3.3 Certificazione di competenza del personale
Lo standard ISO17799 prevede che all’atto della verifica di un ISMS sia verificata anche la competenza e il processo formativo del personale che riveste un qualche ruolo nella attuazione delle politiche di sicurezza delle informazioni. Tale verifica, però, si limita a controllare se è stato previsto e/o attuato un processo formativo, ma non entra eccessivamente nel merito riguardo alla adeguatezza del processo formativo stesso rispetto alle effettive esigenze, né peraltro il Lead Auditor verifica puntualmente la effettiva competenza del personale.Nel caso un ente ritenga necessario avvalersi di personale con competenza certificata nel settore della sicurezza ICT, ha a disposizione una varietà di scelte che cercheremo di illustrare nel seguito, senza, peraltro, la pretesa di essere esaustivi, anche considerando la notevole varietà di certificazioni di competenza attualmente disponibili sul mercato.
In particolare, non entreremo nel merito di quale tipologia di certificazione di competenza sia necessaria per poter svolgere un particolare ruolo aziendale, in quanto questo argomento richiederebbe una analisi approfondita dei vari ruoli che esula dagli obiettivi primari del presente documento.
Analogamente a quanto avviene per le altre tipologie di certificazione di terza parte, anche nel caso della certificazione di competenza del personale è opportuno fare riferimento innanzitutto a quanto previsto dalle norme internazionali. Nel campo specifico, è stata emanata la norma ISO/IEC 17024, General requirements for bodies operating certification of persons, che stabilisce quali dovrebbero essere le caratteristiche di un Organismo di Certificazione abilitato a certificare la competenza professionale del personale, indipendentemente dalla competenza specifica che si vuole certificare. Tali requisiti sono, sostanzialmente, quelli riportati nel seguente elenco:
- Indipendenza
- Trasparenza
- Imparzialità
- Assenza di conflitti di interesse
- Partecipazione nel Consiglio Direttivo dell’Ente di Certificazione delle parti del mercato interessate
- Equilibrio nelle decisioni: non deve essere possibile che prevalgano interessi particolari
- Competenza
- Riservatezza
- Individuazione di un Codice Deontologico da far sottoscrivere ai professionisti prima della certificazione e da far rispettare nel tempo
- Durata delle certificazioni limitata e controllata nel tempo (e non a vita come per gli iscritti agli albi professionali)
- Concessione del rinnovo della certificazione (dopo un limitato periodo di tempo) solo se il professionista:
- ha curato l’aggiornamento professionale previsto;
- ha continuato a svolgere, nel periodo di tempo stabilito, l attività professionale per la quale è stato certificato;
- ha rispettato il codice deontologico sottoscritto
In Italia, il ruolo di Organismo super partes è svolto da SINCERT [5] che effettua l accreditamento degli organismi di certificazione di competenza in base alla ISO17024 e con riferimento alla Guida EA IAF ILAC A4 Ed 2004 [6]. La legittimazione di SINCERT ad effettuare tali accreditamenti risiede nel fatto che ha aderito agli accordi multilaterali EA [7] (European Cooperation for Accreditation) e IAF [8] (International Accreditation Forum).
Al momento, comunque, SINCERT ha accreditato 9 Organismi di certificazione di competenza del personale [9] in vari settori (ad esempio, esperti in prove non distruttive, di saldatura, di gestione ambientale, esperti in sistemi di qualità) ma nessuno di essi è accreditato specificatamente per erogare certificazioni di competenza nel settore della sicurezza ICT.
In questo contesto, meritano una particolare citazione sia CEPAS [10], sia KHC [11] che hanno attivato degli specifici schemi di certificazione denominati, rispettivamente:
- CEPAS:
- Security Manager/ Senior Security Manager
- Consulenti di Sistemi di Gestione della Security
- ICT Security Manager/ ICT Senior Security Manager
- ICT Security Auditor/ ICT Security Responsabili
- KHC
- Auditor Interno per Sistemi di Gestione della Security delle Informazioni
- Auditor / Lead Auditor per Sistemi di Gestione della
- Security delle Informazioni
- Auditor per la Privacy
In assenza, almeno in Italia, di un Organismo di certificazione di terza parte nel settore della sicurezza ICT, ci si può avvalere di altre tipologie di certificazione che possono essere suddivise in due grandi categorie: le certificazioni vendor neutral e le certificazioni vendor specific. La valutazione dell’affidabilità di ciascun tipo di certificazione dovrebbe tenere in conto anche delle modalità di attuazione dei requisiti stabiliti dalla ISO17024 che hanno comunque validità generale anche in assenza di un accreditamento formale in base alla norma ottenuto dall’ente erogante il particolare certificato di competenza.
Le certificazioni vendor neutral sono normalmente gestite o riferibili ad associazioni nazionali o internazionali senza scopo di lucro e, sostanzialmente, fondano la loro credibilità sulla maggiore o minore diffusione delle loro certificazioni di competenza, sulla riconosciuta affidabilità dei certificati di competenza emessi e sul comportamento deontologico delle persone che hanno acquisito e mantengono nel tempo quel particolare tipo di certificazione. Fanno parte di questa categoria, ad esempio, le certificazioni di seguito indicate.
