La cybersecurity ha fatto parte delle responsabilità di molti lavori ed è anche emersa come una professione a sé stante. Approfondiamo alcune delle potenziali opzioni professionali.
Le professioni in ambito cibernetico hanno oggi molte forme e molti ruoli che combinano diversi aspetti come quello della privacy, dello sviluppo, della sicurezza fisica e degli accertamenti.
Ruoli professionali in ambito aziendale
Nel passato le organizzazioni ad alta sicurezza (come la difesa o i servizi segreti) come anche le aziende coinvolte in transazioni ad alto valore (come quelle del settore dei servizi finanziari, gli operatori di borsa e quelli preposti all'elaborazione dei pagamenti via carta) si concentravano primariamente sul rendere sicuri i loro sistemi. Ciò significa che questi settori si concentravano su controlli interni alle proprie aziende per garantire la sicurezza delle loro informazioni.
Negli anni sessanta l'aumento dell'uso commerciale dei computer (grazie per esempio ai mainframe di IBM) ha generato l'esigenza di sviluppare un sistema di controlli e accertamenti in ambito informatico. Ciò ha portato allo sviluppo di ruoli professionali specializzati nel controllo e nell'accertamento, che sono ancora esistenti e fanno parte delle mansioni quotidiane di molti ruoli nelle moderne organizzazioni.
Nel 1969 a Los Angeles, California, Stati Uniti è stata fondata la Electronic Data Processing Auditors Association (EDPAA). Quest'associazione è oggi nota con il nome ISACA ed è una delle organizzazioni che offre corsi di formazioni in ambito di cybersecurity e certificazioni (come CISA, CISM e CSX-P) per il professionisti delle cybersecurity.
Secondo una visione tradizionale la sicurezza aziendale (composta da guardiani, esercitazioni antincendio e lucchetti) considerava la cybersecurity se mai una piccola parte dei suoi compiti. Allora la sicurezza informatica veniva considerata come parte dei servizi informatici interni: le postazioni lavoro, i mainframe e le reti.
Gradualmente i sistemi di sicurezza fisica sono stati connessi alla rete e i controlli di sicurezza di tipo fisico (per esempio porte e lucchetti) non potevano più proteggere le informazioni da un accesso esterno attraverso internet.
Oggi i leader nell'ambito della sicurezza aziendale prestano particolare attenzione alla sicurezza delle informazioni, poiché i processi digitali sono diventati una parte molto più significativa delle operazioni di un'azienda. Anche l'informatica è diventata sicurezza delle informazioni. Ciò significa rendere sicure le informazioni indipendentemente dal fatto se sono su carta o in formato digitale.
La sicurezza informatica e la sicurezza dell'informazione (successivamente chiamata cybersecurity) venivano considerate professioni distinte. Ma con la convergenza digitale queste professioni si sono trasformate ed hanno cominciato a fondersi. Ciononostante quei ruoli tradizionali (manager della sicurezza aziendale e manager della sicurezza IT) esistono ancora entrambi.
Con l'entrata in vigore dell'RGPD nel 2018 le aziende sono state costrette a nominare un apposito Responsabile della protezione dei dati (RPD) per lo sviluppo di pratiche per la protezione della privacy dei propri lavoratori e dei propri clienti. La privacy richiede controlli di sicurezza, il che significa che i professionisti della sicurezza e della privacy lavorano a stretto contatto e collaborano al raggiungimento di scopi comuni.
Per quanto alcuni titoli (come RPD) siano ampiamente in uso, i ruoli possono differire a seconda del tipo di organizzazione e di industria. Inoltre ogni ruolo o alcune delle sue mansioni può essere appaltato ad un consulente proveniente da un'azienda di servizi professionali e ciò ha condotto allo sviluppo di un'industria di dimensioni significative nell'ambito della consulenza cibernetica.
Ruoli comuni nell'ambito della cibernetica all'interno di una organizzazione
Direttore della sicurezza informatica (in inglese CISO - Chief Information Security Officer)
Di solito i direttori della sicurezza informatica hanno la responsabilità di sviluppare la cultura e i processi relativi alla sicurezza e di dirigere le operazioni e funzioni relative alla sicurezza dell'informazione. Essi fanno da interpreti tra le aziende, la dirigenza, i rivenditori, le autorità e i tecnici addetti alla cybersecurity.
