Benefici derivanti dall'adozione di una metodologia nell'economia della conoscenza Elementi di scienza della formazione applicati ai modelli di

Documenti analoghi
1- Corso di IT Strategy

MANUALE DELLA QUALITÀ Pag. 1 di 6

ALLEGATO H VALUTAZIONE DELLA PERFORMANCE INDIVIDUALE DEI DIPENDENTI COMUNE DI CINISI Prov. Palermo

Trasparenza e Tracciabilità

Project Cycle Management La programmazione della fase di progettazione esecutiva. La condivisione dell idea progettuale.

M U L T I F A M I L Y O F F I C E

4. GESTIONE DELLE RISORSE

Progetto Atipico. Partners

Ridurre i rischi. Ridurre i costi. Migliorare i risultati.

PARTNER DI PROGETTO. Università degli Studi di Palermo Dipartimento di Ingegneria Industriale

Indagine su: L approccio delle aziende e delle associazioni nei confronti dell accessibilità dei siti web

ANTONELLA LAVAGNINO COMUNICAZIONE & MARKETING

LA FORMAZIONE PER LE PMI IL MODELLO FORMATIVO DINAMICO PER IL RESPONSABILE DI FINANZA E CONTROLLO

LO SVILUPPO DELLE COMPETENZE PER UNA FORZA VENDITA VINCENTE

b) Il responsabile del servizio di prevenzione e protezione dai rischi;

A cura di Giorgio Mezzasalma

AREA AUTISMO Carta dei servizi

PO 01 Rev. 0. Azienda S.p.A.

S i s t e m a d i v a l u t a z i o n e d e l l e p r e s t a z i o n i d e i d i p e n d e n t i

Alla c.a. Sindaco/Presidente Segretario Generale Dirigente competente


VIDEOSORVEGLIANZA E CERTIFICAZIONE

Sistemi Informativi e Sistemi ERP

Le fattispecie di riuso

COMUNE DI RAVENNA GUIDA ALLA VALUTAZIONE DELLE POSIZIONI (FAMIGLIE, FATTORI, LIVELLI)

Master in Europrogettazione

Business Process Management

ETA Management. ETA Management S.r.l. Via Volturno, Milano Tel Fax Milano, Gennaio 2009

Master in Europrogettazione

LA FORMAZIONE COME STRUMENTO ELETTIVO PER LA DIFFUSIONE DELLA CULTURA DELLA SICUREZZA, DELLA DIFFUSIONE DELLE CONOSCENZE

AGENDA DIGITALE: COSA I COMUNI SI ATTENDONO DALLA SUA ATTUAZIONE E COME I COMUNI POSSONO CONTRIBUIRE ALLA SUA ATTUAZIONE

RUOLO CENTRALE DEL DS NELL ACCOGLIENZA DEGLI ALUNNI DISABILI COME SENSIBILIZZARE E RESPONSABILIZZARE I DIRIGENTI

Meno rischi. Meno costi. Risultati migliori.

LTA Starts you up! è un servizio svolto in collaborazione con LTA e

Piano di Sviluppo Competenze

SVILUPPO TALENTI PROGETTO CONSEGUIRE OBIETTIVI RICERCARE ECCELLENZA

Consulenza e formazione dal 1967

Sogin - Linee Guida sui cantieri temporanei o mobili

Comune di San Martino Buon Albergo

INNOVAZIONE E RICERCA AL SERVIZIO DELLE AZIENDE E DELLE PERSONE

SACE BT realizza su tecnologia Microsoft la piattaforma di gestione delle polizze

Il catalogo MARKET. Mk6 Il sell out e il trade marketing: tecniche, logiche e strumenti

Preso atto che la somma da destinare alla formazione prevista nel bilancio di previsione dell Unione, è pari a 9.600,00 per l anno 2014;

L ATI composta da Associazione Nuovi Lavori e BIC Puglia s.c.a.r.l., nell ambito del progetto URLO Una rete per le opportunità, PROMUOVE

LA RESPONSABILITÀ SOCIALE DELLE IMPRESE CORPORATE SOCIAL RESPONSABILITY

PROJECT MANAGEMENT SERVIZI DI PROJECT MANAGEMENT DI ELEVATA PROFESSIONALITÀ

GRANDE INTERESSE DEI CIO ITALIANI VERSO IL CLOUD: TREND RILEVANTE PER IL

COS È UN MULTI FAMILY OFFICE

Apprendistato di alta formazione e ricerca

Comunicazione per le PMI nuove soluzioni a un problema di sempre una practice di Orga 1925

