Come si evolvono le norme tecniche e gli standard per la sicurezza informatica e soprattutto le certificazioni professionali in questo settore in forte crescita?
Sicurezza informatica, sicurezza delle informazioni o cyber security che si voglia chiamarla, il tema è sempre più sotto i riflettori per la sua crescente importanza all’interno del mondo in costante evoluzione tecnologica in cui viviamo. Maggiore interesse sul tema significa anche una maggiore domanda da parte delle organizzazioni, che tuttavia molto spesso non sanno come districarsi o quantomeno hanno problemi a distinguere tra un valido prodotto/servizio/collaboratore e uno che lo è molto meno.
Proprio questo motivo è uno di quelli che hanno più contribuito all’affermazione delle certificazioni, rispettivamente di prodotti, di servizi o delle persone. Naturalmente un buon professionista del settore deve sapersi districare tra tutte queste certificazioni, tra cui le più famose sono indubbiamente la ISO/IEC 15408 per i prodotti e la ISO/IEC 27001 per la più generale gestione della sicurezza informatica, ma può vantare come elemento distintivo rispetto a un altro professionista solo quelle relative alle persone, più comunemente note come “certificazioni professionali”. Associazioni di settore come CLUSIT hanno rilasciato dei quaderni che introducono e descrivono le principali certificazioni professionali relative alla sicurezza informatica su tematiche innovative o basate su formule particolari, oggi disponibili sul mercato italiano.
Un elemento di discontinuità rispetto a questo scenario sta tuttavia facendosi strada negli ultimi anni grazie all’iniziativa europea legata all’e-Competence Framework, il quale si è occupato, ampliando immensamente la prospettiva delle sole certificazioni professionali, di creare un vero e proprio sistema per la composizione di profili di professionisti operanti nel settore ICT europeo. Questi profili sono libere composizioni di un insieme di 40 “mattoni” a ognuno dei quali sono associati un livello di padronanza da un lato e un gruppo di abilità e conoscenze specifiche dall’altro lato. Su questa base sono stati definiti 23 profili generalmente validi per il mondo dell’ICT a cui è possibile collegare profili di maggiore dettaglio. Per quanto concerne la sicurezza informatica, sono stati individuati 12 profili e sono stati definiti in una norma nazionale di imminente pubblicazione da parte di UNINFO.
Questi profili, che vanno dal responsabile della sicurezza delle informazioni (il famigerato CISO o chief information security officer), fino allo specialista infrastrutturale passando per gli analisti forensi, danno finalmente un nome e cognome a una figura professionale e ne definiscono le competenze specifiche che il mercato stesso potrà utilizzare in modo più compiuto di quanto fatto finora con il solo ausilio delle certificazioni professionali disponibili, per offrire e richiedere professionisti nel settore della sicurezza informatica. Le attuali certificazioni professionali continueranno a essere un elemento utile per provare in modo diretto abilità e conoscenze, andandosi perfettamente a incastonare nella definizione dei profili di dettaglio individuati dalla normativa nazionale che poggia sulle fondate basi legali fornite principalmente dalla legge n°4 del 2013. Inoltre, la presenza di questi profili dovrebbe avere anche il pregio di favorire la definizione di strutture organizzative correttamente definite per gestire la sicurezza informatica e per far sì che possa essere un po’ meno sotto i riflettori della cronaca.
Fabio Guasconi, membro del Consiglio Direttivo di Clusit e di UNINFO, di cui presiede il comitato italiano ISO/IEC SC27