Manager o addetto alla sicurezza dell'informazione/ cibernetica/ informatica
Questi professionisti si occupano dei processi di sicurezza giornalieri, forniscono assistenza in progetti relativi alla sicurezza e coordinano gli incidenti in questo ambito. Preparano anche linee guida per la formazione e regolamenti per il personale. Convertono regolamenti e principi in azioni concrete da svolgere all'interno di una organizzazione.
Manager o addetto alla sicurezza
I manager della sicurezza forniscono servizi relativi alla sicurezza di tipo più tradizionale, come ad esempio il controllo dell'accesso fisico, i quali sono sempre di più digitali. I manager della sicurezza forniscono sicurezza al personale in modo concreto garantendo la cybersecurity del servizio stesso.
Revisore del sistema informatico
Un revisore professionista testa i controlli di sicurezza (fisici e digitali) e fornisce raccomandazioni rispetto al loro miglioramento. Talvolta impiegano strumenti speciali come degli scanner per testare le attuali configurazioni. I revisori offrono un punto di vista indipendente ed obiettivo per aiutare altri a sviluppare alcune pratiche.
Consulenti
I consulenti partecipano ai processi di assunzione, coaching, mentoring o in altri casi forniscono supporto a questi ruoli. I consulenti hanno una formazioni relativa ad una delle posizioni menzionate sopra.
Passare dall'essere un hacker per hobby ad avere una carriera nello hacking etico
Come abbiamo visto nel capitolo 1 gli hacker possono avere cappelli di colori diversi. Al contrario di ciò che succedeva agli albori di questa professione, i white hat e altri “hobbisti” di cybersecurity etica possono trasformare la loro passione in un lavoro.
In un ruolo aziendale le giornate sono molto impegnate, di solito piene di meeting con i colleghi e con clienti interni o esterni. Tutto ciò lascia poco spazio per l'esplorazione e la sperimentazione di idee creative (hack) a meno che non risultino immediatamente spendibili. Pochissime organizzazioni sono in grado da un punto di vista finanziario di assumere ricercatori a tempo pieno, a meno che non si tratti di istituti di ricerca finanziati dalla stato.
Tuttavia con la crescita del mercato della cybersecurity e la globalizzazione delle opportunità lavorative, è emersa una nicchia che prevede la possibilità di lavorare in remoto e svolgere ricerca, per cui hobbisti/ricercatori altamente specializzati, i cosiddetti “hacker etici”, si possono guadagnare da vivere.
Bug bounty
Alcune piattaforme di crowdsourcing come HackerOne, YesWeHack e Intigriti danno la possibilità agli hacker di monetizzare i loro “hack” o di partecipare a iniziative di “bug hunting”. Chiunque può iscriversi a queste piattaforme in modo più o meno anonimo e cercare organizzazioni che svolgono programmi di cosiddetto “bug bounty”. Attraverso queste iniziative le organizzazioni offrono i loro prodotti, servizi app o porzioni di codice affinché vengano testate. Se un hacker presente sulla piattaforma trova una vulnerabilità software gli viene corrisposta una ricompensa a seconda della qualità e della gravità della sua scoperta.
Dal punto di vista più positivo questa opzione di carriera è stata considerata il lavoro ideale del futuro; si può lavorare da dovunque, quando si vuole e guadagnare bene. Sono state espresse tuttavia anche alcune critiche. Innanzitutto solo pochissimi hacker etici guadagnano bene sul lungo periodo. Le aziende si illudono di poter sostituire test sistematici con i risultati interessati e spesso random dei bug bounty.
Ogni organizzazione dovrebbe sviluppare il proprio programma di rilevamento delle vulnerabilità. Un programma di bug bounty non è di solito necessario. Un programma di rilevamento delle vulnerabilità definisce il modo in cui i ricercatori possono comunicare i dettagli di una vulnerabilità in modo sicuro e come queste possono venir gestite e risolte internamente. Un programma di bug bounty può essere una buona idea se i suoi benefici sembrano maggiori delle possibili spese e del tempo impiegato per gestirlo.
