Dopo aver conseguito la certificazione CISSP nel 2009, ho ricevuto diverse domande e richieste di consulenza in merito al modo migliore di conseguirla, alla sua reale efficacia, nonché all’opportunità o meno di puntare su questa certificazione. Colgo l’occasione per ringraziare pubblicamente coloro che mi hanno contattato per i motivi citati, riponendo la propria fiducia nel sottoscritto, spero di essere stato in grado di ripagarla rispondendo adeguatamente e spero anche di essere riuscito nell’intento di aiutarli fattivamente nel loro percorso. Li ringrazio anche perché hanno fatto maturare in me l’idea di scrivere queste righe a beneficio di coloro che si pongono le medesime domande e hanno bisogno di analoghi consigli. Tutto ciò che leggerete in questo articolo rappresenta la mia esclusiva visione personale.

Il percorso di certificazione

Una delle domande più frequenti riguarda il percorso di certificazione: corso, studio, esperienza, ecc. In pratica, come arrivare all’esame di certificazione? C’è chi mi ha chiesto se la certificazione CISSP fosse un buon punto di partenza per la carriera professionale.

La certificazione CISSP è una delle più comprensive del settore, forse quella più completa perché tocca pressoché tutti gli argomenti riguardanti la sicurezza delle informazioni (che non si limita alla sola sicurezza informatica), compresi ambiti che potrebbero sembrare non strettamente attinenti come la sicurezza fisica, la conformità legale o le investigazioni forensi. Alcuni tecnofili accusano la CISSP di essere superficiale, poiché non va oltre un certo grado di profondità sui vari argomenti, ma ciò è fisiologico per una certificazione che comprende un ampio spettro di argomenti manageriali, organizzativi e tecnici.

Resta il fatto che conseguire la certificazione CISSP non è esattamente una passeggiata. Il testo ufficiale di (ISC)² (Official (ISC)² Guide to the CISSP CBK – Third Edition – Auerbach Publications – 65 euro circa) consta di oltre 1.500 pagine, analogamente agli altri testi di preparazione non ufficiali disponibili sul mercato, tutti in lingua inglese. Ma studiare in sé non basta, poiché è molto importante comprendere ed assimilare l’ottica manageriale con la quale gli argomenti vengono trattati nei testi di preparazione, la stessa ottica con la quale vengono poi formulate le 250 domande ad opzione multipla nel corso dell’esame (che dura ben 6 ore).

Se non si riesce ad entrare in sintonia con il punto di vista richiesto ad un information security manager, le possibilità di superare l’esame con successo diminuiscono sensibilmente. Questo perché l’esame riguarda argomenti tecnici solo in un numero ridotto di domande, mentre molte di esse vertono su quali scelte si è chiamati ad adottare in determinati contesti e in specifiche situazioni. Di conseguenza, sebbene sia importante conoscere bene le caratteristiche degli algoritmi di crittografia o i protocolli di comunicazione, è fondamentale dimostrare di essere in grado di fare le scelte più opportune nell’ambito dei principali processi di information security, come risk management, business continuity, security governance e access control.

A chi mi ha chiesto se la certificazione possa rappresentare un punto di partenza rispondo che essa dovrebbe essere considerata piuttosto il coronamento di un percorso formativo, professionale e di esperienza sul campo, quindi un punto di arrivo più che di partenza. Per un motivo ben preciso: ottenere una certificazione di così alto lignaggio senza essere perfettamente in grado di sostenerla professionalmente sul campo, dimostrando preparazione, competenza, esperienza e cognizione di causa, potrebbe addirittura causare un effetto opposto rispetto a quello voluto. L’autorevolezza che si è in grado di dimostrare conta moltissimo, ed essa può scaturire solo da un percorso pluriennale di studio, approfondimento, esperienza diretta e, non ultima, un’adeguata dose di responsabilità e buon senso.

Il percorso personale che mi ha portato fino al conseguimento della certificazione CISSP è costituito da un esperienza pregressa di quasi un decennio nel settore della sicurezza delle informazioni, nel corso del quale ho approfondito diversi ambiti come reti e telecomunicazioni, sistemi operativi Windows, Linux e Unix, sistemi di protezione perimetrale firewall e IDS, strumenti di filtro web, protezione antivirus e antimalware, architetture web e dipartimentali, protocolli di comunicazione e servizi Internet, domini, DNS e molto altro. La focalizzazione sulla sicurezza delle informazioni è avvenuta gradualmente, man mano che aumentava la mia consapevolezza sulla criticità di questo particolare aspetto, soprattutto per un’azienda di grandi dimensioni come quella in cui operavo e alla luce della sempre più rapida evoluzione delle tecnologie e delle relative minacce.

