Le certificazioni professionali

Transcript

1 Le certificazioni professionali Le certificazioni professionali per la sicurezza informatica Le Competenze della Sicurezza Informatica: dalla Tecnologia alla Legislazione Milano - 27 maggio 2008

2 Agenda Chi è il CLUSIT Le Certificazioni Professionali in Sicurezza Informatica Panoramica delle principali certificazioni (ISC) 2 e la certificazione CISSP CLUSIT è Education Affiliate (ISC) 2 per l'italia e il Ticino. l calendario di esami e seminari. Giorgio Giudice Milano 27 maggio

3 CLUSIT- Associazione Italiana per la Sicurezza Informatica Associazione "no profit" con sede presso l'università degli studi di Milano, Dipartimento di Informatica e Comunicazione Oltre 500 soci: in rappresentanza dell'intero "Sistema Paese Diffondere la cultura della sicurezza informatica presso le Aziende, la Pubblica Amministrazione e i cittadini Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza informatica, sia a livello nazionale che europeo Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle diverse figure professionali operanti nel settore della sicurezza Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà Giorgio Giudice Milano 27 maggio

4 Il Ruolo Istituzionale In ambito nazionale, Clusit opera in collaborazione con: Ministero delle Comunicazioni Ministero degli Interni Ministero dell Istruzione Presidenza del Consiglio, Dipartimento per l Innovazione e le Tecnologie Polizia Postale e delle Comunicazioni Autorità Garante per la tutela dei dati personali Autorità per le Garanzie nelle Comunicazioni Confindustria Servizi Innovativi e Tecnologici Università e Centri di Ricerca Associazioni Professionali e Associazioni dei Consumatori Giorgio Giudice Milano 27 maggio

5 I Rapporti Internazionali In ambito internazionale, Clusit partecipa a svariate iniziative in collaborazione con: CERT CLUSI (CLUSIB, CLUSIF, CLUSIS, CLUSSIL) Università e Centri di Ricerca in Austria, Belgio, Danimarca, Francia, Estonia, Grecia, Inghilterra, Irlanda, Lussemburgo, Olanda, Pologna, Spagna, Svezia e Svizzera Commissione Europea DG Information Society ENISA (European Network and Information Security Agency) OCSE (Organisation for Economic Co-operation and Development) Associazioni Professionali (ISACA, ASIS, ISC², ISSA, SANS) e Associazioni dei Consumatori Giorgio Giudice Milano 27 maggio

6 La formazione alla base della Sicurezza Informatica Tra gli obiettivi del CLUSIT è prioritaria la creazione e la diffusione di una cultura della sicurezza informatica presso le aziende private, gli enti della pubblica amministrazione e le organizzazioni economiche del nostro paese. L impegno CLUSIT nella formazione Giorgio Giudice Milano 27 maggio

7 Agenda Chi è il CLUSIT Le Certificazioni Professionali in Sicurezza Informatica Panoramica delle principali certificazioni (ISC) 2 e la certificazione CISSP CLUSIT è Education Affiliate (ISC) 2 per l'italia e il Ticino. l calendario di esami e seminari. Giorgio Giudice Milano 27 maggio

8 Le Certificazioni Professionali in Sicurezza Informatica Le Certificazioni Certificazione di prodotto Certificazione di sistemi (es. ISO 27001) Certificazioni di personale Certificazioni Vendor Certificazioni Non Vendor Giorgio Giudice Milano 27 maggio

9 Il Professionista della Sicurezza Informatica COSA CHIEDIAMO A UN PROFESSIONISTA DELLA SICUREZZA Competenza ed esperienza in ambito Normativo Procedurale Organizzativo Tecnico (sicurezza fisica e logica) Continuo aggiornamento professionale Rapido evolversi di tecnologie, normative, scenari organizzativi e politici, vulnerabilità, ecc. Garantire etica e fiducia Giorgio Giudice Milano 27 maggio

