Un recentissimo articolo pubblicato su InfoWorld e intitolato “Is CISSP certification worth the effort?” prova a rispondere alla domanda posta nel titolo di questo articolo: vale la pena di prendere la certificazione CISSP? Ecco il mio parere in proposito.
Questo quesito nasce in seguito alla presentazione illustrata da un certo Timmay all’ultima conferenza Black Hat 2012 & DEFCON 20 di Las Vegas e intitolata “Why you should not get a CISSP” (PDF), contenente conclusioni piuttosto categoriche, ovvero che la certificazione CISSP non garantisce i benefici tanto reclamizzati da (ISC)2, non è all’altezza di ragionevoli standard di sicurezza, gode di ingiustificata fiducia e reca danno all’intera comunità dell’Information Security. Una serie di affermazioni piuttosto forti per le quali Timmay fornisce la propria versione dei fatti in contrapposizione a quanto normalmente pubblicizzato da (ISC)2 e punta il dito contro la lentezza di aggiornamento del CBK (Common Body of Knowledge), l’indiscriminato aumento dei CISSP nel mondo e il conseguente aumento delle entrate per l’istituto di certificazione americano.
A rincarare la dose ci si mette anche l’articolo “(ISC)2 at a crossroads: CISSP value vs. security industry growth” di Eric B. Parizo su SearchSecurity in cui denuncia il tentativo di (ISC)2 di ingrossare drammaticamente le proprie fila per convogliare il maggior numero di professionisti qualificati sulla sicurezza delle informazioni ai numerosi datori di lavoro che ne fanno sempre più richiesta. Sembra, infatti, che a fronte della crescente richiesta di professionisti CISSP da parte delle aziende in tutto il mondo non corrisponda un sufficiente numero di candidati qualificati e con adeguata esperienza per svolgere il lavoro, sebbene vi siano attualmente oltre 76.000 CISSP attivi nel mondo. La preoccupazione maggiore viene manifestata proprio da alcuni professionisti certificati CISSP che temono un annacquamento del prestigio della propria sudatissima certificazione a causa dell’accesso di uno stuolo di soggetti inesperti ed inadeguati.
La certificazione CISSP è da sempre considerata la più comprensiva e complessa fra le certificazioni professionali nel settore della sicurezza delle informazioni, con uno spettro molto ampio, un esame lungo e difficile e il requisito di un preciso programma di aggiornamento professionale, analogamente ad altre certificazioni di settore. Per contro qualcuno ne lamenta il carattere troppo accademico e la scarsa verticalità su specifici ambiti considerati cruciali per un esperto di sicurezza.
In considerazione di quanto portato a detrimento della certificazione CISSP, posso personalmente concordare solo sul mancato ritorno economico, non avendo avuto, a distanza di tre anni dal conseguimento, alcun avanzamento o beneficio in termini di retribuzione, anzi. Ma osservando la situazione in maniera più ampia, non si può non considerare il ruolo che la crisi economica e finanziaria globale ha avuto in questo né le recenti vicissitudini societarie del mio datore di lavoro. Problemi purtroppo comuni a molti ma che nel caso specifico hanno un peso non indifferente e rendono il contesto non direttamente applicabile rispetto allo scenario prospettato in termini generali da (ISC)2, perciò non mi sento affatto defraudato visto non vi è mai stata alcuna garanzia in tal senso.
Fra l’altro, sia questo che gli altri argomenti citati da Timmay a sfavore della certificazione CISSP possono essere benissimo applicati anche alle altre certificazioni di settore. Tutte le certificazioni promettono, più o meno velatamente, un riconoscimento nel settore, una maggiore considerazione professionale, possibilità di avanzamento di carriera più rapido e una maggiore retribuzione ma, ripeto, senza alcuna garanzia di sorta. Si può dire che il battage pubblicitario di (ISC)2 in tal senso sia particolarmente aggressivo ma anche piuttosto comprensibile visto che si tratta della prima certificazione nel settore. Non dimentichiamo, infatti, che il processo di certificazione CISSP è accreditato ANSI ISO/IEC 17024 fin dal lontano 2004, mentre molte certificazioni concorrenti hanno ottenuto l’accreditamento in tempi successivi: ISACA CISA e CISM nel 2005, GIAC GSEC nel 2007, CompTIA Security+ CE nel 2008 e GIAC GCIA, GCIH e GCFA nel 2009 (vedi lista ANSI). Inoltre la certificazione CISSP è prevista dalla direttiva del Department of Defense USA DoD 8570.01-M come requisito obbligatorio per accedere ai più alti livelli di incarico in Information Assurance come IAT livello III, IAM livello III, IASAE livelli I-III e Manager CND-SP e ai più alti livelli di clearance militare. Infine resta da segnalare che il numero dei professionisti certificati CISSP in Italia è di poche centinaia di individui, quindi una ristretta élite rispetto ad altre certificazioni più accessibili e diffuse.
