Benefici derivanti dall'adozione di una metodologia nell'economia della conoscenza Elementi di scienza della formazione applicati ai modelli di figura professionale nell ambito della sicurezza informatica
Relatore: Fabrizio Sensibile Core Team ISECOM Senior Security Evaluator dal 2001 Former Contributor metodologia OSSTMM serie 2/3/4 OSSTMM Professional Security Tester OSSTMM Professional Security Analyst OSSTMM Professional Security Expert Analista ICT Security Docente per Esercito Italiano e raggruppamenti NATO. Docente per Comando Generale dell Arma C.C. Docente per CII Difesa. Docente per PDCM. Docente Master ICT Security Politecnico di Torino MEADOWS Docente al Master TILS ICS Università L Aquila Docente per Clusit Educational Docente Master MIP in scienze forensi Università degli studi Milano 3
Formazione e Sicurezza Fin dalla fine degli anni 90 in Italia la formazione professionale ha iniziato a considerare la sicurezza informatica come elemento di interesse, proponendo svariate soluzioni formative, veicolate attraverso strutture (spesso non adeguate rispetto alle implicazioni tecnologiche) e prevalentemente suddivisi in 3 categorie: Formazione di prodotto Formazione specialistica Formazione su esperienza soggettiva 4
Formazione di prodotto La formazione professionale in ambito IT security per anni si è verticalizzata su prodotti software/hardware creando percorsi formativi legati ad una tecnologia specifica, tralasciando le implicazioni legate al contesto di sicurezza. Questo negli anni ha portato situazioni di forte disomogeneità nella percezione di sicuro all interno delle organizzazioni. In alcuni casi la formazione legata a prodotti di larga diffusione permette di creare dei percorsi formativi progressivi legandoli al prodotto specifico e di conseguenza fermandone l applicabilità alle risorse operative. 5
Formazione specialistica Negli ultimi anni la formazione professionale ha inoltre creato dei corsi di formazioni specialistici finalizzati a formare una specifica professionalità per rispondere alle sempre maggiori esigenze che le organizzazioni hanno ad oggi, legate alla necessita di avere personale immediatamente operativo.. Questo tipo di formazione per quanto spesso legata a metodi e standard condivisi non conformano dei veri e propri percorsi formativi progressivi quanto approfondimenti verticali su un ruolo definito. La loro utilità, quando la fonte risulta di comprovata affidabilità, è indubbia in termini di specializzazione, ma rientra in una visione statica del discente in termini di crescita professionale. 6
Formazione soggettiva L altra tendenza meno verticale sulla formazione in tema IT security è sicuramente rappresentata dai corsi di formazione basati sull esperienza professionale e sulla percezione soggettiva dei singoli formatori. Questo approccio contribuisce a tutt oggi al diffondersi di fenomeni di formazione legati a mode e trend (adozione di terminologie proprie degli apparati di intelligence e forze armate in ambiti civili come esempio lampante). La stessa visione soggettiva del formatore non garantisce la creazione di percorsi formativi progressivi, perché spesso l esperienza su cui si basa non è onnicomprensiva. 7
Utilità dei corsi puntuali/specialistici Abbiamo già parlato dei corsi specialistici in termini assoluti indicandone i punti di forza ed i punti deboli. La percezione dei corsi specialistici può tuttavia essere modificata radicalmente se essi vengono inseriti all interno di percorsi formativi progressivi, andando a colmare lacune o fornendo gli strumenti e le capacità richieste al professionista e naturalmente verticalizzandoli sulla figura professionale. Quindi mentre prima un corso di Analisi Forense, ad esempio, poteva essere considerato un corso specialistico finalizzato alla creazione di un «Tecnico Forense» quello stesso corso inserito nella formazione di criminologia (metodo scientifico adottato nelle investigazioni criminali) assume un valore di allineamento rispetto alle esigenze richiesta dal metodo.. 8
Necessità di obbiettivi condivisi La necessità principale, in termini di finalizzazione di percorsi formativi completi e progressivi, consiste nel raggiungere lo stesso obbiettivo, sia esso pratico e tecnologico oppure legato alla gestione della conoscenza in azienda. In particolare nel mondo della sicurezza avere obbiettivi comuni ai vari settori che vi operano può risultare oltre che difficile in termini di applicazione quasi irraggiungibile in fase di addestramento delle risorse umane. Pensiamo alle stesse contraddizioni che nel settore in questione riscontriamo e che per i non addetti ai lavori (responsabili del personale, responsabile formazione aziendale, ecc..) creano ulteriore diffidenza. Esempio pratico ed immediato «un sistema non potrà mai essere del tutto sicuro i vostri asset devono essere messi in sicurezza». L adozione di un metodo di lavoro condiviso permette di uniformare sia nel linguaggio che nella percezione stessa di sicuro/insicuro i vari reparti che si occupano dell argomento. 9
Dispersione della formazione Adottare differenti approcci alla sicurezza rischia nel tempo di portare a contraddizioni e soprattutto a sprechi sia in termini economici (corsi molto simili frequentati per dissonanza di termini o peggio ancora corsi di formazione che a distanza di un anno diventano obsoleti) che in termini di economia della conoscenza sulla percezione legata alla diffusione ed al trasferimento di informazioni e conoscenza. Secondo lo schema di Gestione della Conoscenza di Nonaka e Takeuchi l adozione di approcci eterogenei nella trattazione di un argomento scientifico andrà ad impattare sulle fasi di Esternalizzazione e Combinazione. Considerando che la maggior parte delle organizzazioni italiane non ha figure aziendali che debbano arbitrare la conoscenza tacita o espressa il tutto si traduce in sprechi economici e cognitivi 10
