La sicurezza informatica negli ultimi 30 anni è passata da territorio inesplorato ad ambito strategico che attira una grande quantità di professionisti. Ma quanto fanno davvero la differenza le certificazioni professionali?
Da decenni l’information technology formalizza le competenze dei professionisti negli ambiti più disparati con certificazioni professionali, una sorta di garanzia delle competenze di un individuo. Sicurezza informatica e cybersecurity hanno seguito a ruota il fenomeno: esistono produttori di tecnologia che alle soluzioni tecnologiche proposte affiancano formazione e percorsi di certificazione. Vi sono anche percorsi professionali non legati a brand specifici che garantiscono – per competenze tecniche, manageriali, procedurali e anche per l’etica – l’esperienza di un professionista in sicurezza informatica.
Secondo un recente studio di (ISC)², sarebbero oltre tre milioni nel mondo i professionisti in cybersecurity che il mercato sarebbe pronto ad assorbire, di cui quasi 170mila in Europa. Questo dato è indice della crescente importanza della cybersecurity per la pervasività della digitalizzazione che tocca molteplici campi e della importanza di mantenere un adeguato livello di sicurezza in ambienti che prima erano al di fuori dell’ambito informatico e che oggi ereditano il modello di rischio dell’IT.
I produttori di tecnologia, pochissimi esclusi, fanno grande attenzione ad affiancare una offerta formativa alle soluzioni proposte per garantire un utilizzo efficace, una messa in opera a regola d’arte, una adeguata capacità di intervento e manutenzione e anche una fidelizzazione degli utilizzatori, per la logica secondo la quale si scelgono le tecnologie che si conoscono meglio.
Nel corso degli anni, hanno guadagnato molta popolarità anche credenziali indipendenti dai vendor che offrono garanzie sulle competenze, slegate dalle tecnologie di riferimento e una comprensione di concetti, procedure e quadri normativi sempre più articolati e sempre più interdipendenti fra loro e con ambiti adiacenti. Sull’utilità delle certificazioni professionali qualcuno sostiene che l’esperienza sia sufficiente. Altri sostengono che una certificazione sia una condizione necessaria ma non sufficiente per ricoprire determinati ruoli. Di fatto, sono tantissimi i professionisti che decidono di formalizzare le proprie competenze attraverso un processo di studio, pratica ed esame e conseguente certificazione.
Facendo un paragone, per guidare un’auto non basterebbe semplicemente imparare a guidarla? Sicuramente sì ma, a garanzia della sicurezza di tutti, per ottenere la patente di guida è richiesta la conoscenza anche del funzionamento del motore, di norme comportamentali, segnaletica, precedenze e molto altro. Queste conoscenze adiacenti sono necessarie per sedersi al volante di un’auto e guidarla? In pratica no, ma la conoscenza della autovettura, della segnaletica e delle norme comportamentali sono unanimemente ritenute utili a minimizzare il rischio stradale.
Lo stesso può valere per le certificazioni professionali: ci sono quelle rilasciate dai produttori di soluzioni che sono più a garanzia della conoscenza di tecnologie, dispositivi o architetture specifiche, della capacità di implementazione, design, utilizzo o troubleshooting. Queste considerano il contesto strettamente necessario allo specifico ambito tecnologico. Per mantenere l’analogia con la patente di guida, si concentrano molto di più sull’auto e sulla tecnica di guida. Ci sono poi le certificazioni indipendenti, meno specifiche sulla tecnologia di un determinato produttore, che si concentrano di più su procedure, architetture di riferimento, ambiti di competenza. Alcune hanno la caratteristica di prevedere l’accesso alla credenziale solo in caso di comprovata esperienza e di adesione a un codice etico. Per tornare alla patente, è come se la garanzia fosse di nozioni generali sulla guida, sul fatto che si possiedono un certo numero di anni di esperienza di guida e una certa attitudine al volante. Queste qualifiche, ognuna con la sua prospettiva, sono un riconoscimento delle competenze che un professionista ha maturato, anche studiando, durante la sua carriera e un modo formale per dimostrare i propri ambiti di conoscenza. Come per la patente, non fanno il guidatore ma sono una garanzia aggiuntiva. E nella sicurezza informatica più garanzie ci sono meglio è.
Marco Misitano comitato direttivo CLUSIT