Standardizzazione Professionalità Certificazione

Transcript

1 LA CERTIFICAZIONE DELLE COMPETENZE ICT: CONDIZIONE NON SUFFICIENTE, MA NECESSARIA. UNA GUIDA PER I PROFESSIONISTI DELL'INFORMATION SECURITY. 1. Professionalità e competenze: la crescente importanza delle certificazioni 1 Prendiamola alla lontana: che il mercato ICT sia consolidato se non decisamente maturo e cosa assodata anche se non frequentemente ammessa. L utilizzo delle tecnologie ICT e ancora definito come innovativo ma ormai si tratta di applicare o adeguare tecnologie o soluzioni esistenti. La maturità del mercato è dimostrata, oltre che dalla concentrazione degli attori dell offerta, dal livello di standardizzazione della stessa: nelle reti è ormai vincente il modello IP, i sistemi operativi ormai si sono ridotti a tre/quattro, e anche gli applicativi, esclusi quelli specialistici, o addirittura di nicchia, si possono contare sulla punta delle dita è ovvio che il mercato ICT da assolutamente tumultuoso com era solo vent anni fa sia ormai pervenuto ad un sufficiente livello di consolidamento. Un altro forte indicatore dell evoluzione raggiunta (però anche una forte motivazione degli investimenti) è l attenzione che il legislatore/normatore ha dovuto porre negli ultimi anni a fronte della pervasivita (anche capillarità ) che l ICT ha avuto, ormai fino al consumatore finale. Standardizzazione Professionalità Certificazione Fig.1 Allo stesso modo, il fenomeno di consolidamento ha riguardato anche le figure professionali (le PERSONE) che hanno ormai la necessità (e la convenienza) di essere inquadrate, come si è verificato anche negli altri settori industriali: da qui la necessità di standardizzazione delle figure professionali; una attività che, già esistente nelle aziende di grande dimensione, è diventata piu necessaria e dettagliata dai tempi dell esplosione di Internet. Giusto per quantizzare in freddi numeri, la stima Assinform sui Professional ICT in Italia conta circa 800mila addetti, ma le stime che comprendono i cosiddetti utenti (o Power Users ) portano a circa a circa due milioni di persone ICT related: numeri che rapportati alla forza lavoro in Italia danno adito a parecchie considerazioni. Esattamente come si specificano i requisiti HW/SW il mondo della domanda e dell offerta (non limitato al rapporto cliente/fornitore ma anche a quello azienda/dipendente) si è attrezzato da tempo a formalizzare i profili del manware necessario, però con lessici e glossari molto spesso non comuni. 1 Formalmente bisognerebbe utilizzare il termine certificazione con una certa cautela, molto spesso trattandosi di attestazione (v. fig 1): pero in quest ambito, per evitare confusione, usiamo genericamente il termine certificazione nel senso di riconoscimento delle capacita professionali tramite esito positivo di esame da parte di ente od organizzazione.

2 Il modello europeo EUCIP [11] da una risposta a questa esigenza di standardizzazione, definendo titoli e profili di competenza delle professionalità informatiche. Lo stesso modello è infatti stato adottato come riferimento da DigitPA (ex CNIPA) nel suo Manuale operativo - Dizionario dei profili di competenza per le professioni ICT [16]. Ovviamente la corrispondenza tra la professionalità e il profilo e data principalmente da formazione ed esperienza, ma sempre piu a questa corrispondenza si richiede di essere visibile in modo non autoreferenziale e a questo risponde il concetto di certificazione delle professionalità. E opinione quindi di chi scrive che la certificazione sia un fenomeno in assoluta crescita. Potremmo scomodare concetti importanti quali globalizzazione, beni immateriali, società della conoscenza e dell informazione, ma quello che già avviene in pratica è che di fronte al consolidamento della domanda (conseguenza della standardizzazione), all aumento dell offerta (conseguenza della facilità di acquisire e vantare alcune conoscenze nel campo dell immateriale) e il sempre maggior ricorso all outsourcing, (soprattutto nelle sempre citate e spesso bistrattate PMI), la competenza deve essere immediatamente dimostrabile e la certificazione formale, pur con i limiti che ricorderemo più avanti, diventa l unico sistema riscontrabile. In questo contesto il settore IT dove il processo di Certificazione è più avanzato è quello della Information Security: stranamente, essendo una delle specializzazioni più recenti (rispetto a Program e Project Management, Analisi, Programmazione in tutte le sue declinazioni ), ma non troppo se si considera l importanza che ha assunto rapidamente nell ultimo decennio. Per questo, il Forum delle competenze digitali (formato nel 2008 da 22 Associazioni e Fondazioni, tra le maggiori operanti nei settori dell ICT, della Sicurezza, della Statistica, dell Auditing e Contabilità nazionale, della logistica e Trasporti, della Promozione manageriale e Consulenza amministrativa) ha affrontato il tema delle certificazioni delle competenze, partendo dal settore della Sicurezza Informatica, dove, per l appunto, i relativi profili EUCIP sono stati aggiunti solo negli ultimi anni. Forse perché quello della sicurezza è un settore trasversale che prima era affogato nelle competenze dell amministratore di sistema, ma anche perché se l obiettivo della Sicurezza delle Informazioni è Riservatezza, Disponibilità, Integrità (come definito dalla norma ISO27000) forse non è così distante dal dare il dato giusto alla persona giusta al momento giusto che da anni è l obiettivo primario del Sistema Informativo. 2. Il quadro delle certificazioni professionali in sicurezza informatica Nel nostro ambito, la più nota certificazione e sicuramente quella relativa allo schema ISO (intendendo la suite di norme relative alla sicurezza delle informazioni) che si riferisce ad una certificazione di sistema, non di competenze personali, ma si presenta come quella piu completa per la figura di Information Security Auditor [15]. Date le prospettive di sviluppo in corso presso ISO, essa merita una trattazione a parte

