Questo è il primo di una serie di post che ha l’obiettivo di fornire una panoramica sulle possibili certificazioni professionali di sicurezza informatica.
Ci occuperemo in primo luogo delle certificazioni proposte da associazioni od organismi cosiddetti “vendors neutral”, ovvero non legati ad una specifica soluzione proprietaria.
Iniziamo la nostra ricerca con il consorzio ISC quadro, ovvero l’International Information System Security Certification Consortium.
Le principali certificazioni disponibili sono due, alle quali si è aggiunta una terza (la CAP, che non tratteremo in questo post).
In particolare si tratta delle certificazioni:
- CISSP, Certified Information System Security Professional;
- SSCP, Systems Security Certified Practitioner.
La certificazione CISSP si focalizza sulla sicurezza delle informazioni e ha l’obiettivo di fornire conoscenza e “best practice” per la gestione sicura dei dati.
I domini di conoscenza di base che vengono verificati da questo esame riguardano quindi la gestione della sicurezza fisica e delle operazioni, la conoscenza dell’architettura dei computer e dei sistemi, la crittografia, la sicurezza di rete e nelle telecomunicazioni, ecc.
Per partecipare agli esami è necessario avere almeno cinque anni di esperienza full time in una delle aree tematiche previste dal dominio e aderire al codice etico previsto da (ISC)2.
La certificazione SSCP è invece incentrata sulla valutazione delle conoscenza in ambito di amministrazione e gestione di reti e sistemi, il monitoraggio, l’analisi del rischio e la capacità di recovery, la crittografia, la conoscenza delle minacce informatiche, ecc. Per partecipare agli esami per questa certificazione è necessario avere almeno un anno di esperienza full time in una delle aree tematiche previste dal dominio.
Il mantenimento delle due certificazioni è basato sulla continua formazione e sull’acquisizione, in tre anni, di crediti CPE (Continuing Professional Education). In particolare la CISSP prevede 120 crediti, mentre la SSCP solo 60.
La carriera di esperto nella sicurezza ICT può iniziare anche se il candidato non possiede i requisiti di anzianità previsti dalla due certificazioni. Esiste infatti la possibilità di divenire un “Associate” (ISC)2 e iniziare ad apprendere tutte le nozioni necessarie alla crescita professionale.