Inoltre secondo alcuni sondaggi le piattaforme di bug bounty utilizzano NDA per comprare il silenzio dei bounty hunter in cambio di una ricompensa. Ciò fa sì che le vulnerabilità più serie in ambito di sicurezza non vengono risolte e che gli hacker attivi nel bug bounty rimangono in silenzio. Ciò lascia anche gli utenti di tale software esposti al pericolo che i loro dati vengano infiltrati.
Come anche per molti altri business su piattaforma, critiche sono state mosse per quanto riguarda potenziali violazioni delle leggi sul lavoro, che in molti paesi prevedono che un datore di lavoro si prenda cura dei propri lavoratori. Lavorando come bug bounty hacker si è tecnicamente il proprio datore di lavoro ed è quindi difficile garantire i diritti dei lavoratori sulla piattaforma.
Si consiglia la lettura di una intervista ad un bug bounty hacker.
Lavori di sicurezza offensiva e difensiva
In mansioni di sicurezza offensiva e difensiva “red team” o “squadra rossa” significa far parte di coloro che prendono l'offensiva per fare test di controllo mentre “blue team” o “squadra blu” è la squadra di difesa.
Svolgere test di penetrazione (in breve “pentesting”) è una forma di test d'offensiva ed esplorativo applicato ad un sistema, app, servizio, server, rete, dispositivo o anche ad un veicolo (come un aeroplano o una macchina). La squadra rossa prende di mira entità più ampie come una corporazione intera.
A differenza dei bug bounties questa forma di test ha un target, uno scopo, un cliente, criteri di successo e un relativo compenso associato. Alcune organizzazioni possono assumere permanentemente dei “pentester” ma è più comune appaltare queste mansioni specializzate ad aziende specializzate in questa area. La differenza fondamentale tra una forma di pirateria interessata e il pentesting è che i pentester offrono delle garanzie e adottano un approccio sistematico, tentando di passare in rassegna la maggior parte dei potenziali metodi di attacco.
Esempi di ruoli all'interno delle squadre rosse / blu
Rossa: Tecnico pentester
I pentester impiegano strumenti offensivi, in commercio o sviluppati individualmente per testare il proprio target e raccogliere informazioni su di esso. Identificano più spesso debolezze nella configurazione rispetto a vulnerabilità software. Il loro modo di pensare è come quello di un hacker black hat ma utilizzano la pirateria informatica a fin di bene. I pentester creano una lista di raccomandazioni per gli altri tecnici addetti alla cybersecurity su come risolvere le debolezze riscontrate.
Rossa: Membro della squadra rossa
I membri della squadra rossa sono tester con un'ampia gamma di competenze che variano dal pentesting tradizionale fino all'aggiramento dei controlli fisici e l'uso dei metodi di ingegneria sociale. Questi professionisti lavorano all'interno di una squadra provvista di diverse competenze. I membri della squadra rossa testano in modo creativo diverse combinazioni di difese per identificare nuove debolezze.
Blu: Architetto IT/Cybersecurity
Gli architetti della sicurezza progettano ed implementano strutture per i servizi informatici come la loro controparte nell'industria delle costruzioni. Gli architetti della sicurezza pianificano la struttura delle reti, dei servizi connessi alla sicurezza e anche quali servizi appaltare ad un fornitore se non disponibili internamente.
Gli architetti della sicurezza prendono in considerazione le modalità secondo cui l'account di ogni utente e di ogni macchina viene identificato o autorizzato (IAM) come anche il modo in cui i diversi eventi vengono registrati. Un architetto della sicurezza può concentrarsi su una certa area (come lo IAM, la rete o i servizi cloud) o considerare l'architettura dell'intera impresa..
Blu: Analista / addetto SOC
Il Security operations centre (SOC) è la funzione grazie alla quale una organizzazione monitorizza centralmente la maggior parte dei log e degli eventi nel proprio ambiente informatico. L'SOC ha i propri speciali strumenti e servizi che raccolgono e correlano un enorme numero di log ed eventi sulla base di regole preimpostate.