3 Fig. 2 Con un gioco di parole, si potrebbe dire che il riconoscimento delle competenze nell ambito della sicurezza informatica sia qualcosa di personale. Selezione e gestione delle risorse umane, per le aziende; presenza sul mercato del lavoro, per i professionisti. E il contesto organizzativo l elemento primario che determina il contenuto del profilo professionale e anche solo intendersi sui termini non è semplice: pensiamo al ruolo e al mosaico di competenze che corrispondono alla qualifica di IT administrator in una piccola azienda, in una multinazionale delle telecomunicazioni, nel settore sistemi informativi di una azienda ospedaliera. Nemmeno i contratti collettivi aiutano a sbrogliare questa matassa; come si vede in fig.3., esiste ancora la necessità di standardizzare le definizioni. Profili di competenza adottati 5.3 PRS Progettista per la Sicurezza Borsa lavoro Consulente per la Sicurezza informatica Riferimenti esterni ISFOL Security auditor Fig. 3 dal Dizionario dei profili di competenza per le professioni ICT, CNIPA, ott E un problema primario per il professionista, che si muove sul mercato per la propria capacità riconosciuta di accrescere il valore dell azienda con cui collabora. Lo è anche per l azienda o l ente pubblico committente, che affida a personale specializzato, e spesso esterno, la tutela della parte più preziosa ed intangibile del proprio patrimonio: le informazioni. Cosa può essere rilevante, e cosa è ragionevolmente possibile, certificare in un professionista? Chi può attestarne la competenza? Se stesso, in primo luogo, direttamente o con una dichiarazione dell azienda da cui dipende: accettabile ma con tutte le riserve del caso. Oppure attraverso la comunità dei propri pari, cioè un associazione o un albo professionale. In entrambi i casi si tratta di una attestazione di prima parte, assimilabile a una autocertificazione.

4 La qualificazione di un professionista può fatta da un suo cliente a seguito di opportune valutazioni. Si tratta di una attestazione di seconda parte (il cliente) verso l altra parte (il professionista come fornitore). La valutazione del professionista condotta da una terza parte indipendente, secondo regole stabilite da precise norme, che attesti che esso possiede i requisiti necessari e sufficienti per operare con competenza e professionalità in un determinato settore di attività, è definita attestazione di terza parte. La certificazione delle figure professionali attesta che una determinata persona, valutata da una terza parte indipendente, secondo regole prestabilite, possiede i requisiti necessari e sufficienti per operare con competenza e professionalità in un determinato settore di attività. Gli enti internazionali che si occupano di normazione hanno emesso documenti sull argomento e stabilito accorti multilaterali [1,2]. L International Standards Organization ha pubblicato nel 2003 la norma ISO General Requirements for Bodies Operating Certification of Persons, che definisce alcuni requisiti strutturali e operativi per gli enti che certificano persone. In Italia la struttura nazionale di SINCERT (ora ACCREDIA [4]) effettua l accreditamento degli Organismi di certificazione secondo propri regolamenti tecnici, conformi alle normative internazionali, nel contesto di accordi multilaterali internazionali. Gli enti di accreditamento, qualora non siano in possesso di appositi riconoscimenti giuridici, come nel nostro caso, agiscono sulla base di una delega "de facto" ad essi conferita spontaneamente dal sistema socio-economico. Per il particolare settore delle competenze nel campo della sicurezza informatica, la certificazione risulta quindi un attività non obbligatoria per il professionista ma strettamente legata alle dinamiche del mercato del lavoro. Al momento ACCREDIA/SINCERT ha accreditato specificatamente per erogare certificazioni di competenza del personale nel settore della Information Security solo due organismi di certificazione: AICQ-SICEV (Associazione Italiana Cultura Qualità, [5]) per le figure di Auditor/Responsabile gruppo di audit di Sistemi di gestione per la sicurezza delle informazioni; CEPAS (Organismo di Certificazione delle Professionalità e della Formazione, [6]) per le figure di ISMS 2 Auditor/Responsabili Gruppo di Audit. Sulla stessa area professionale, l audit di ISMS, certifica figure professionali anche RICEC (Registro internazionale di certificazione delle competenze, dei prodotti formativi e dei servizi), ente di certificazione svizzero con filiale a San Marino, tramite accreditamento emesso dall ente svizzero METAS-SAS. 2 ISMS = Information Security Management System