Sviluppo Sistemi Qualit à nella Cooperazione di Abitazione

Capitolo XVII. La gestione del processo innovativo

Il modello veneto di Bilancio Sociale Avis

Presidenza del Consiglio dei Ministri

Guadagnare, lavorare e innovare: il ruolo del riciclo nella green economy


L Integrazione dei Processi di Gestione delle Risorse Umane

ACCOGLIENZA PER BAMBINE e BAMBINI ADOTTATI NELLE SCUOLE

Costruire corsi online con Moodle

Il servizio di registrazione contabile. che consente di azzerare i tempi di registrazione delle fatture e dei relativi movimenti contabili

INDICAZIONI OPERATIVE PER VALUTARE E PROMUOVERE L ORGANIZZAZIONE AZIENDALE DELLA SICUREZZA

airis consulting Via Domenichino, Milano Tel: Fax: info@airisconsulting.it web:

SoftwareSirio Modelli di Board

leaders in engineering excellence

ORIENTARE = EDUCARE ALLE SCELTE

LA FORMAZIONE. Prof. Domenico SPINAZZOLA

L azienda leader in Italia nel settore investigativo

Approfondimenti e-book: I laboratori come strategia didattica autore: Antonia Melchiorre

Osservatorio ICT nel NonProfit. Claudio Tancini Novembre 2009

La certificazione ISO 9001:2000 nelle scuole

Ministero dell Istruzione, dell Università e della Ricerca. Allegato 9 - Profili Professionali

Il Business Process Management nella PA: migliorare la relazione con i cittadini ed ottimizzare i processi interni. A cura di Bernardo Puccetti

PSA: Laboratorio disciplinare di religione per gli insegnanti della scuola elementare

Condivisione di pratiche organizzative e didattiche per l inclusione scolastica degli alunni con Bisogni Educativi Speciali

Padova, 13 gennaio Il cruccio del Provider: ci sono o ci faccio? Marisa Sartori e Mauro Zaniboni

PROGETTO CITTADINANZA E COSTITUZIONE

catalogo corsi di formazione 2014/2015

ISA 610 e ISA 620 L'utilizzo durante la revisione dei revisori interni e degli esperti. Corso di revisione legale dei conti progredito

È possibile organizzare corsi e cicli presso la propria sede (Classi on-site)?

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

Comprendere il Cloud Computing. Maggio, 2013

RISCHIO INQUINAMENTO & SOLUZIONI ASSICURATIVE

4.5 CONTROLLO DEI DOCUMENTI E DEI DATI

CAPITOLO 11 Innovazione cam i amen o

La sicurezza sul lavoro. Concetti di base e accenni alla normativa vigente

FORMAZIONE DEI FORMATORI: l esperienza di Anni Azzurri

Comitato territoriale costituzione

Export Development Export Development

Allegato B: modello di presentazione

Master Universitario di I livello in Gestione dei Processi di Vendita

Monitoraggio fasi finali del progetto e valutazione. Elementi di caratterizzazione del progetto della rete

MODELLO ORGANIZZATIVO REGIONALE PER LA GESTIONE DEL RISCHIO CLINICO.

C omunicazione E fficace

Innovare i territori. Ennio Lucarelli Vice Presidente Confindustria Servizi Innovativi e Tecnologici

REALIZZARE UN BUSINESS PLAN

CAPITOLO 20 AGGIORNAMENTO DEL CODICE DI STOCCAGGIO

Le regole e i modelli organizzativi

STORE MANAGER.. LE COMPETENZE CARATTERISTICHE E I BISOGNI DI FORMAZIONE

Settore Agricoltura Beni culturali e ambientali Turismo. X Gestione del territorio

Transcript:

Benefici derivanti dall'adozione di una metodologia nell'economia della conoscenza Elementi di scienza della formazione applicati ai modelli di figura professionale nell ambito della sicurezza informatica

Relatore: Fabrizio Sensibile Core Team ISECOM Senior Security Evaluator dal 2001 Former Contributor metodologia OSSTMM serie 2/3/4 OSSTMM Professional Security Tester OSSTMM Professional Security Analyst OSSTMM Professional Security Expert Analista ICT Security Docente per Esercito Italiano e raggruppamenti NATO. Docente per Comando Generale dell Arma C.C. Docente per CII Difesa. Docente per PDCM. Docente Master ICT Security Politecnico di Torino MEADOWS Docente al Master TILS ICS Università L Aquila Docente per Clusit Educational Docente Master MIP in scienze forensi Università degli studi Milano 3

Formazione e Sicurezza Fin dalla fine degli anni 90 in Italia la formazione professionale ha iniziato a considerare la sicurezza informatica come elemento di interesse, proponendo svariate soluzioni formative, veicolate attraverso strutture (spesso non adeguate rispetto alle implicazioni tecnologiche) e prevalentemente suddivisi in 3 categorie: Formazione di prodotto Formazione specialistica Formazione su esperienza soggettiva 4