Gestione della conoscenza Affrontando la gestione della conoscenza (KM) in ambito di sicurezza informatica vediamo come l omogeneità degli input possa definire un processo di apprendimento aziendale maggiormente efficace: Dialogo (tacito aziendale) Team Building Diffusione Verbale Interna lizzare tramite formazione Esternare formalizzando Elaborazione Trasferimento Collegare conoscenze esplicite Imparare applicando (Esplicito aziendale) 11
Metodo scientifico o empirismo Nella proposizione dei corsi professionali (e non solo purtroppo) la visione della sicurezza su cui si basano i programmi formativi rischia di essere frutto di osservazioni empiriche legate alla professionalità dell individuo e di conseguenza ad una percezione soggettiva. Per quanto possa sembrare aliena come affermazione, l esperienza e la soggettività in ambito di sicurezza possono essere un grande ostacolo, specie nella definizione degli obbiettivi. La mancanza di oggettività e la presunzione dell esperienza spesso conducono ad una percezione parziale della sicurezza, non potendosi poggiare su dei metodi di lavoro condivisi e confrontabili. La soluzione che la storia ci ha tramandato per ovviare a questi problemi consiste nell adozione di un metodo di lavoro che si basi sul Metodo Scientifico. 12
Metodologie e standard 1/2 Oggi fortunatamente il panorama della sicurezza è mutato costellandosi di riferimenti, standard, normative e modelli procedurali slegati da prodotti ed estranei al concetto di FUD., che permettono di razionalizzare procedure, operazioni, macro processi ed infine figure professionali coinvolte, che caratterizzano la sicurezza delle informazioni. All interno di questi riferimenti viene sempre inserito un momento fondamentale in alcuni casi, marginale in altri, ciclico o meno che sia, relativo alla misurazione diretta del livello di sicurezza, lasciando però inespresso il modo con cui queste operazioni vengono espletate. In alcuni casi come ad esempio per la PCI DSS le verifiche tecnologiche sono quanto meno dettagliate nella loro interezza, pur non proponendo un corretto metodo con cui esaminarle (nella 3.0 è prevista la dichiarazione del metodo utilizzato) 13
Metodologie e standard 2/2 l ISECOM (Institute for Security and Open Methodologies) ha creato la prima metodologia al mondo sia in termini di accettazione che temporali per questo tipo di attività: l OSSTMM (Open Source Security Testing Methodology Manual), che si pone come obbiettivo principale di fornire un metodo scientifico per delineare accuratamente il livello di sicurezza attraverso una serie di verifiche e correlazioni dei risultati. La metodologia OSSTMM inoltre ha creato un sistema di misurazione, in grado di fornire la percezione del livello di sicurezza tecnologico in termini assoluti, rendendo così altamente interoperabile l applicazione dei risultati di una verifica con la parte più procedurale della sicurezza. 14
Interoperabilità come chiave di crescita Analizzando le implicazioni dello scambio di informazioni nel modello di Knowledge Management, adottare un metodo che permetta l interoperabilità nei vari settori della sicurezza informatica, permette di delineare dei percorsi progressivi di formazione finalizzati alla maturazione e successiva evoluzione delle figure professionali. RAV 1. Sensibilizzazione Interna 2. Analisi benefici infrastruttura 3. Controllo e verifica 4. Analisi tendenza sicurezza 5. Supervisione servizi offerti/usufruiti Security Metrics 15
Un esempio concreto OSSTMM Applicazione Metodologia OSSTMM ad un modello generico di Knowledge Management (KL) Dialogo (tacito aziendale) Know how team Building Studio della metodologia di riferimento Assunzione della metodologia nei processi aziendali Formalizzazione di sicurezza e metrica Percorsi formativi multilivello basati su OSSTMM Formazione e pianificazione formativa Personalizzazione contenuti sulla propria realtà lavorativa 16
Problematiche formazione non strutturata Vediamo ora di riassumere in breve quelli che definiamo come elementi problematici di una formazione non strutturata, Percezione soggettiva della sicurezza Mancanza di terminologia condivisa Obbiettivi di sicurezza disomogenei Difficoltà di interazione tra reparti Corsi di formazione finalizzati al programma trattato 17
Vantaggi formazione metodologica Vediamo ora quali elementi cardine vengono introdotti dell adozione di una metodologia basata sul metodo scientifico: Esaustività Interoperabilità Omogeneità Benefici della formazione derivanti dall applicazione di una metodologia Percezione oggettiva della sicurezza Adozione di terminologie comuni Obbiettivi di sicurezza condivisi Interoperabilità tra differenti reparti e figure professionali Percorsi formativi di crescita professionale progressivi 18
Conclusioni Come abbiamo avuto modo di vedere la formazione in ambito sicurezza necessita di uno scheletro ben solido per poter aumentarne l efficacia sia in termini di ottimizzazione degli sforzi cognitivi che in ottica di protezione degli investimenti fatti. Riuscire inoltre ad inserire nel tacito delle informazioni aziendali un metodo condiviso rende i percorsi formativi approcciati parte continua del bagaglio culturale, assicurando che gli sforzi cognitivi delle singole risorse umane siano ottimizzate e sfruttate anche in caso di cambio di ruolo e naturale evoluzione del professionista. 19
Contatti E-Mail: fabrizio.sensibile@mediaservice.net Office: +39-011-32.72.100 20