Solo dopo aver maturato l’esigenza di dare un senso compiuto a questo percorso ho deciso di puntare ad una certificazione professionale, scegliendo direttamente la più prestigiosa e difficile. Ho subito scelto di studiare in proprio, senza partecipare ai vari corsi di preparazione che il mercato offriva, così mi sono procurato tre differenti testi: la guida officiale di (ISC)², il McGraw Hill CISSP All-in-One Exam Guide – Seventh Edition (circa 55 euro) e The CISSP and CAP Prep Guide – Platinum Edition (circa 38 euro). Altri testi di preparazione sono comunque disponibili sul mercato. In base alla struttura dei testi prescelti, ho allestito un programma di studio (in formato Excel) che mi consentisse di tenere sotto controllo lo stato di avanzamento nei vari capitoli/argomenti e i risultati man mano conseguiti nei vari test di verifica che mi ero procurato. La fase di preparazione è durata ben cinque mesi e mi ha consentito di assimilare abbastanza bene quell’ottica manageriale che ho già citato, nonché di passare l’esame di certificazione al primo tentativo.

Opportunità e convenienza: ne vale la pena?

Un altro dei quesiti che mi viene posto di frequente è se vale realmente la pena investire tempo nella certificazione CISSP, se questa consenta di avere un curriculum più valido e se renda più agevole ottenere una situazione lavorativa più appagante o una migliore retribuzione. La risposta sarebbe complessa ed articolata, perciò cercherò di essere il più possibile sintetico.

Il mercato ICT in Italia non è certo un idillio, sia in termini di opportunità interessanti che di preparazione generale. Chi crede in questo settore e vuole fare seriamente il proprio lavoro tende a “soffrire” più degli altri, poiché approssimazione, superficialità, ignoranza e supponenza sono ancora oggi regine sia in ambito ICT che di sicurezza e questo soffoca le ambizioni (non necessariamente di carriera e retribuzione) dei pochi entusiasti che vi operano. Lo dico, ovviamente, con un certo cinismo e con grande dispiacere, perché molto potrebbe essere ancora fatto e certamente meglio.

Nel mondo anglosassone, ad esempio, i professionisti di sicurezza con certificazione CISSP operano come consulenti di direzione, partecipano ai consigli di amministrazione e sono espressamente richiesti per funzioni di alta responsabilità, ad esempio nei più alti livelli del Defense Information Assurance Program (DIAP) Office del Department of Defense (DoD) USA. In Italia, fatta eccezione forse per pochi ambiti geograficamente concentrati su Roma e Milano, un certificato CISSP si occupa al massimo di politiche di sicurezza aziendale (se va bene) e la scelta di conseguire la certificazione è quasi sempre personale, raramente è dettata da precisi requisiti professionali riguardanti il proprio incarico o espressi dal datore di lavoro.

La crisi che è sopraggiunta e si è diffusa negli ultimi anni ha complicato ulteriormente le cose, inducendo le aziende a spingere molto sugli aspetti commerciali abbassando le richieste economiche e, inevitabilmente, la qualità. Il subappalto è ormai la norma e, stranamente, consulenti e professionisti cosiddetti “senior” spuntano letteralmente dal nulla, per poi scoppiare come bolle di sapone all’esame sul campo. La competenza e la preparazione professionale vengono così sacrificate sull’altare della forza-lavoro e dei servizi a basso costo, minando alla base un settore  per il quale l’attitudine, l’esperienza e l’aggiornamento professionale dovrebbero essere invece pilastri fondamentali. La certificazione CISSP, purtroppo, non può essere risolutiva finché regnerà questa tendenza generale.

Personalmente non ho mai creduto nei neolaureati che immediatamente diventano consiglieri di amministrazione, manager, CEO, CIO, CFO, CTO e via dicendo, perciò analogamente non posso riporre ciecamente la mia fiducia in un certificato CISSP che non abbia sviluppato una preparazione o sperimentato un cammino lavorativo particolarmente significativi. La meritocrazia è una chimera in un paese come il nostro, così pervaso da una cultura di ad personam, favori, collusioni, ammanicamenti e raccomandazioni. Tuttavia ritengo che la certificazione in genere abbia senso solo se è il punto d’arrivo o il coronamento del percorso professionale di un soggetto già in possesso di un background tale da renderla effettivamente sostenibile.

Molte persone del settore preferiscono dare priorità alla propria carriera, ricorrendo a comportamenti ossequiosi o all’estrema sudditanza nei confronti del proprio manager, perdendo però molto in coscienza, autostima e reputazione, nonché contribuendo a danneggiare a medio e lungo termine gli interessi e il business della propria azienda. Questo è un comportamento che non va propriamente d’accordo con i principi fondanti della sicurezza delle informazioni, in base ai quali bisogno essere giustamente critici e diretti, per il bene dell’azienda. La scelta va fatta a monte: ogni persona sperimenterà le soddisfazioni che merita di conseguenza, come libero individuo (magari sottopagato) o come semplice schiavo (anche se ben retribuito).

Estensione o specializzazione?

