Formazione, Aggiornamento. e Certificazioni in Sicurezza

Formazione, Aggiornamento e Certificazioni in Sicurezza Informatica Andrea Pasquinucci Comitato Direttivo Comitato Tecnico Scientifico

Indice Presentazione di CLUSIT Sicurezza e Formazione Il problema dell aggiornamento continuo Panoramica sulle certificazioni CISSP e SSCP I seminari CLUSIT SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 2

CLUSIT Associazione no profit con sede presso l'università degli studi di Milano, Dipartimento di Informatica e Comunicazione Oltre 400 soci: in rappresentanza dell'intero Sistema Paese Gli obiettivi principali che l'associazione persegue sono la creazione e la diffusione di una cultura della sicurezza informatica presso le aziende private, gli enti della pubblica amministrazione e le organizzazioni economiche del nostro paese. SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 3

CLUSIT Obiettivi Diffondere la cultura della sicurezza informatica presso le aziende, la Pubblica Amministrazione ed i Cittadini Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la sicurezza informatica, sia a livello nazionale che europeo. Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle diverse figure professionali operanti nel settore della sicurezza. Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà. SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 4

CLUSIT Collaborazioni In ambito nazionale, il CLUSIT opera in collaborazione con: Ministero delle Comunicazioni Ministero degli Interni Ministero dell Istruzione dell Università e della Ricerca Dipartimento per l Innovazione e le Tecnologie Polizia Postale e delle Comunicazioni Autorità Garante per la tutela dei dati personali Autorità per le Garanzie nelle Comunicazioni Federcomin (Confindustria) Università e Centri di Ricerca Associazioni Professionali e Associazioni dei Consumatori. SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 5

CLUSIT Soci Rappresentano l intero Sistema Paese : RICERCA INDUSTRIA COMMERCIO e DISTRIBUZIONE BANCHE, FINANZA e ASSICURAZIONI PUBBLICA AMMINISTRAZIONE SANITÀ CONSULENZA, AUDIT SERVIZI TELECOMUNICAZIONI INFORMATICA SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 6

CLUSIT Network Europeo CLUSIT CLUSIS CLUSIF CLUSIB CLUSSIL Italia Svizzera Francia Belgio Lussemburgo In collaborazione con le altre associazioni europee, CLUSIT partecipa a progetti dell Unione Europea, consentendo ad aziende italiane di accedere ai finanziamenti europei. SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 7

CLUSIT Iniziative CLUSIT partecipa alle principali iniziative in materia di Sicurezza Informatica è Partner scientifico di è Education Affiliate (ISC)2 per i seminari ed esami CISSP e SSCP sostiene la Certificazione EUCIP IT Administrator modulo Security patrocina Master Universitari in Sicurezza Informatica SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 8

CLUSIT Priorità 2005-2006 Attività convegnistica: oltre 50 all anno Produzione di documenti tecnico scientifici. I Quaderni CLUSIT, riservati ai soci. Formazione specialistica: i Seminari CLUSIT (con cadenza mensile a Roma e Milano), gratuiti per i soci e i corsi CISSP (3 sessioni all anno). Certificazione (riconoscimento delle competenze) degli addetti alla sicurezza informatica. Realizzazione di Ricerche e Studi di Mercato Attività in comune con altre Associazioni (oltre 60) SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 9

CLUSIT Sul sito CLUSIT è disponibile il Quaderno: e Certificazioni Professionali in Sicurezza Informatica di Giorgio Giudice Per ulteriori informazioni e per aderire a CLUSIT: www.clusit.it info@clusit.it SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 10

Formazione La consapevolezza, la formazione, il continuo aggiornamento professionale e lo scambio di informazioni sono gli strumenti più efficaci per far fronte ai problemi della sicurezza. SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 11

