Per gentile concessione dell’Istituto Superiore delle Comunicazioni e delle Tecnologie dell’Informazione pubblichiamo un paragrafo della nuova linea guida sulle certificazioni di sicurezza i cui contenuto ci sono stati anticipati dall’ ing. Luisa Franchina, Direttore Generale di ISCOM. Si tratta del paragrafo che affronta il tema della certificazione delle competenze del personale. Di tale linea guida abbiamo pubblicato anche l'indice completo.

3.3 Certificazione di competenza del personale

Lo standard ISO17799 prevede che all’atto della verifica di un ISMS sia verificata anche la competenza e il processo formativo del personale che riveste un qualche ruolo nella attuazione delle politiche di sicurezza delle informazioni. Tale verifica, però, si limita a controllare se è stato previsto e/o attuato un processo formativo, ma non entra eccessivamente nel merito riguardo alla adeguatezza del processo formativo stesso rispetto alle effettive esigenze, né peraltro il Lead Auditor verifica puntualmente la effettiva competenza del personale.

Nel caso un ente ritenga necessario avvalersi di personale  con competenza certificata nel settore della sicurezza ICT, ha a  disposizione una varietà di scelte che cercheremo di illustrare nel  seguito, senza, peraltro, la pretesa di essere esaustivi, anche considerando la notevole varietà di certificazioni di competenza  attualmente disponibili sul mercato.
In particolare, non entreremo nel merito di quale tipologia  di certificazione di competenza sia necessaria per poter svolgere  un particolare ruolo aziendale, in quanto questo argomento richiederebbe una analisi approfondita dei vari ruoli che esula dagli  obiettivi primari del presente documento.

Analogamente a quanto avviene per le altre tipologie di  certificazione di terza parte, anche nel caso della certificazione di  competenza del personale è opportuno fare riferimento innanzitutto a quanto previsto dalle norme internazionali. Nel campo specifico, è stata emanata la norma ISO/IEC 17024, General requirements for bodies operating certification of persons, che  stabilisce quali dovrebbero essere le caratteristiche di un  Organismo di Certificazione abilitato a certificare la competenza  professionale del personale, indipendentemente dalla competenza  specifica che si vuole certificare. Tali requisiti sono, sostanzialmente, quelli riportati nel seguente elenco:  

• Indipendenza
• Trasparenza
• Imparzialità
• Assenza di conflitti di interesse
• Partecipazione nel Consiglio Direttivo dell’Ente di Certificazione delle parti del mercato interessate
• Equilibrio nelle decisioni: non deve essere possibile che prevalgano interessi particolari
• Competenza
• Riservatezza
• Individuazione di un Codice Deontologico da far sottoscrivere ai professionisti prima della certificazione e da far rispettare nel tempo
• Durata delle certificazioni limitata e controllata nel tempo (e non a vita come per gli iscritti agli albi professionali)
• Concessione del rinnovo della certificazione (dopo un  limitato periodo di tempo) solo se il professionista:
• ha curato l’aggiornamento professionale previsto;
• ha continuato a svolgere, nel periodo di tempo stabilito, l attività professionale per la quale è stato certificato;
• ha rispettato il codice deontologico sottoscritto

La verifica che un Organismo di Certificazione possieda le su indicate caratteristiche dovrebbe essere verificata da un Organismo super partes che, a sua volta, abbia una legittimazione ad operare nel campo specifico.   
In Italia, il ruolo di Organismo super partes è svolto da SINCERT che effettua l accreditamento degli organismi di certificazione di competenza in base alla ISO17024 e con riferimento alla  Guida EA IAF ILAC A4 Ed 2004. La legittimazione di SINCERT ad effettuare tali accreditamenti risiede nel fatto che  ha aderito agli accordi multilaterali EA (European Cooperation  for Accreditation) e IAF (International Accreditation Forum).
Al momento, comunque, SINCERT ha accreditato 9 Organismi di certificazione di competenza del personale in vari settori (ad esempio, esperti in prove non distruttive, di saldatura,  di gestione ambientale, esperti in sistemi di qualità) ma nessuno di essi è accreditato specificatamente per erogare certificazioni di  competenza nel settore della sicurezza ICT.
In questo contesto, meritano una particolare citazione sia CEPAS, sia KHC  che hanno attivato degli specifici schemi di certificazione denominati, rispettivamente:

