Una certificazione professionale interessante per chi si occupa di sicurezza logica soprattutto sotto il profilo dell’audit e controllo, e che sta oltretutto acquistando una buona considerazione sul mercato, è quella di Lead Auditor secondo lo standard BS7799. Per essere più precisi si tratta della seconda parte della norma nella sua edizione 2002, ossia in sigla formale BS7799-2:2002.

Come noto si tratta di quella parte della BS7799, ancora non recepita dall’ISO, che specifica i requisiti per stabilire, implementare, gestire, controllare, revisionare, aggiornare e migliorare un Sistema di Gestione della Sicurezza delle Informazioni documentato, e come tale riguarda specificamente l’implementazione dei controlli di sicurezza necessari. A tal fine la norma prevede l’uso di 127 controlli raggruppati in dieci famiglie, che vanno dalle policy di sicurezza alla conformità ai requisiti legali.

Il corso di preparazione all’esame per Lead Auditor dura quattro giorni, dal lunedì al giovedì, ed è davvero “full-immersion”: la norma infatti prevede una formazione obbligatoria di quaranta ore, ossia dieci al giorno! In pratica la giornata di corso si svolge normalmente sino alle 18, poi prosegue con almeno un paio d’ore di esercitazioni e simulazioni in aula per poi finire con un’appendice di… compiti a casa da farsi necessariamente dopo cena! Non è un corso leggero, quindi pianificate una settimana di vera assenza dal lavoro se volete uscirne vivi. Da questo punto di vista è assai consigliabile il corso residenziale, ossia quello fatto in un albergo di un’altra città : lontani dagli impegni del lavoro e della famiglia sarete molto più tranquilli e concentrati, e se ne avvantaggerà anche la qualità del necessario lavoro di gruppo da svolgersi nelle inevitabili sessioni notturne.

L’esame, che si svolge il venerdì mattina, consiste in quattro sezioni scritte di difficoltà (e punteggio…) variabili: si va da alcuni quiz “di riscaldamento”, che in tutto quotano 15 punti sul totale, alla stesura di un rapporto di audit che da solo ne quota 30. Il punteggio massimo è 100, e per superare l’esame occorre fare almeno 70. Attenzione: il tempo è deliberatamente limitato, per simulare la condizione di stress che si instaura in un reale audit, quindi occorre gestirlo al meglio. Ma non lasciate che la fretta condizioni la qualità della vostra calligrafia o del vostro stile: l’esaminatore può infatti sottrarvi fino a sei punti per disordine, errori o comunque pecche formali del vostro elaborato! Le statistiche dicono che circa il 30% degli esaminati passa al primo colpo, ed infatti l’esame si può ripetere gratuitamente (e senza rifrequentare il corso) entro dodici mesi; la percentuale di successo alla seconda prova sale al 70% circa. Se tutto va bene, entro un mese otterrete direttamente dall’Inghilterra il tanto sospirato diploma.

Ultimo consiglio: non ragionate da consulenti! Scopo dell’auditor è rilevare le eventuali non conformità a quanto dichiarato, non mettersi a sindacare se le cose sono state fatte bene o male. Si tratta di un cambio di punto di vista forse ovvio ma assai difficile da adottare quando, avendo lavorato come consulenti per tanti anni, viene spontaneo soprattutto cercare di migliorare ciò che si vede.

Corrado Giustozzi: giornalista scientifico (UGIS), esperto e consulente di sicurezza informatica (CISM, BS7799 Lead Auditor).

Collabora con il Comando Generale e con il Reparto Operativo Speciale dell'Arma dei Carabinieri, e fa parte del Comitato Scientifico della Polizia delle Telecomunicazioni. Ha condotto importanti progetti di audit ed assessment e progettato infrastrutture di sicurezza presso grandi aziende e pubbliche amministrazioni. Attualmente è Security Evangelist presso Innovia S.p.A. Può essere contattato al seguente indirizzo: corrado.giustozzi@innovianet.it [1]