10 Le Certificazioni Professionali in Sicurezza Informatica PERCHE UNA CERTIFICAZIONE PROFESSIONALE DI SICUREZZA Base di tutti i meccanismi di mutuo riconoscimento di uno status. Essere riconosciuti come detentori di caratteristiche note a priori. Appartenenza a una comunità della quale vogliamo far parte. Per riconoscere chi possiede: le competenze l etica l esperienza Giorgio Giudice Milano 27 maggio

11 Le Certificazioni Professionali in Sicurezza Informatica Perché una Certificazione in Sicurezza Informatica è vantaggiosa a livello individuale? Molte Aziende leader richiedono una certificazione in Sicurezza per le posizioni di maggiore responsabilità. Una certificazione dà una accelerazione alla propria carriera e conferma la credibilità come professionista di Security. Tra i molti benefici di una certificazione soprattutto troviamo: Il riconoscimento delle capacità richieste dal mercato La prova della conoscenza delle best practice in Security Una maggior conoscenza per una maggiore soddisfazione professionale Una spinta alla propria carriera, che conduce alle posizioni più elevate in materia di Security Una forte credenziale che rende la professionalità individuale più vendibile Giorgio Giudice Milano 27 maggio

12 Le Certificazioni Professionali in Sicurezza Informatica Perché una Certificazione in Sicurezza Informatica è vantaggiosa a livello aziendale? Né le tecnologie, né le policies da sole offrono una effettiva protezione contro i furti e la perdita dei dati e delle informazioni. La maggiore difesa da questi pericoli è la conoscenza. Le aziende assumendo o formando personale traggono dalle certificazioni molti benefici: Efficienza nel recruiting, nel training e nell'avanzamento di carriera dei dipendenti Incremento della produttività posizionando personale al livello appropriato in funzione della esperienza maturata Incremento della soddisfazione nello svolgimento dei propri compiti e conseguente diminuzione del turnover Fiducia che la Security sia mantenuta da professionisti qualificati Creazione di processi di Security conformi alle Best Practices, uniformi e congrui tra loro Miglioramenti dell'operatività e maggiore efficienza organizzativa Aumento delle fiducia dei clienti e maggiore qualità del servizio. Giorgio Giudice Milano 27 maggio

13 La formazione in Sicurezza Informatica è un investimento La formazione in Sicurezza Informatica è il miglior investimento a protezione degli asset Aziendali La formazione mitiga il costo dell ignoranza: E necessaria una formazione di base in Sicurezza Informatica per evitare danni sostanziali che spesso partono da errori banali. La formazione aiuta ad effettuare scelte corrette: E indispensabile avere internamente le conoscenze per definire le strategie e le policies di sicurezza più idonee al proprio tipo di business. La formazione per una competizione ad armi pari: E necessario avere internamente le conoscenze per affrontare le emergenze: ogni ritardo può essere un vantaggio a favore dei concorrenti. Giorgio Giudice Milano 27 maggio

14 Sicurezza informatica: componente critica dell'azienda Complesse soluzioni di sicurezza, Requisiti normativi Minacce di intrusione spingono le organizzazioni ad attuare Strategie e politiche sulla sicurezza Professionisti altamente istruiti e qualificati Le aziende e i governi stanno iniziando a rendersi conto che il personale rappresenta la chiave di successo di qualsiasi programma sulla sicurezza E necessario investire nella loro risorsa più importante in termini di sicurezza delle informazioni: il personale e la relativa formazione. Giorgio Giudice Milano 27 maggio

15 Agenda Chi è il CLUSIT Le Certificazioni Professionali in Sicurezza Informatica Panoramica delle principali certificazioni (ISC) 2 e la certificazione CISSP CLUSIT è Education Affiliate (ISC) 2 per l'italia e il Ticino. l calendario di esami e seminari. Giorgio Giudice Milano 27 maggio