5 Fig. 4 - Struttura globale degli organismi di certificazione - Fonte: SINCERT (ACCREDIA) Esistono altre certificazioni di terza parte nell ambito delle professioni della sicurezza informatica. Delle altre alcune, nate e gestite sotto accreditamento statunitense, sono molto affermate a livello internazionale. I rispettivi organismi di certificazione sono da tempo oggetto di attenzione da parte del mercato italiano. Quasi sempre operano attraverso i capitoli locali di associazioni: - ISACA (Information Systems Audit and Control Association), per le figure CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager); opera in Italia tramite AIEA [7]; - (ISC) 2 (International Information Systems Security Certification Consortium), per le figure CISSP (Certified Information Systems Security Professional), con le specializzazioni o ISSAP (Architecture), o ISSEP (Engineering), o ISSMP (Management),

6 SSCP (Systems Security Certified Practitioner), CAP (Certification and Accreditation Professional), CSSLP (Certified Secure Software Lifecycle Professional); opera in Italia tramite CLUSIT [8] - SANS/GIAC (Global Information Assurance Certification) con un mosaico di certificazioni per profili che spaziano in ambiti tecnici, sia architetturali sia di sviluppo, sui quali tende a verificare anche la capacità operativa dei candidati, senza trascurare aspetti di incident handling e forensics; non dispone di rappresentanza in Italia [9] - CompTIA (Computing Technology Industry Association), con Security+; non dispone di rappresentanza in Italia [10] Due ulteriori schemi di certificazione, non ancora accreditati da SINCERT ma in crescita per via della loro attualità, meritano di essere posti all attenzione del professionista della sicurezza: - EUCIP (European Certification of Informatics Professionals) è un sistema europeo per la classificazione delle competenze e la definizione di profili professionali in ambito informatico; è stato sviluppato con il contributo dell Unione Europea da un folto gruppo di associazioni professionali informatiche europee raccolte nel CEPIS (Council of European Professional Informatics Societies), tra cui AICA per l Italia [11]. In EUCIP due profili riguardano in modo specifico la sicurezza informatica: o Security Adviser o IS Auditor Anche il profilo specialistico IT Administrator comprende un modulo dedicato al tema, in un contesto più generale di livello operativo. - LoCSI (Localizzazione delle Competenze della Sicurezza Informatica ), sviluppata da AIPSI (Associazione Italiana Professionisti della Sicurezza Informatica) per colmare il gap di competenze e di linguaggio tra il mondo delle normative, vero driver delle decisioni nel panorama attuale, e quello della tecnologia. [12] LocSI, in particolare, porta lo specialista IT a immergersi nel complesso mondo delle normative nazionali. Il suo vasto programma di studio parte dalla legge sul diritto d autore promulgata nel lontano 1941, per arrivare ai giorni nostri con le linee guida per la pubblica amministrazione, la privacy, l archiviazione sostitutiva, le norme di contrasto alla criminalità informatica, la sicurezza sul lavoro Anche il framework europeo e-cf (European e-competence Framework) è stato recentemente sviluppato con il contributo dell Unione Europea da un gruppo di aziende europee. Si rimanda al relativo sito [13] per approfondimenti. Per EUCIP, LocSI, i profili definiti da e-cf, possiamo parlare di certificazioni vendor independent, dato che i corrispondenti contenuti non si riferiscono a prodotti di mercato. Poi esiste il mondo (ovviamente riconosciuto immediatamente dal mercato) delle certificazioni vendor specific che sono normalmente definite da produttori di hardware e software, allo scopo di formare personale specializzato ad operare su specifici prodotti,in modo da accrescere il valore del proprio canale di distribuzione e della rete di servizi professionali. La lista dei vendor, tra i piu noti Microsoft e Cisco, che propongono questi schemi è decisamente lunga. Ente certificatore CEPIS (ISC)2 CEPAS, ISACA AIPSI CompTIA SANS/GIAC Riferimento AICQitaliano AICA CLUSIT SICEV AIEA AIPSI

