proprio in Ingegneria, Matematica o chessò Chimica? Sicuramente ci saranno eserciti di esperti di security diplomati (magari con 5 certificazioni professionali) o magari laureati in sociologia o psicologia…. (io ne conosco qualcuno). Non hanno diritto di lavorare? Non hanno diritto di aspirare ad essere PSM? Certo che sì! La mia è solo una “linea guida” (il BS7799 del PSM). Il mio consiglio è: se avete meno di 25 anni e volete fare il Security Manager iscrivetevi ad Ingegneria!
Sono le famose certificazioni professionali “vendor indipendent” (CPVI) in ambito ICT Security.
Vi starete chiedendo…..Ma servono davvero al nostro scopo (diventare un PSM)?
A mio parere le CPVI sono utili ma non necessarie; potrebbero diventare indispensabili se ad esempio non avete una laurea (o una laurea “giusta” vedi punto precedente).
Il mio consiglio: se l’azienda vi paga la certificazione o siete un libero professionista oppure non avete la laurea giusta, imbarcatevi nell’avventura delle CPVI; nella peggiore delle ipotesi sarete chiamati a studiare come ai tempi di scuola (sempre che non possiate usufruire del Grandfathering ….ma questo è un altro discorso) !!
Dipende… Alcuni di questi cenacoli gestiscono proprio le CPVI di cui sopra e dunque se vi state preparando ad uno di questi esami potrebbe essere utile frequentare gli ambienti giusti… Inoltre tutte queste associazioni organizzano seminari, giornate di studio e di approfondimento e gruppi di lavoro; tutte ottime occasioni per conoscere persone con il vostro stesso obiettivo…e chissà magari trovare anche un nuovo lavoro!
Io ho scelto ANSSAIF perché lavoro in banca e conosco alcuni membri del consiglio direttivo. Sono tutti professionisti che masticano la materia sin dai tempi della creazione del primo virus informatico (correva l’anno 1982).
Inoltre l’associazione non perde l’occasione per organizzare convegni “sui generis”; ogni anno infatti ci si prepara, proprio in questo periodo, ad una “tre giorni” nelle splendide colline della Toscana…..il tutto spesato dall’associazione! Ci si incontra per discutere le nuove strategie per “garantire la sicurezza nazionale” e per visitare la splendida abbazia di Vallombrosa.
Finisco con “i consigli per gli acquisti” per raccontare un episodio simpatico: durante un colloquio di assunzione con una giovane promessa della sicurezza informatica noto nel suo CV, sotto la voce “associazione professionale”, che è membro del MENSA. Chiedo, curioso, informazioni ed il futuro PSM mi informa che si tratta dell’associazione dei superdotati dal punto di vista del quoziente intellettivo (QI); in poche parole avevo davanti un genio!
Meditate gente, meditate…
Certo! I tre punti precedenti riguardano le “basi professionali” del vostro mestiere qui invece si tratta di convincere chi legge il vostro CV che siete anche aggiornati sulle ultime novità. Quindi ad oggi (luglio 2006) ecco gli “spunti che assolutamente non possono mancare nel vostro curriculum:
Viceversa: siete un professionista in carriera senza un attimo libero? Limitatevi a dichiarare “buona conoscenza della lingua inglese scritta” (la traduzione automatica di Google farà il resto).
(fine prima parte)
Alain De Cristofaris
Security Manager (così dicono!)
Sempre più spesso mi chiedono “Come si diventa Security Manager?”.
A volte la domanda arriva da nuovi colleghi che approdano su scrivanie vacanti nel mio stesso ufficio (giovani stegisti o neolaureati al primo impiego); altre volte da persone che da anni svolgono un diverso lavoro (per lo più nell’ambito dell’IT) e che cercano probabilmente un’occasione per stare al passo coi tempi.
Insomma in un momento in cui (tanto per cambiare…) il mercato del lavoro è in crisi sembra che tutti vogliano occuparsi di sicurezza informatica!
Da tempo pensavo di buttare giù una lista delle 10 cose più importanti che il Security Manager (SM) dovrebbe fare e/o conoscere.
Ho intenzione di chiamarla la “Security Manager’s Top Ten”. Chissà, magari è di aiuto a qualcuno!
PS: Ovviamente si tratta di opinioni personali. Non prendete per oro colato quanto segue.
Il decalogo del Perfetto Security Manager (PSM)
1) Studi universitari
Il PSM deve essere laureato in materie scientifiche come Ingegneria o Scienze dell’informazione.Sento già le proteste! Serve davvero la laurea? E perché poi proprio in Ingegneria, Matematica o chessò Chimica? Sicuramente ci saranno eserciti di esperti di security diplomati (magari con 5 certificazioni professionali) o magari laureati in sociologia o psicologia…. (io ne conosco qualcuno). Non hanno diritto di lavorare? Non hanno diritto di aspirare ad essere PSM? Certo che sì! La mia è solo una “linea guida” (il BS7799 del PSM). Il mio consiglio è: se avete meno di 25 anni e volete fare il Security Manager iscrivetevi ad Ingegneria!