• CEPAS:
• Security Manager/ Senior Security Manager
• Consulenti di Sistemi di Gestione della Security
• ICT Security Manager/ ICT Senior Security Manager
• ICT Security Auditor/ ICT Security Responsabili

• KHC
• Auditor Interno per Sistemi di Gestione della Security delle Informazioni
• Auditor / Lead Auditor per Sistemi di Gestione della
• Security delle Informazioni
• Auditor per la Privacy

Pur consapevoli che sia Cepas sia KHC, che hanno già ottenuto l accreditamento SINCERT per altri schemi di certificazione della competenza del personale, non sono ancora stati accreditati ad erogare (al momento della scrittura del presente documento) specificatamente le suddette certificazioni di competenza nel campo specifico della sicurezza delle informazioni, si consiglia il lettore di verificare l evoluzione di un possibile accreditamento di questi Organismi di Certificazione anche per lo specifico schema, direttamente nei siti indicati.

In assenza, almeno in Italia, di un Organismo di certificazione di terza parte nel settore della sicurezza ICT, ci si può avvalere di altre tipologie di certificazione che possono essere suddivise in due grandi categorie: le certificazioni vendor neutral e le certificazioni vendor specific. La valutazione dell’affidabilità  di ciascun tipo di certificazione dovrebbe tenere in conto anche  delle modalità di attuazione dei requisiti stabiliti dalla ISO17024  che hanno comunque validità generale anche in assenza di un  accreditamento formale in base alla norma ottenuto dall’ente erogante il particolare certificato di competenza.
Le certificazioni vendor neutral sono normalmente gestite o riferibili ad associazioni nazionali o internazionali senza scopo  di lucro e, sostanzialmente, fondano la loro credibilità sulla maggiore o minore diffusione delle loro certificazioni di competenza,  sulla riconosciuta affidabilità dei certificati di competenza emessi  e sul comportamento deontologico delle persone che hanno acquisito e mantengono nel tempo quel particolare tipo di certificazione. Fanno parte di questa categoria, ad esempio, le certificazioni di seguito indicate.

ISACA (Information Systems Audit and Control Association)

CISM (Certified Information Security Manager)

La Certificazione si pone l'obiettivo di qualificare professionisti dell'Information Security che abbiano maturato una sostanziale esperienza  manageriale nell'Information Security e che siano quindi in grado di operare efficacemente nell'ambito delle 5 job practice analysis areas considerate quali knowledge statement di Security Management.
Il Programma di Certificazione è costituito da un Corso facoltativo, da un esame, dall'attestazione di specifiche referenze che garantiscano un'adeguata esperienza del candidato nell'Information Security Management, e dall'adesione al codice di condotta professionale.
La Certificazione va mantenuta attraverso un rinnovo annuale ed il rispetto del Programma di Formazione Continua che richiede un minimo di 20 ore l'anno e di almeno 120 ore ogni 3 anni di formazione professionale nell'ambito della sicurezza

CISA (Certified InformationSecurity Auditor)

La Certificazione si pone l'obiettivo di qualificare professionisti che operano nella verifica, nel controllo e nella governance dei sistemi informativi, con particolare attenzione alla  sicurezza. I professionisti debbono aver maturato una sostanziale esperienza nel settore e debbono essere quindi in grado di operare efficacemente nell'ambito dei 6 domini considerati quali knowledge statement per la verifica , il controllo e la sicurezza dei sistemi informatici.
Il Programma di Certificazione è costituito da un Corso facoltativo, da un esame, dall'attestazione di specifiche referenze che garantiscano un'adeguata esperienza del candidato nell’Auditing dei Sistemi Informativi, e dall'adesione al codice di condotta professionale.
La Certificazione va mantenuta attraverso un rinnovo annuale ed il rispetto del Programma di Formazione Continua che richiede un minimo di 20 ore l'anno e di almeno 120 ore ogni 3 anni di formazione  professionale nell'ambito della sicurezza.