16 ISACA - Information Systems Audit and Control Association ISACA - Information Systems Audit and Control Association Fondata nel 1969, come associazione di EDP Auditor Nel 1978, inizia un programma di certificazione Più di soci in oltre 160 paesi Percorsi di certificazione: Superamento dell'esame CISA o CISM Almeno cinque anni di esperienza IS Auditing (CISA) o IS security (CISM) Aderenza al Codice di Etica Professionale Almeno 120 ore di formazione continua (CPE) ogni tre anni Esami e Seminari Esami e Seminari di preparazione sono gestiti dai Capitoli ISACA Giorgio Giudice Milano 27 maggio

17 Certificazioni ISACA: CISA CISM - CGEIT Assurance Certificazione CISA - Certified Information Systems Auditor certificati CISA in tutto il mondo Non solo tecnologia (organizzazione, controllo,...) Basata sull'esperienza Profilo manageriale medioalto: Manager, Responsabili dell'audit, Consulenti, Responsabili della Sicurezza Security Certificazione CISM - Certified Information Security Manager certificati CISM Orientamento di tipo gestionale (non tecnico) Basata sull'esperienza Profilo prettamente manageriale: Security Manager, CEO,CFO,CIO, Consulenti. Governance Certificazione CGEIT - Certified in the Governance of Enterprise IT Da poco costituita è in fase di Grandfathering con scadenza 31 ottobre 2008 Giorgio Giudice Milano 27 maggio

18 SANS Certificazioni GIAC GIAC (Global Information Assurance Certification) GIAC was founded in 1999 The SANS (SysAdmin, Audit, Network, Security) Institute was established in 1989 GIAC certifications cover four IT/IT Security job disciplines: Security Administration Management Audit Software Security Professionisti certificati: al Giorgio Giudice Milano 27 maggio

19 SANS Certificazioni GIAC GIAC Certified ISO Specialist (G7799) GIAC Assessing Wireless Networks (GAWN) GIAC Contracting for Data Security (GCDS) GIAC Certified Forensics Analyst (GCFA) GIAC Certified Firewall Analyst (GCFW) GIAC Certified Intrusion Analyst (GCIA) GIAC Certified Incident Handler (GCIH) GIAC Certified Security Consultant (GCSC) GIAC Certified UNIX Security Administrator (GCUX) GIAC Certified Windows Security Administrator (GCWN) GIAC Information Security Fundamentals (GISF) GIAC Information Security Professional (GISP) GIAC.Net (GNET) GIAC Operations Essentials Certification (GOEC) GIAC Reverse Engineering Malware (GREM) GIAC Security Audit Essentials (GSAE) GIAC Security Essentials Certification (GSEC) GIAC Secure Internet Presence (GSIP) GIAC Security Leadership Certification (GSLC) GIAC Systems and Network Auditor (GSNA) GIAC Securing Oracle Certification (GSOC) GIAC Certified Penetration Tester (GPEN) GIAC Certified Project Manager Certification (GCPM) GIAC Legal Issues (GLEG) GIAC Certified Incident Manager (GCIM) GSSP Secure Software Programmer - C (GSSP-C) GSSP Secure Software Programmer - Java (GSSP-JAVA) Giorgio Giudice Milano 27 maggio

20 Certificazione ISECOM ISECOM (Institute for Security and Open Methodologies) organizzazione non-profit nata nel 2001 da una collaborazione tra ricercatori in USA e Spagna. OSSTMM - Open Source Security Testing Methodology Manual La Certificazione OPSA (OSSTMM Professional Security Analyst) è la certificazione ufficiale dell'isecom per gli analisti di sicurezza, basata sull'open Source Security Testing Methodology Manual (OSSTMM). La Certificazione OPST (OSSTMM Professional Security Tester) è la certificazione ufficiale dell'isecom relativa ai test di sicurezza basati sull'open Source Security Testing Methodology Manual (OSSTMM). Professionisti certificati: 162 al Giorgio Giudice Milano 27 maggio

21 Agenda Chi è il CLUSIT Le Certificazioni Professionali in Sicurezza Informatica Panoramica delle principali certificazioni (ISC) 2 e la certificazione CISSP CLUSIT è Education Affiliate (ISC) 2 per l'italia e il Ticino. l calendario di esami e seminari. Giorgio Giudice Milano 27 maggio