2) Certificazioni professionali
Avete presente quella sfilza di sigle (tipo: CISSP, CISA, CISM, CEPAS, CEPU!) che molti ostentano nelle proprie slide powerpoint, nei propri curriculum e che i più fanatici appendono alla parete del proprio ufficio nella versione “diploma”? (…io ne faccio quadrucci per casa).Sono le famose certificazioni professionali “vendor indipendent” (CPVI) in ambito ICT Security.
Vi starete chiedendo…..Ma servono davvero al nostro scopo (diventare un PSM)?
A mio parere le CPVI sono utili ma non necessarie; potrebbero diventare indispensabili se ad esempio non avete una laurea (o una laurea “giusta” vedi punto precedente).
Il mio consiglio: se l’azienda vi paga la certificazione o siete un libero professionista oppure non avete la laurea giusta, imbarcatevi nell’avventura delle CPVI; nella peggiore delle ipotesi sarete chiamati a studiare come ai tempi di scuola (sempre che non possiate usufruire del Grandfathering ….ma questo è un altro discorso) !!
3) Associazioni di esperti di sicurezza
Ce n’è a bizzeffe: CLUSIT, ISACA, AIPSI, ANSSAIF… Vale la pena di aggregarsi?Dipende… Alcuni di questi cenacoli gestiscono proprio le CPVI di cui sopra e dunque se vi state preparando ad uno di questi esami potrebbe essere utile frequentare gli ambienti giusti… Inoltre tutte queste associazioni organizzano seminari, giornate di studio e di approfondimento e gruppi di lavoro; tutte ottime occasioni per conoscere persone con il vostro stesso obiettivo…e chissà magari trovare anche un nuovo lavoro!
Io ho scelto ANSSAIF perché lavoro in banca e conosco alcuni membri del consiglio direttivo. Sono tutti professionisti che masticano la materia sin dai tempi della creazione del primo virus informatico (correva l’anno 1982).
Inoltre l’associazione non perde l’occasione per organizzare convegni “sui generis”; ogni anno infatti ci si prepara, proprio in questo periodo, ad una “tre giorni” nelle splendide colline della Toscana…..il tutto spesato dall’associazione! Ci si incontra per discutere le nuove strategie per “garantire la sicurezza nazionale” e per visitare la splendida abbazia di Vallombrosa.
Finisco con “i consigli per gli acquisti” per raccontare un episodio simpatico: durante un colloquio di assunzione con una giovane promessa della sicurezza informatica noto nel suo CV, sotto la voce “associazione professionale”, che è membro del MENSA. Chiedo, curioso, informazioni ed il futuro PSM mi informa che si tratta dell’associazione dei superdotati dal punto di vista del quoziente intellettivo (QI); in poche parole avevo davanti un genio!
Meditate gente, meditate…
4) Conoscenze professionali
“Ma come?” diranno i quattro lettori che ancora stanno leggendo questo articolo: sono laureato, sono certificato, sono associato e devo anche dimostrare di avere le giuste conoscenze professionali? A saperlo…..gettavo la spugna al “comandamento” 1!Certo! I tre punti precedenti riguardano le “basi professionali” del vostro mestiere qui invece si tratta di convincere chi legge il vostro CV che siete anche aggiornati sulle ultime novità. Quindi ad oggi (luglio 2006) ecco gli “spunti che assolutamente non possono mancare nel vostro curriculum:
- privacy: citare correttamente il d.gls 196/03 (evitare riferimenti alle legge 675 e dpr 318 ormai defunti!)
- analisi dei rischi: un must! Come il prezzemolo non può mancare nel CV del PSM. Opportuno citare qualche metodologia (la più in voga al momento: COSO – ERM)
- standard di sicurezza: qui dovete rischiare! Se ve la sentite dovete inserire oltre ai soliti ISO e BS qualcosa di nuovo (realmente esistente ovviamente…) ma che solo voi conoscete. Mi raccomando: preparatevi sull’argomento prima di presentarvi al colloquio!
- Managed Services: non parlate di difesa perimetrale, di antivirus e IDS (cose degli anni 90). Il futuro sono i managed services (trovate tutto su Google ).
5) Conoscenza della lingua inglese
Pensate che “Hot Dog” significhi “cane bollente”? Niente da fare: se non siete almeno in grado di leggere un white paper sui “Managed Services” scritto da un collega oltre Manica siete out! Che fare? Qui il gioco si fa duro. Se siete più o meno giovani e con molto tempo a disposizione, investite immediatamente sulla lingua.Viceversa: siete un professionista in carriera senza un attimo libero? Limitatevi a dichiarare “buona conoscenza della lingua inglese scritta” (la traduzione automatica di Google farà il resto).
(fine prima parte)
Alain De Cristofaris
Security Manager (così dicono!)
IsacaRoma links
Altri articoli dello stesso autore: "Sicurezza e Compliance: quando il gioco si fa duro"» email this story | printer friendly version | 8688 reads