Insomma, nel settore dell’Information Security Management la certificazione CISSP si conferma come la più completa ed esaustiva, anche in virtù della specifica ottica adottata in tal senso nell’allestimento dei test e nella valutazione dei risultati, mentre in ambiti più verticali come, ad esempio, il penetration testing sono certamente preferibili certificazioni più focalizzate come la CEH (Certified Ethical Hacker di EC-Council) e la OSCP (Offensive Security Certified Professional di Offensive Security).
Qualsiasi certificazione professionale va sempre considerata come un riconoscimento conseguito a fronte di un esame e, dato che un esame si può passare anche con una buona dose di intuito e fortuna, può costituire un requisito preferenziale ma solo a fronte della verifica approfondita dell’esperienza sul campo, della preparazione professionale, dell’aggiornamento, delle capacità e delle attitudini del candidato. Assumere un sedicente professionista sulla sola base dei riconoscimenti è un errore che solo il più stolto dei recruiter può commettere, un errore che non può certamente essere imputato al processo di certificazione o all’istituto certificante.
Il conseguimento della certificazione CISSP resta una scelta a completa discrezione del singolo. Personalmente ritengo che conseguire una o più certificazioni di settore debba essere il giusto coronamento di un lungo e difficile percorso di formazione, esperienza e crescita manageriale maturato in un adeguato numero di anni di lavoro sul campo. Quanti neolaureati accedono direttamente a posizioni di prestigio largamente retribuite grazie ad una raccomandazione e dopo soli due o tre anni di lavoro senza aver maturato alcuna esperienza? Quanti laureati con ottimi voti e con esperienza non riescono a trovare lavoro o sopravvivono con meno di mille euro al mese? Non per questo, però, si mette in discussione la validità di un titolo di laurea. Ecco perché considero la presentazione di Timmay come un mero tentativo di provocazione che lascia un po’ il tempo che trova.
Ettore Guarnaccia
ho “provato” a conseguire la certificazione CISSP alcuni anni fa, appunto come punto di arrivo (e di ri-partenza) professionale. Non sono riuscito per un soffio. Ma è giusto così. Il valore di questa certificazione allora come oggi è proprio l’alta selettività.
Anche per questo genere di certificazioni esistono quelli “fortunati” che passano perché sanno rispondere bene ai quiz, ma sono vuoti dentro, fortunatamente il meccanismo di referenze incrociate mitiga questo rischio.
Ho intrapreso un percorso professionale diverso e il libro che tu mostri nel post io lo uso da qualche anno per bilanciare il peso del vaso dell’albero di Natale… tuttavia seguendo ISC2 non ho potuto fare a meno di notare una deriva commerciale notevole.
Del resto loro “vendono” formazione ed è giusto allargare il loro parco clienti. 76.000 nel mondo e qualche centinaio in Italia, sono pochi clienti che, una volta conseguita la certificazione, di rado tornano a “comperare” servizi di ISC2 (o mi sbaglio?).
Sul piano delle opportunità professionali temo che come dici tu, non vi sia una vera discriminante: ai tempi in cui ho provato io a conseguire la certificazione, ma del resto anche oggi, si viene “scelti” principalmente per il fattore “costo”, meglio se giovane neo laureato, così lo pago poco e prendo pure i sussidi del Governo.
Ciao Kalos, grazie per il commento.
Confermo che la formazione offerta da (ISC)2, di cui non ho mai usufruito essendomi preparato per conto mio, è indirizzata ai candidati alla certificazione. Personalmente, prima e dopo aver conseguito la CISSP, non ho speso un euro per acquistare servizi di (ISC)2 né di Shon Harris o di Clement Dupuis giusto per citare altri fornitori.
Articolo ripubblicato su ComplianceNet
Salve Ettore, seguo spesso il suo blog e non sa quanto mi è stato utile.
Sono un neolaureato in Ingegneria informatica e vorrei entrare a far parte nel mondo della IT security, solamente che non so che strada intraprendere. Per iniziare la mia formazione in questo campo e anche per farmi notare dalle aziende cosa mi consiglia?
Gentile Davide, grazie, fa sempre piacere sapere di essere letti ed apprezzati.
Grazie anche per avermi dato l’opportunità di indicare pubblicamente un percorso di accesso al settore.
Secondo la mia personalissima opinione, per accedere al mondo dell’information security la via più opportuna è “sporcarsi le mani” imparando bene i meccanismi pratici di funzionamento di sistemi, reti, applicazioni e database, fino ad essere in grado di padroneggiarne le tecnologie, i protocolli e le configurazioni.
Lo può fare innanzitutto studiando molto la letteratura che trova anche in rete, magari partendo dalle soluzioni di mercato più diffuse e riconosciute. Poi è necessario intraprendere un percorso formativo ben pianificato che consenta di apprendere, per passi successivi, i vari aspetti teorici e pratici.