Formazione di prodotto La formazione professionale in ambito IT security per anni si è verticalizzata su prodotti software/hardware creando percorsi formativi legati ad una tecnologia specifica, tralasciando le implicazioni legate al contesto di sicurezza. Questo negli anni ha portato situazioni di forte disomogeneità nella percezione di sicuro all interno delle organizzazioni. In alcuni casi la formazione legata a prodotti di larga diffusione permette di creare dei percorsi formativi progressivi legandoli al prodotto specifico e di conseguenza fermandone l applicabilità alle risorse operative. 5

Formazione specialistica Negli ultimi anni la formazione professionale ha inoltre creato dei corsi di formazioni specialistici finalizzati a formare una specifica professionalità per rispondere alle sempre maggiori esigenze che le organizzazioni hanno ad oggi, legate alla necessita di avere personale immediatamente operativo.. Questo tipo di formazione per quanto spesso legata a metodi e standard condivisi non conformano dei veri e propri percorsi formativi progressivi quanto approfondimenti verticali su un ruolo definito. La loro utilità, quando la fonte risulta di comprovata affidabilità, è indubbia in termini di specializzazione, ma rientra in una visione statica del discente in termini di crescita professionale. 6

Formazione soggettiva L altra tendenza meno verticale sulla formazione in tema IT security è sicuramente rappresentata dai corsi di formazione basati sull esperienza professionale e sulla percezione soggettiva dei singoli formatori. Questo approccio contribuisce a tutt oggi al diffondersi di fenomeni di formazione legati a mode e trend (adozione di terminologie proprie degli apparati di intelligence e forze armate in ambiti civili come esempio lampante). La stessa visione soggettiva del formatore non garantisce la creazione di percorsi formativi progressivi, perché spesso l esperienza su cui si basa non è onnicomprensiva. 7

Utilità dei corsi puntuali/specialistici Abbiamo già parlato dei corsi specialistici in termini assoluti indicandone i punti di forza ed i punti deboli. La percezione dei corsi specialistici può tuttavia essere modificata radicalmente se essi vengono inseriti all interno di percorsi formativi progressivi, andando a colmare lacune o fornendo gli strumenti e le capacità richieste al professionista e naturalmente verticalizzandoli sulla figura professionale. Quindi mentre prima un corso di Analisi Forense, ad esempio, poteva essere considerato un corso specialistico finalizzato alla creazione di un «Tecnico Forense» quello stesso corso inserito nella formazione di criminologia (metodo scientifico adottato nelle investigazioni criminali) assume un valore di allineamento rispetto alle esigenze richiesta dal metodo.. 8

Necessità di obbiettivi condivisi La necessità principale, in termini di finalizzazione di percorsi formativi completi e progressivi, consiste nel raggiungere lo stesso obbiettivo, sia esso pratico e tecnologico oppure legato alla gestione della conoscenza in azienda. In particolare nel mondo della sicurezza avere obbiettivi comuni ai vari settori che vi operano può risultare oltre che difficile in termini di applicazione quasi irraggiungibile in fase di addestramento delle risorse umane. Pensiamo alle stesse contraddizioni che nel settore in questione riscontriamo e che per i non addetti ai lavori (responsabili del personale, responsabile formazione aziendale, ecc..) creano ulteriore diffidenza. Esempio pratico ed immediato «un sistema non potrà mai essere del tutto sicuro i vostri asset devono essere messi in sicurezza». L adozione di un metodo di lavoro condiviso permette di uniformare sia nel linguaggio che nella percezione stessa di sicuro/insicuro i vari reparti che si occupano dell argomento. 9

Dispersione della formazione Adottare differenti approcci alla sicurezza rischia nel tempo di portare a contraddizioni e soprattutto a sprechi sia in termini economici (corsi molto simili frequentati per dissonanza di termini o peggio ancora corsi di formazione che a distanza di un anno diventano obsoleti) che in termini di economia della conoscenza sulla percezione legata alla diffusione ed al trasferimento di informazioni e conoscenza. Secondo lo schema di Gestione della Conoscenza di Nonaka e Takeuchi l adozione di approcci eterogenei nella trattazione di un argomento scientifico andrà ad impattare sulle fasi di Esternalizzazione e Combinazione. Considerando che la maggior parte delle organizzazioni italiane non ha figure aziendali che debbano arbitrare la conoscenza tacita o espressa il tutto si traduce in sprechi economici e cognitivi 10

Gestione della conoscenza Affrontando la gestione della conoscenza (KM) in ambito di sicurezza informatica vediamo come l omogeneità degli input possa definire un processo di apprendimento aziendale maggiormente efficace: Dialogo (tacito aziendale) Team Building Diffusione Verbale Interna lizzare tramite formazione Esternare formalizzando Elaborazione Trasferimento Collegare conoscenze esplicite Imparare applicando (Esplicito aziendale) 11

