Traduzione di Agatino Grillo.
Sono sempre stato contrario alle certificazioni: ho spesso avuto a che fare sia con professionisti della sicurezza non capaci ma dotati di certificazioni sia con bravi professionisti senza nessuna certificazione.
Ma sto cominciando a credere che, sebbene le certificazioni non siano perfette, esse tuttavia sono da un lato un buon mezzo per imparare alcune delle cose che ogni esperto di sicurezza dovrebbe conoscere e dall’altro uno strumento per assumere un candidato con le expertise richieste.
Perché ho cambiato idea? Perché sono cambiati sia i requisiti che il mercato richiede sia i programmi di certificazione.
Chiunque può inventare un sistema di sicurezza che egli stesso non è in grado “rompere”. Ho ripetuto questo concetto tante di quelle volte che Cory Doctorow l’ha ribattezzata la "legge di Schneier ". Quando qualcuno costruisce un sistema di sicurezza e dice "Credo che esso sia sicuro" la prima cosa da chiedergli è: "Chi diavolo sei?" Mostrami quali altri sistemi hai “rotto” e dimostrami così che la tua affermazione sulla sicurezza di questo nuovo sistema ha un qualche significato.
Il tipo di expertise che non può essere trovata in una certificazione è la combinazione tra un feeling innato per la sicurezza, una vasta conoscenza della letteratura accademica sulla sicurezza, una notevole esperienza nei sistemi di sicurezza e la pratica. Quando ho assunto qualcuno per progettare e valutare sistemi di sicurezza non ho mai dato grande attenzione alle certificazioni. Per me esse erano poco utili; io ho sempre cercato un diverso tipo di skill e competenze.
Ma molte aziende non hanno bisogno di assumere il mio stesso genere di persone. La network security è ormai diventata standardizzata; le aziende hanno bisogno di professionisti non di ricercatori. Questo è positivo perché c’è una tale richiesta di professionisti della sicurezza che non si riesce più a trovare i ricercatori; i programmi di certificazione sono buoni per produrre nuovi professionisti.
Con gli anni i programmi di certificazione sono migliorati. Adesso essi insegnano effettivamente ciò di cui i professionisti della security hanno bisogno. Se non si ha bisogno di un laureato in grado di progettare un protocollo di sicurezza o di valutare un sistema crittografico allora le certificazioni sono perfette e formano in maniera adeguata per la maggior parte dei lavori di sicurezza di cui le aziende hanno bisogno.
Nella mia azienda incoraggiamo i nostri security analyst a frequentare i corsi di certificazione. Riteniamo che sia il mezzo che dia il miglior rapporto costo/beneficio per dar loro gli skill necessari per il nostro lavoro.
Naturalmente tali programmi non sono perfetti. Incontro ancor oggi professionisti della sicurezza impreparati ma certificati ed eccellenti professionisti della sicurezza senza alcuna certificazione.
In poche parole le certificazioni sono come la profilazione: funziona ma in modo disordinato. Il solo fatto di essere in possesso di una certificazione non significa che si sia in possesso della security expertise di cui si è alla ricerca (in altre parole ci sono falsi positivi). E solo perché qualcuno non ha una certificazione di sicurezza ciò non significa che egli non possieda la security expertise cercata (falsi negativi). In poche parole si usano le certificazioni per le stesse ragioni per cui si usano i profili: perché non si ha il tempo, la pazienza o l’abilità di testare esplicitamente quello che stiamo ricercando.
La profilazione basata sulle certificazioni di sicurezza è la via più facile per un’azienda per fare una buona assunzione e la via più facile per formare chi già lavora per essa; in tutta onestà di solito la cosa funziona abbastanza bene.
Questo articolo è apparso originalmente come “botta e risposta” con Marcus Ranum nel numero di Luglio 2006 di Information Security Magazine [2]. (È necessario riempire un noioso survey per poter leggere il punto di vista di Marcus ma 1) puoi mentire, 2) ne vale la pena.)
Link consigliati: Guida alle certificazioni di sicurezza [3] (lingua inglese)
Bruce Schneier, agosto 2006
IsacaRoma Newsletter link
- Bruce Schneier: Economia e Sicurezza delle Informazioni [4]
- Bruce Schneier: domande e risposte [5]
- Bruce Schneier: le vulnerabilità dei software e le responsabilità [6]
- Il futuro della privacy, di Bruce Schneier [7]
- Bruce Schneier: il phishing [8]
- Beyond Fear di Bruce Schneier [9]