Questa è una base che ritengo assolutamente fondamentale per poter aspirare poi al livello successivo, ovvero quello del governo della sicurezza, composto da aspetti di strategia, analisi e gestione del rischio, gestione degli incidenti, continuità del business e rapporti ravvicinati con la direzione.
Per rendere al meglio a questo livello bisogna togliersi il cappello da tecnico per indossare quello del manager, modificando sia le proprie attitudini che, soprattutto, il proprio linguaggio e la modalità di esposizione dei concetti, altrimenti si corre il rischio di venire ignorati o, peggio, estraniati dai processi decisionali. Se ha già letto i miei articoli su questi temi, potrà già comprendere di cosa stia parlando.
In generale, però, nella definizione del suo percorso professionale molto dipende dalle sue attitudini ed aspirazioni personali: dovrà quantomeno decidere se aspirare a diventare un manager d’azienda, oppure uno specialista in uno specifico settore, oppure ancora un professionista sui servizi di consulenza come analista, pentester, hacker etico, ecc.
In ogni caso le mando il mio “in bocca al lupo” per il suo futuro!
Carissimo Ettore in primis la ringrazio per i preziosissimi spunti e consigli, sto ancora valutando il da farsi. La figura che mi interessa maggiormente e quella di penetration tester, quindi andrei a studiare per le certificazioni da te indicate in questo articolo: CEH e OSCP.
Ho però un dubbio: Se percorro questa strada, sarei sicuramente appagato dalle conoscenze e dalle capacità acquisite, però poi queste skills saranno valutate dalle aziende? Oppure la figura del penetration tester è talmente verticale da non trovare poi un impiego?
Benissimo! Avere un obiettivo preciso è già un ottimo punto di partenza.
Vista la verticalità e il livello di specializzazione richiesti dal ruolo di pentester, direi che, quantomeno in Italia, avrebbe certamente più possibilità come libero professionista o in società di consulenza specializzate su questo tipo di servizi. L’alternativa è l’estero, soprattutto in ambito anglosassone/statunitense, dove molte più aziende si dotano internamente di strutture di vulnerability management e security assessment.
Questo vale oggi: ma nel tempo che impiegherà per studiare, certificarsi e iniziare la gavetta, il mercato potrebbe cambiare anche significativamente, perciò le consiglio intanto di partire e tenere d’occhio le evoluzioni del settore.
Buona sera Ettore ,
trovo molto interessante questo argomento, una domanda la certificazione ecppt ha lo stesso valore come Ceh, Chfi, GCFA?
non ho capito bene le differenze tra l’una e l’altra. nel senso se una è il proseguimento di un altra come iter formativo o si assomigliano ma non hanno lo stesso background formativo .
ho dato un occhio se esiste qualche corso ma ho trovato solo corsi a distanza stile elearning.
conosce qualche corso valido senza spendere migliaia di euro ?? io sono di Milano ma neanche su Milano ho trovato scuole dedicate che insegnano in questo campo.
Davide
Gentile Davide, grazie per avermi interpellato sul tema. Come dico sempre, la certificazione è un punto d’arrivo dopo un certo percorso di formazione ed evoluzione personale in una determinata direzione. Di conseguenza, è dapprima fondamentale individuare la direzione che si vuole intraprendere: nel suo caso, a quanto pare, non è ancora chiaro se vorrà fare l’ethical hacker o l’investigatore forense, perciò una prima scelta va fatta in questo ambito. In generale, poi, le certificazioni come ethical hacker sono considerate un prerequisito per accedere a quelle da investigatore forense, quindi ha già un’indicazione del punto da cui sarebbe meglio partire.
Il valore di una certificazione non è assoluto, esso è composto sia dal riconoscimento e dalla domanda della specifica certificazione, sia dal valore espresso dal suo possessore. Non è infrequente vedere possessori di certificazioni, anche prestigiose, che all’atto pratico non si rivelano all’altezza. Ecco perché, prima di pensare alla certificazione, è necessario sentirsi “pronti”, abbastanza preparati sulle basi e in termini di esperienza nei vari settori che ciascuna certificazione interessa.
Poiché il percorso da ethical hacker o da investigatore forense non l’ho mai affrontato direttamente, il consiglio che tenderei a darle è di scegliere la certificazione EH più comoda per lei. La eCPPT la eroga la Offensive Security di Pisa (non so se organizzano corsi a Milano), la OSCP viene erogata presso la Tiger Security Srl di Orvieto (TR), mentre la OPST e la CEH non saprei dirle di preciso. Nel caso in cui scegliesse di fare il percorso da ethical hacker a investigatore forense, allora le consiglierei di restare nello stesso ente di certificazione (es. EC-Council per CEH e CHFI). So che la CHFI si può prendere presso la OverNet Education, è previsto un corso a Milano in ottobre 2014.
Oltre a questo, non saprei come aiutarla.
In ogni caso, in bocca al lupo per il suo futuro professionale.