Metodo scientifico o empirismo Nella proposizione dei corsi professionali (e non solo purtroppo) la visione della sicurezza su cui si basano i programmi formativi rischia di essere frutto di osservazioni empiriche legate alla professionalità dell individuo e di conseguenza ad una percezione soggettiva. Per quanto possa sembrare aliena come affermazione, l esperienza e la soggettività in ambito di sicurezza possono essere un grande ostacolo, specie nella definizione degli obbiettivi. La mancanza di oggettività e la presunzione dell esperienza spesso conducono ad una percezione parziale della sicurezza, non potendosi poggiare su dei metodi di lavoro condivisi e confrontabili. La soluzione che la storia ci ha tramandato per ovviare a questi problemi consiste nell adozione di un metodo di lavoro che si basi sul Metodo Scientifico. 12

Metodologie e standard 1/2 Oggi fortunatamente il panorama della sicurezza è mutato costellandosi di riferimenti, standard, normative e modelli procedurali slegati da prodotti ed estranei al concetto di FUD., che permettono di razionalizzare procedure, operazioni, macro processi ed infine figure professionali coinvolte, che caratterizzano la sicurezza delle informazioni. All interno di questi riferimenti viene sempre inserito un momento fondamentale in alcuni casi, marginale in altri, ciclico o meno che sia, relativo alla misurazione diretta del livello di sicurezza, lasciando però inespresso il modo con cui queste operazioni vengono espletate. In alcuni casi come ad esempio per la PCI DSS le verifiche tecnologiche sono quanto meno dettagliate nella loro interezza, pur non proponendo un corretto metodo con cui esaminarle (nella 3.0 è prevista la dichiarazione del metodo utilizzato) 13

Metodologie e standard 2/2 l ISECOM (Institute for Security and Open Methodologies) ha creato la prima metodologia al mondo sia in termini di accettazione che temporali per questo tipo di attività: l OSSTMM (Open Source Security Testing Methodology Manual), che si pone come obbiettivo principale di fornire un metodo scientifico per delineare accuratamente il livello di sicurezza attraverso una serie di verifiche e correlazioni dei risultati. La metodologia OSSTMM inoltre ha creato un sistema di misurazione, in grado di fornire la percezione del livello di sicurezza tecnologico in termini assoluti, rendendo così altamente interoperabile l applicazione dei risultati di una verifica con la parte più procedurale della sicurezza. 14

Interoperabilità come chiave di crescita Analizzando le implicazioni dello scambio di informazioni nel modello di Knowledge Management, adottare un metodo che permetta l interoperabilità nei vari settori della sicurezza informatica, permette di delineare dei percorsi progressivi di formazione finalizzati alla maturazione e successiva evoluzione delle figure professionali. RAV 1. Sensibilizzazione Interna 2. Analisi benefici infrastruttura 3. Controllo e verifica 4. Analisi tendenza sicurezza 5. Supervisione servizi offerti/usufruiti Security Metrics 15

Un esempio concreto OSSTMM Applicazione Metodologia OSSTMM ad un modello generico di Knowledge Management (KL) Dialogo (tacito aziendale) Know how team Building Studio della metodologia di riferimento Assunzione della metodologia nei processi aziendali Formalizzazione di sicurezza e metrica Percorsi formativi multilivello basati su OSSTMM Formazione e pianificazione formativa Personalizzazione contenuti sulla propria realtà lavorativa 16

Problematiche formazione non strutturata Vediamo ora di riassumere in breve quelli che definiamo come elementi problematici di una formazione non strutturata, Percezione soggettiva della sicurezza Mancanza di terminologia condivisa Obbiettivi di sicurezza disomogenei Difficoltà di interazione tra reparti Corsi di formazione finalizzati al programma trattato 17

Vantaggi formazione metodologica Vediamo ora quali elementi cardine vengono introdotti dell adozione di una metodologia basata sul metodo scientifico: Esaustività Interoperabilità Omogeneità Benefici della formazione derivanti dall applicazione di una metodologia Percezione oggettiva della sicurezza Adozione di terminologie comuni Obbiettivi di sicurezza condivisi Interoperabilità tra differenti reparti e figure professionali Percorsi formativi di crescita professionale progressivi 18

Conclusioni Come abbiamo avuto modo di vedere la formazione in ambito sicurezza necessita di uno scheletro ben solido per poter aumentarne l efficacia sia in termini di ottimizzazione degli sforzi cognitivi che in ottica di protezione degli investimenti fatti. Riuscire inoltre ad inserire nel tacito delle informazioni aziendali un metodo condiviso rende i percorsi formativi approcciati parte continua del bagaglio culturale, assicurando che gli sforzi cognitivi delle singole risorse umane siano ottimizzate e sfruttate anche in caso di cambio di ruolo e naturale evoluzione del professionista. 19

Contatti E-Mail: fabrizio.sensibile@mediaservice.net Office: +39-011-32.72.100 20

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back