22 (ISC) 2 International Information Systems Security Certifications Consortium is the non-profit international leader dedicated to training, qualifying and certifying information security professionals worldwide. Fondata nel 1989: da 19 anni solo certificazioni in Sicurezza Informatica L aggiornamento del CBK (Common Body of Knowledge): I contenuti specialmente nella Sicurezza richiedono un continuo e tempestivo aggiornamento. Distribuzione geografica: oltre certificati nel mondo in oltre 120 paesi. Giorgio Giudice Milano 27 maggio

23 CISSP Certified Information Security Systems Professional SSCP Systems Security Certified Practitioner ISSAP Information Systems Security Architecture Professional ISSMP Information Systems Security Management Professional ISSEP Information Systems Security Engineering Professional CAP Certification and Accreditation Professional Giorgio Giudice Milano 27 maggio

24 Il valore della certificazione CISSP Essere accreditati CISSP rappresenta per i professionisti un riconoscimento internazionale di eccellenza a garanzia della professionalità. Per le Aziende disporre di conoscenze orientate alle soluzioni e non settoriali, sempre aggiornate. Aumentare la credibilità con il rigore e l'aggiornamento continuo della certificazione. Dare al business il corretto orientamento della gestione del rischio. to the Professional to the Enterprise Career differentiator Confirms knowledge of a compendium of industry best practices Networking with global and domain experts Member of a family concerned about your career Solutions orientation, not specialization Broad understanding of a compendium of industry best practices The rigor and regimen adds to credibility A business and technology orientation to risk management Giorgio Giudice Milano 27 maggio

25 CISSP Accreditamento ISO/IEC ISO/IEC uno standard internazionale che definisce i criteri per i gli organismi di certificazione del personale fornisce linee guida per le organizzazioni che si occupano di qualificazione e certificazione del personale fornisce procedure per l'elaborazione e il mantenimento dello schema di certificazione aiuta gli organismi che certificano il personale a condurre valutazioni oggettive ed imparziali riduce il rischio di conflitto di interessi. Giorgio Giudice Milano 27 maggio

26 CISSP - I domini CBK Access Control Application Security Business Continuity and Disaster Recovery Planning Cryptography Information Security and Risk Management Legal, Regulations, Compliance and Investigations Operations Security Physical (Environmental) Security Security Architecture and Design Telecommunications and Network Security Giorgio Giudice Milano 27 maggio

27 CISSP - Il percorso di certificazione L'adesione al codice etico (ISC)² Il superamento dell'esame di certificazione basato sul CBK (ISC)² 250 domande a scelta multipla in lingua Inglese. I candidati hanno 6 ore per completare l'esame. Una consistente esperienza di lavoro specifica e approfondita di Sicurezza Informatica: 5 anni di esperienza professionale in almeno due dei domini del CBK L endorsement di un CISSP che si faccia garante del candidato. Il mantenimento della certificazione CISSP è basata sulla formazione continua: 120 crediti CPE (Continuing Professional Education) in 3 anni Giorgio Giudice Milano 27 maggio

28 Associate of (ISC) 2 CISSP - Il percorso di certificazione L'adesione al codice etico (ISC)² Il superamento dell'esame di certificazione basato sul CBK (ISC)² 250 domande a scelta multipla in lingua Inglese. I candidati hanno 6 ore per completare l'esame. Il superamento dell esame dimostra la propria competenza. Si ottiene il riconoscimento CISSP quando viene maturata l esperienza richiesta*. *entro 5 anni dal superamento dell esame. Giorgio Giudice Milano 27 maggio

29 SSCP - I domini CBK Access Controls Analysis and Monitoring Cryptography Malicious Code Networks and Telecommunications Risk, Response and Recovery Security Operations and Administration Giorgio Giudice Milano 27 maggio