La Formazione è un investimento La formazione in Sicurezza Informatica è il miglior investimento a protezione degli asset Aziendali La formazione mitiga il costo dell ignoranza: E necessaria una formazione di base in Sicurezza Informatica -Awareness- per evitare danni che spesso partono da errori banali La formazione aiuta ad effettuare scelte corrette: E indispensabile avere internamente le conoscenze per definire le strategie e le policies di sicurezza più idonee al proprio business La formazione per una competizione ad armi pari: E necessario avere internamente le conoscenze per affrontare le emergenze: ogni ritardo può essere un vantaggio per i concorrenti SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 12

Il percorso formativo Formazione di base Formazione avanzata (se necessaria) Certificazione Continuo aggiornamento SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 13

Perché? Sicurezza richiede conoscenza di vari aspetti: Normativi Procedurali Organizzativi Tecnici (sicurezza fisica e logica) SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 14

Conoscenze Non è possibile occuparsi di sicurezza informatica o solo essere coscienti dei rischi di sicurezza delle informazioni senza essere a conoscenza ad esempio: Delle recenti legislazioni e normative Degli ultimi sviluppi tecnici Delle ultime vulnerabilità scoperte Delle basi di utilizzo informatico della crittografia... SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 15

Alcuni numeri 7944 nuove versioni di virus nei primi 6 mesi del 2005, aumento del 54% (Sophos) Più di 100.000 versioni di virus note 30.000 PC conquistati da worm/bot/trojan al giorno (Symantec) Possibilità di sopravvivenza in internet di Win-XP senza patch dai 12 ai 34 minuti (Sophos, Internet Storm Center) 80% posta elettronica è SPAM o truffe (phishing...) SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 16

Vita-media Informatica E un fatto generalmente accettato che le soluzioni informatiche sono obsolete in al più 3 / 4 anni SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 17

La propensione al cambiamento ed ad investire in formazione delle PMI Italiane è appena sufficiente Manca la cultura dell innovazione attraverso l ICT Consigli: Investire in formazione Favorire la propensione al cambiamento Confrontarsi con le Best-in-Class Fonte: ricerca 2004-2005 dell Istituto Organizzazione e Sistemi Informativi (IOSI), Università Bocconi SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 18

Vantaggi per l individuo Una spinta alla propria carriera Migliore conoscenza, coscienza ed interesse nel proprio lavoro Gratificazione e soddisfazione personale Riduzione stress/noia/ripetitività Adeguamento alle capacità richieste dal mercato Credibilità come professionista di Security SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 19

Vantaggi per l azienda Incremento della produttività e della soddisfazione dei dipendenti Fiducia che la Security sia mantenuta da professionisti qualificati Riduzione dei rischi Garanzia dell adeguamento a norme di legge, Best Practices, certificazioni ecc. SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 20

Perché certificarsi La certificazione è alla base di tutti i meccanismi di mutuo riconoscimento di uno status In ICT Security le certificazioni sono necessarie per riconoscere chi possiede Competenze Etica Esperienza Sono richieste da molte aziende per posizioni di responsabilità SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 21

Aggiornamento continuo Vita media delle tecnologie informatiche molto breve Evoluzione delle problematiche di sicurezza molto veloce (sin troppo!) Unica soluzione: aggiornamento continuo Purtroppo non vi sono molte fonti di formazione continua di qualità (corsi, seminari, convegni, riviste, newsletter, webcast ecc.) Richiesto per il mantenimento di alcune certificazioni SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 22

Tipi di formazione Indirizzo Tipo Livello Area Vendor specific Tecnico Vendor neutral Gestionale / organizzativo Base Medio Alto Specialistica Generalista SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 23

Principali certificazioni vendor-neutral (ISC) 2 International Information Systems Security Certifications Consortium CISSP* Certified Information Systems Security Professional SSCP* System Security Certified Practitioner ISACA Information Systems Audit and Control Association CISA* Certified Information Systems Auditor CISM* Certified Information Security Manager SANS Institute GSEC GIAC Security Essentials Certification [...] GSE GIAC Security Expert ISECOM - Institute for Security and Open Methodologies OPST OSSTMM Professional Security Tester OPSA OSSTMM Professional Security Analyst OPSE OSSTMM Professional Security Expert CompTIA Computing Technology Industry Associatio CompTIA Security + EUCIP EUropean Certification of Informatics Professionals IT Administrator Modulo 5 * richiedono l adesione ad un codice etico e una esperienza lavorativa pregressa. è prevista nella metodologia l adesione ad un codice etico SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 24