7 Certificazione IS Au dit or Securi ty Advis er IT Admi nistrat or CI SS P SS CP C A P CS SL P or Audit CI S A CI S M LocSI Security+ Figura 5 - Enti certificatori e riferimenti locali; fonte Forum delle Competenze Digitali. IS M S Au dit Resp onsab ili Grup po di vari profili 3. Le certificazioni danno evidenza e valore ai professionisti della sicurezza? Come visto, il mondo delle certificazioni nel mondo IT, anche se ristretto alla sola Sicurezza Informatica, è abbastanza vasto: ricordando che altre ne esistono, tipicamente settoriali o specialistiche (PCI-DSS [14]; Cyber Security, ), AIPSI intende raccoglierle e classificarle in una specie di Syllabus che serva da guida per i propri associati. E comunque chiaro che la sola certificazione non è indice di capacità e qualità: ovviamente fanno ancora premio l esperienza e la qualità personale. Però, proprio a fronte delle considerazioni iniziali, al professionista della Sicurezza Informatica verrà sempre più richiesto di esibire formalmente il grado di conoscenze acquisite, soprattutto in questo settore dove tecnologia e normazione viaggiano di pari passo. Il formale riconoscimento professionale può essere utile non solo, come tradizione, per l'inserimento nel'organizzazione e per la gestione del percorso di carriera (tramite il rimpolpamento del proprio CV ) ma anche (e forse soprattutto) per riuscire a stabilire il giusto grado di confidenza che questo particolare ruolo richiede. Infatti, se le grandi organizzazioni (private e pubbliche) si dotano di persone e strutture interne, o comunque fanno cospicuo ricorso al mercato della grande consulenza, la maggior parte delle PMI sono normalmente a digiuno di conoscenze sul problema della sicurezza dei dati, giustamente impegnate come sono a occuparsi del business, e ricorrono al mercato dell ousourcing. Sicuramente, come detto, per il rapporto cliente/fornitore saranno sempre decisive le caratteristiche personali soggettive (esperienza, qualità, etica ) ma in un mercato affollato la certificazione diventa una prima discriminante oggettiva che anche se non sufficiente e necessaria per differenziarsi. A partire già dal curriculum, dove il selezionatore parte da informazioni senza conoscere la persona ma deve tenere conto delle dichiarazioni del candidato: di queste le certificazioni presentano un primo livello di discriminazione in quanto oggettive

8 Anche quando i processi di selezione sono meno formali, come nel caso delle PMI, e si basano sulla conoscenza diretta, il cliente non e però tecnico della questione e la presenza di certificazioni servono a rafforzare proprio questo aspetto: aumentare il livello di trust che il soggetto (dipendente o consulente) e in grado di garantire alla Direzione quando come frequentemente avviene rappresenta il braccio ICT dell intera azienda. Un ultima osservazione: proprio in questa settore ha una valenza tutta particolare anche un altra qualità (purtroppo non certificabile ) : l etica professionale. ISSA, e in Italia AIPSI, richiedono ai propri Soci l adesione formale al codice etico. Gli autori: Maurizio Mapelli, LA27001, LoCSI, segretario generale di AIPSI, Rosella Favino, CISA/CISM/CISSP, è senior security consultant per 4tech+ srl, e socio AIPSI, AIEA e (ISC) 2. Si occupa di sicurezza dei sistemi informativi dal AIPSI, ISSA Italian Chapter, e l Associazione Italiana dei Professionisti della Sicurezza Informatica, ISSA, e l Information Security Systems Association, 140 capitoli in 35 paesi, piu di associati in 70 paesi. Vocabolario minimo Accreditamento: attribuzione o conseguimento di credito. Attestazione: certificazione, documentazione; riprova; testimonianza, dichiarazione, affermazione sicura. Concr., certificato, attestato. Certificazione: attestazione di rispondenza a verità, autenticazione. Riferimenti [1] International Standards Organization, ISO General Requirements for Bodies Operating Certification of Persons, 2003, [2] International Accreditation Forum, Inc., IAF Guidance on the Application of ISO/IEC 17024:2003, 2004, [3] Forum delle Competenze Digitali, Competenze nella Sicurezza delle Informazioni, 1 rapporto, marzo 2009, [4] ACCREDIA/SINCERT: [5] AICQ-SICEV: [6] CEPAS: [7] ISACA: ; AIEA: [8] (ISC) 2 : ; CLUSIT: [9] GIAC : SANS: [10] CompTIA: [11] CEPIS: ; EUCIP in italiano ; AICA [12] AIPSI, LoCSI: [13] e-competence Framework: [14] PCI-DSS : [15] ISO: [16] DigitPA (CNIPA): Dizionario dei profili di competenza per le professioni ICT,