Un analista SOC ha il ruolo di creare e sviluppare una serie di regole per mezzo di quegli strumenti al fine di identificare eventi sospetti e avviare il processo di investigazione se necessario. Questi "primi soccorritori" (cosiddetti Tier 1) sono spesso operativi 24 ore su 24, 7 giorni su 7, 365 giorni l'anno. Un analista SOC può far salire di priorità i casi più seri al livello Tier 2, che comprende professionisti più esperti nelle indagini informatiche, ovvero l'arte di trovare prove elettroniche di una possibile faglia nella sicurezza.
Sicurezza nello sviluppo
Lo sviluppo della cybersecurity non riguarda solo i professionisti addetti alla cybersecurity quanto chiunque lavori in ambito IT. Dal punto di vista tecnico tutto funziona per mezzo del codice. Il codice è fatto di una serie di istruzioni leggibili dagli umani che vengono scritte (sviluppate) e poi compilate in un oggetto eseguibile da una macchina. Questo eseguibile viene poi testato da uno sviluppatore. Dopo essere stato testato un eseguibile viene trasferito in un ambiente operativo (OPS) dove interagisce con altri programmi, server e servizi.
Ognuna di queste fasi comporta la possibilità di creare faglie di sicurezza dal punto di vista del design o per errore. Ecco perché è importante assicurarsi fin dall'inizio del processo che il codice stesso sia sicuro, come anche tutte le componenti e le loro interazioni. A differenza del pentesting (il quale si concentra sul reperimento delle debolezze dopo che un codice è stato inserito nella produzione) un numero crescente di attività molto efficienti in ambito di sicurezza si svolgono prima e durante lo sviluppo.
Esempi di ruoli relativi alla sicurezza nello sviluppo
Security developer
I security developer si concentrano sui servizi che sono fondamentali per la cybersecurity come i servizi di identificazione e autorizzazione.
Security champion (in un progetto di sviluppo)
Di solito uno sviluppatore senior. I security champion si concentrano su pratiche di sviluppo del codice sicure. Agiscono da mentore e coach per altri sviluppatori e altri membri della squadra all'interno di un progetto. Fanno in modo che i test relativi alla sicurezza e tutte le altre attività pertinenti (come ad esempio l'esame del codice) vengano svolte secondo i piani.
Cybersecurity: una carriera del futuro
Oggi più che mai la richiesta di professionisti dell'ambito cibernetico in tutte le industrie è assolutamente in crescita. La trasformazione digitale delle nostre vite quotidiane e nel nostro lavoro fa crescere il bisogno per queste competenze in tutti i settori e in tutti i campi. La principale preoccupazione per i governi, per le aziende e per i cittadini è che il diffondersi della digitalizzazione e delle tecnologie emergenti è più veloce della loro capacità di formare professionisti dell'ambito cibernetico e rendere sicuro il nostro mondo online.
Nel loro studio annuale per il 2020, (ISC)², una organizzazione associativa di cybersecurity internazionale ha stimato che l'Europa ha un deficit nella forza lavoro di 168.000 posizioni che non riescono ad essere assegnate a professionisti qualificati nell'ambito della cybersecurity. A livello globale questo numero raggiunge i 3 milioni. Per quanto la richiesta di lavoratori in questo ambito sia diminuita rispetto al 2020 a causa del generale declino economico causato dal Covid19, rimane comunque alta e ci si aspetta che cresca rapidamente.
Nonostante in Europa esistano più di 500 università e istituti accademici che rilasciano certificazioni e diplomi per i professionisti della cybersecurity, la domanda in aumento oltrepassa di molto l'offerta. Una soluzione che può aiutare a colmare questa lacuna è che i datori di lavoro ed i lavoratori trovino il modo di acquisire nuove competenze all'interno del luogo di lavoro attraverso programmi di formazione continua. Completando questo corso ci si è avviati nel modo migliore su questa via. Ulteriori informazioni su come sviluppare ulteriori competenze nell'ambito della cybersecurity sono disponibili sul sito Digital SkillUp.
Sign up to solve exercises
Dopo aver completato il capitolo 5 si dovrebbe esser capaci di:
comprendere come le tecnologie emergenti comportano delle nuove opportunità ma anche dei rischi nell'ambito della cybersecurity
discutere alcune conseguenze nell'ambito della cybersecurity nel prossimo futuro
comprendere quali tipi di lavori sono disponibili per i professionisti della cybersecurity