Esempi di percorsi formativi Base Medio Alto EUCIP CISSP ECDL SSCP CISA... SANS* SANS* {vendor}...... {vendor} {vendor} SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 25

CLUSIT e (ISC) 2 CLUSIT coordina i seminari CISSP e gli esami CISSP e SSCP in Italia (neutral tecnico alto/medio - generalista) Almeno 3 cicli di seminari CISSP (5 giorni in inglese) e 3 esami all anno tra Milano e Roma I docenti dei seminari sono istruttori certificati (ISC) 2, all esame sono presenti un Supervisor e 2 Proctors SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 26

(ISC) 2 International Information Systems Security Certifications Consortium (ISC) 2 is the non-profit international leader dedicated to training, qualifying and certifying information security professionals worldwide. Fondata nel 1989: da 16 anni solo certificazioni in Sicurezza Informatica Le certificazioni principali: CISSP Certified Information Systems Security Professional SSCP System Security Certified Practitioner L aggiornamento del CBK (Common Body of Knowledge): I contenuti specialmente nella Sicurezza richiedono un continuo e tempestivo aggiornamento. Distribuzione geografica: circa 35.000 certificati in 110 paesi nel mondo. SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 27

CISSP i domini CBK Security Management Practices Law, Investigation & Ethics Physical Security Operations Security Business Continuity & Disaster Recovery Planning Computer, System & Security Architecture Access Control Systems & Methodology Cryptography Telecommunications & Network Security Application Program Security SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 28

CISSP percorso di certificazione Adesione al codice etico (ISC)² Superamento dell'esame basato sul CBK (ISC)² 250 domande a scelta multipla in lingua Inglese in 6 ore 4 anni di esperienza professionale in almeno uno dei domini del CBK (entro 5 anni dal superamento dell esame) L endorsement di un CISSP o di altra persona riconosciuta, che si faccia garante del candidato. Il mantenimento della certificazione CISSP è basata sulla formazione continua: 120 crediti CPE in 3 anni SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 29

SSCP i domini CBK Access Control Administration Audit and Monitoring Risk, Response and Recovery Cryptography Data Communications Malicious Code/Malware SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 30

SSCP percorso di certificazione Adesione al codice etico (ISC)² Superamento dell'esame basato sul CBK (ISC)² 125 domande a scelta multipla in lingua Inglese in 4 ore 1 anno di esperienza professionale in almeno uno dei domini del CBK Il mantenimento della certificazione CISSP è basata sulla formazione continua: 60 crediti CPE in 3 anni SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 31

Seminari CLUSIT Education Una risposta alla domanda di aggiornamento continuo di qualità Seminari a cadenza mensile a Milano e Roma Validi per i programmi CPE (Continuing Professional Education: CISSP, SSCP, CISA, CISM...) Vendor neutral tecnico o gestionale/organizzativo medio o alto specialistico SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 32

Seminari CLUSIT Education Gratuiti per i soci CLUSIT, agevolazioni per soci di associazioni convenzionate Curati dal Comitato Tecnico Scientifico CLUSIT su argomenti attuali di interesse specifico per la sicurezza informatica Seminari intensivi di 4 o 8 ore SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 33

Seminari 2004-2005 Principi di crittografia Digital Right Management Voice-over-IP Honeypot Documento elettronico Controllo dei lavoratori Crittografia quantistica Posta elettronica Reti WiFi Tecniche biometriche Sicurezza VLAN e LAN RFID Elementi probatori negli illeciti Sicurezza fisica Sicurezza informatica per la piccola impresa SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 34

Grazie Andrea Pasquinucci apasquinucci@clusit.it info@clusit.it www.clusit.it www.clusit.it/edu/ www.clusit.it/isc2/ SMAU 2005 Formazione in Sicurezza ICT Andrea Pasquinucci 35