30 SSCP - Il percorso di certificazione L'adesione al codice etico (ISC)² Il superamento dell'esame di certificazione basato sul CBK (ISC)² 125 domande a scelta multipla in lingua Inglese. I candidati hanno 4 ore per completare l'esame. 1 anno di esperienza professionale in almeno uno dei domini del CBK (ISC)² Il mantenimento della certificazione SSCP è basata sulla formazione continua: 60 crediti CPE (Continuing Professional Education) in 3 anni Giorgio Giudice Milano 27 maggio

31 ISSAP Information Systems Security Architecture Professional ISSAP, Concentration in Architecture CBK Domains Access Control Systems and Methodology Telecommunications and Network Security Cryptography Requirements Analysis and Security Standards/Guidelines Criteria Technology Related Business Continuity Planning (BCP) & Disaster recovery Planning (DRP) & Continuity of Operations Planning (COOP) Physical Security Integration Giorgio Giudice Milano 27 maggio

32 ISSEP Information Systems Security Engineering Professional ISSEP, Concentration in Engineering CBK Domains Systems Security Engineering Certification & Accreditation Technical Management U.S. Government Information Assurance (IA) Regulations Giorgio Giudice Milano 27 maggio

33 ISSMP Information Systems Security Management Professional ISSMP, Concentration in Management CBK Domains Enterprise Security Management Practices Enterprise-Wide Systems Development Practices Oversee the Compliance of Operations Security Understand Business Continuity Planning (BCP) & Disaster recovery Planning (DRP) & Continuity of Operations Planning (COOP) Law, Investigation, Forensics, and Ethics Giorgio Giudice Milano 27 maggio

34 (ISC) 2 Membership Membership 45,000 40,000 35,000 60,000 members worldwide 33,538 40,069 30,000 27,549 25,000 20,000 15,000 10,000 5,000 5,100 6,940 8, in Italy 5,252 7,239 8, EMEA Asia-Pacific Americas Japan /22/2008 Copyright (ISC) 2, Inc. All Rights Reserved. Giorgio Giudice Milano 27 maggio

35 EMEA Countries with Over 100 (ISC)² Members 213 in Italy Copyright (ISC) 2, Inc. All Rights Reserved. 35 Giorgio Giudice Milano 27 maggio

36 Agenda Chi è il CLUSIT Le Certificazioni Professionali in Sicurezza Informatica (ISC) 2 e la certificazione CISSP ISACA e le certificazioni CISA e CISM CLUSIT è Education Affiliate (ISC) 2 per l'italia e il Ticino. l calendario di esami e seminari. Giorgio Giudice Milano 27 maggio

37 La certificazione CISSP in Italia CLUSIT dal 2004 è Education Affiliate Authorized Provider e coordina i seminari CISSP e gli esami (ISC) 2 in Italia I docenti dei seminari sono istruttori certificati da (ISC) 2 Gli esami si svolgono in varie città in ogni parte del mondo e durante tutto l anno. Nel 2004 in Italia si contavano 53 certificati CISSP ad ora sono 213 i professionisti italiani certificati.. Giorgio Giudice Milano 27 maggio

38 Calendario 2008 esami e seminari CISSP ROMA MILANO Seminario CISSP Esame CISSP Seminario CISSP Esame CISSP marzo 19 aprile ottobre 22 novembre Giorgio Giudice Milano 27 maggio

39 Preparazione all esame CISSP Official (ISC)² Guide to the CISSP Exam pagine + CD-ROM $ 69,95 - acquistabile sul sito (ISC)² 62,80 Hoepli Seminario di preparazione all'esame CISSP 5 giornate consecutive 2.336,00 registrazione su include "Student Manual" di 550 pagine NON è richiesto per sostenere l esame Esame registrazione online 510,00 Giorgio Giudice Milano 27 maggio

40 Riferimenti: Seminari ed esami CISSP: (ISC) 2 ISACA SANS Institute ISECOM osstmm.mediaservice.net Giorgio Giudice Milano 27 maggio

41 Grazie dell attenzione Giorgio Giudice, CISM Socio fondatore CLUSIT Socio fondatore AIPSI ISSA Italian Chapter Giorgio Giudice Milano 27 maggio