ISACA [12] (Information Systems Audit and Control Association)
CISM (Certified Information Security Manager)
La Certificazione si pone l'obiettivo di qualificare professionisti dell'Information Security che abbiano maturato una sostanziale esperienza manageriale nell'Information Security e che siano quindi in grado di operare efficacemente nell'ambito delle 5 job practice analysis areas considerate quali knowledge statement di Security Management.Il Programma di Certificazione è costituito da un Corso facoltativo, da un esame, dall'attestazione di specifiche referenze che garantiscano un'adeguata esperienza del candidato nell'Information Security Management, e dall'adesione al codice di condotta professionale.
La Certificazione va mantenuta attraverso un rinnovo annuale ed il rispetto del Programma di Formazione Continua che richiede un minimo di 20 ore l'anno e di almeno 120 ore ogni 3 anni di formazione professionale nell'ambito della sicurezza
CISA (Certified InformationSecurity Auditor)
La Certificazione si pone l'obiettivo di qualificare professionisti che operano nella verifica, nel controllo e nella governance dei sistemi informativi, con particolare attenzione alla sicurezza. I professionisti debbono aver maturato una sostanziale esperienza nel settore e debbono essere quindi in grado di operare efficacemente nell'ambito dei 6 domini considerati quali knowledge statement per la verifica , il controllo e la sicurezza dei sistemi informatici.Il Programma di Certificazione è costituito da un Corso facoltativo, da un esame, dall'attestazione di specifiche referenze che garantiscano un'adeguata esperienza del candidato nell’Auditing dei Sistemi Informativi, e dall'adesione al codice di condotta professionale.
La Certificazione va mantenuta attraverso un rinnovo annuale ed il rispetto del Programma di Formazione Continua che richiede un minimo di 20 ore l'anno e di almeno 120 ore ogni 3 anni di formazione professionale nell'ambito della sicurezza.
(ISC)² [13] (International Information Systems Security Certification Consortium)
CISSP (Certified Information Systems Security Professional)
La Certificazione si pone l'obiettivo di qualificare professionisti che operano nella sicurezza informatica che abbiano maturato una sostanziale esperienza in almeno uno dei 10 domini considerati quali knowledge statement relativi alla sicurezza dei sistemi informatici.Il Programma di Certificazione è costituito da un Seminario facoltativo, da un esame, dall'attestazione di specifiche referenze che garantiscano un'adeguata esperienza operativa del candidato negli aspetti implementativi della Sicurezza Informatica, dall'adesione al codice di etica professionale e dall'endorcement.
Il mantenimento della Certificazione è basato sulla Formazione continua, e richiede un minimo di 120 crediti di Formazione Professionale Continua in 3 anni.
SSCP (Systems Security Certified Practitioner)
La Certificazione si pone l'obiettivo di qualificare professionisti che operano nell'implementazione della sicurezza informatica che abbiano maturato una sostanziale esperienza in almeno uno dei 7 domini considerati quali knowledge statement relativi alla sicurezza dei sistemi informatici.Il Programma di Certificazione è costituito da un Seminario facoltativo, da un esame, dall'attestazione di specifiche referenze che garantiscano un'adeguata esperienza operativa del candidato nella Sicurezza Informatica e dall'adesione al codice di etica professionale. Il Mantenimento della Certificazione è basato sulla Formazione continua e richiede un minimo di 60 crediti di Formazione Professionale Continua in 3 anni.
ISECOM [14] (Institute for Security and Open Methodologies)
OPSA (OSSTMM Professional Security Analyst)
È la Certificazione per l'analisi della sicurezza dal punto di vista delle procedure di esecuzione di security test (penetration testing e vulnerability scanning in particolare) nonché dell'elaborazione.e comprensione dei risultati finali, conforme alla metodologia OSSTMM (Open Source Security Testing Methodology Manual) dell'ISECOM.Lo scopo della certificazione OPSA è fornire una specializzazione, di tipo sia teorico che pratico, ai professionisti che operano nell'analisi dei sistemi informatici dal punto di vista delle violazioni di sicurezza.
Non ci sono particolari requisiti per il mantenimento della Certificazione
OPST (OSSTMM Professional Security Tester)
È la Certificazione per l'esecuzione di test di sicurezza (penetration testing e vulnerability scanning in particolare) preventiva conformi alla metodologia OSSTMM (Open Source Security Testing Methodology Manual) dell'ISECOM.Il Programma di Certificazione è costituito da un Corso che richiede quale prerequisito obbligatorio la conoscenza preventiva ed approfondita di alcuni temi di base (ad es. architetture e protocolli di rete, tecniche e software per le attività di security test) e dal superamento di un esame finale. Il corso prevede molte ore di pratica nella verifica delle vulnerabilità dei sistemi. Non ci sono particolari requisiti per il mantenimento della Certificazione.
IsacaRoma link
- Intervista a Luisa Franchina Direttore Generale dell’Istituto Superiore delle Comunicazioni e della Tecnologia dell’Informazione [15]
- Centro di formazione dei dipendenti della PA nel campo della sicurezza ICT [16]
- ISCOM - L'analisi e la gestione del rischio: principi e metodi [17]
- "Futuro Semplice": una nuova iniziativa di ISCOM [18]
- L’OCSI e la certificazione della sicurezza ICT [19]
- Fattori critici per lo sviluppo delle certificazioni di sicurezza secondo i Common Criteria [20]
- ISCOM: Anteprima sulle nuove linee guida sulla sicurezza e la qualità dei servizi - prima parte [21] e seconda parte [22]