(ISC)² (International Information Systems Security Certification Consortium) 

CISSP (Certified Information Systems Security Professional)

La Certificazione si pone l'obiettivo di qualificare professionisti che operano nella sicurezza informatica che abbiano maturato una sostanziale esperienza in almeno uno dei 10 domini considerati quali knowledge statement relativi alla sicurezza dei sistemi informatici.
Il Programma di Certificazione è costituito da un Seminario facoltativo, da un esame, dall'attestazione di specifiche referenze che garantiscano un'adeguata esperienza operativa del candidato negli aspetti implementativi della Sicurezza Informatica, dall'adesione al codice di etica professionale e dall'endorcement.  
Il mantenimento della Certificazione è basato sulla Formazione continua, e richiede un minimo di 120 crediti di Formazione Professionale Continua in 3 anni.

SSCP (Systems Security Certified Practitioner)

La Certificazione si pone  l'obiettivo di qualificare professionisti che operano nell'implementazione della sicurezza informatica che abbiano maturato una sostanziale esperienza in almeno uno dei 7 domini considerati quali knowledge statement relativi alla sicurezza dei sistemi informatici.
Il Programma di Certificazione è costituito da un Seminario facoltativo, da un esame, dall'attestazione di specifiche referenze che garantiscano un'adeguata esperienza operativa del candidato nella Sicurezza Informatica e dall'adesione al codice di etica professionale. Il Mantenimento della Certificazione è basato sulla  Formazione continua e richiede un minimo di 60 crediti di Formazione Professionale Continua in 3 anni.

ISECOM (Institute for Security and Open Methodologies)

OPSA (OSSTMM Professional Security Analyst)

È la Certificazione  per l'analisi della sicurezza dal punto di vista delle procedure di esecuzione di security test (penetration testing e vulnerability scanning in particolare) nonché dell'elaborazione.e comprensione dei risultati finali, conforme alla  metodologia OSSTMM (Open  Source Security Testing Methodology  Manual) dell'ISECOM.
Lo scopo della  certificazione OPSA è fornire una  specializzazione, di tipo sia teorico che pratico, ai professionisti che operano nell'analisi dei sistemi informatici dal punto di vista delle violazioni di sicurezza.
Non ci sono particolari requisiti per il mantenimento della Certificazione

OPST (OSSTMM Professional Security Tester)

È la Certificazione per l'esecuzione di test di sicurezza (penetration testing e vulnerability scanning in particolare) preventiva conformi alla metodologia OSSTMM (Open Source Security Testing Methodology Manual) dell'ISECOM.
Il Programma di Certificazione è costituito da un Corso che richiede quale prerequisito obbligatorio la conoscenza preventiva ed approfondita di alcuni temi di base (ad es. architetture e protocolli di rete, tecniche e software per le attività di security test) e dal superamento di un esame finale. Il corso prevede molte ore di pratica nella verifica delle vulnerabilità dei sistemi. Non ci sono particolari requisiti per il mantenimento della Certificazione.

IsacaRoma link

• Intervista a Luisa Franchina Direttore Generale dell’Istituto Superiore delle Comunicazioni e della Tecnologia dell’Informazione
• Centro di formazione dei dipendenti della PA nel campo della sicurezza ICT
• ISCOM - L'analisi e la gestione del rischio: principi e metodi
• "Futuro Semplice": una nuova iniziativa di ISCOM
• L’OCSI e la certificazione della sicurezza ICT
• Fattori critici per lo sviluppo delle certificazioni di sicurezza secondo i Common Criteria
• ISCOM: Anteprima sulle nuove linee guida sulla sicurezza e la qualità dei servizi - prima parte e seconda parte