Un altro interessante dilemma riguarda l’opportunità di puntare sulla certificazione CISSP o, in alternativa, su una delle altre certificazioni esistenti nel settore, magari più focalizzate su precisi ambiti specialistici dell’ICT e della sicurezza. Fatto salvo quanto detto sopra su opportunità e convenienza della certificazione, la risposta è: dipende da cosa vuoi fare da grande.

Cerco di spiegarmi meglio. Grazie al fiorire di standard internazionali dell’ultimo decennio, i percorsi professionali e di certificazione nel settore ICT abbondano: esistono ambiti prettamente tecnici, spesso legati a specifici produttori come Cisco, HP, Microsoft, Oracle, IBM, Citrix, SAP e Checkpoint, oppure ambiti più orientati all’IT Governance e l’IT Management con le certificazioni CGEIT, COBIT, ITIL, ISO/IEC 27001 e ISO/IEC 20000. Nel settore della sicurezza vige più o meno lo stesso criterio: alle certificazioni più tecniche, come CEH, OSCP e GPEN indirizzate agli ethical hacker, si affiancano certificazioni su ruoli di audit e gestione del rischio come CISA e CRISC, su ruoli di management ben più vasti (ma meno specialistici) come CISM, CISSP e C|CISO, o su ruoli di compliance come PCI DSS, Privacy, Safety, SOX, ecc.

Ovviamente nessuna esclude l’altra, mentre sarebbe auspicabile che ciascuna certificazione rispecchiasse più o meno quello che è il proprio incarico in ambito lavorativo. La giusta scelta dipende fortemente dal tipo di percorso che si vuole intraprendere e dal punto di arrivo (o dalle tappe) che ci si prefigge. La mia umile esperienza insegna che un’adeguata gavetta in ambiti specifici e di “basso” livello è imprescindibile, poiché non è possibile sviluppare una profonda comprensione dei vari temi da un punto di vista manageriale se non ci si è mai “sporcati le mani” sul campo. Ovviamente comprendo che non tutti possano avere queste possibilità, perciò concludo che il vero valore aggiunto è sempre rappresentato da umiltà, responsabilità e buon senso, in qualsiasi situazione.

La certificazione è sinonimo di riconoscimento?

Alcune persone mi hanno chiesto se la certificazione possa aiutare ad avere un curriculum più valido dal punto di vista professionale: dipende…

Il valore del tuo curriculum è sempre stabilito da chi lo esamina: più l’esaminatore è in grado di apprezzarne i contenuti, più esso assumerà valore ai suoi occhi. Tanto per capirci, molti degli addetti alle risorse umane non sanno neanche cosa sia una certificazione professionale in ambito ICT, salvo averne una limitatissima percezione. Inoltre, dal mio punto di vista, il reale valore del tuo curriculum è costituito soprattutto dalla tua preparazione professionale e dall’esperienza maturata: conosco persone che si sono certificate in quanto “costretti” dalla propria azienda per motivi prettamente commerciali e non sono mai entrati volutamente nell’ottica manageriale richiesta né hanno voluto comprendere i principi della sicurezza delle informazioni, mentre conosco persone senza alcuna certificazione ma in possesso di un pregevole bagaglio di esperienza, preparazione, attitudine e buon senso da fare invidia ai più.

Quindi: la certificazione serve per ottenere un maggior riconoscimento? Spesso serve, più che altro come distintivo che attesta un certo tipo di studio e preparazione e, nel caso di certificazioni come la CISSP, l’acquisizione di un certo tipo di visione o attitudine manageriale (fatti salvi i casi sopra citati). Ma dietro ogni distintivo ci deve essere la sostanza, fatta di preparazione, competenza, esperienza e aggiornamento professionale. Se sei un dipendente, il riconoscimento dato dalla certificazione CISSP dipende in gran parte dal tuo manager: se egli conosce ed apprezza i principi fondamentali della sicurezza ed è in grado di comprendere ed apprezzare i contenuti della certificazione professionale, probabilmente è anche in grado di apprezzare il tuo background e la tua preparazione. In tal senso, la certificazione è una semplice ciliegina sulla torta, ma non può sostituire la sostanza.

Per concludere il concetto, la certificazione va considerata nell’insieme del bagaglio professionale dell’individuo, non va estratta dal contesto né considerata necessariamente una mancanza se non acquisita. In termini generali, il miglior investimento è sempre verso sé stessi, perciò il mio consiglio è quello di investire nell’evoluzione professionale, culturale, umana e, perché no, spirituale (che per me non significa religiosa), con l’obiettivo di diventare la miglior persona possibile, per te e chi ti sta vicino, sotto tutti i punti di vista.

Tutto il resto verrà da sé.

Ettore Guarnaccia

Per ulteriori informazioni sulla certificazione professionale CISSP consiglio di visitare il sito dell’istituto (ISC)², mentre per consultare il calendario degli esami di certificazione in Italia e richiedere tutte le informazioni logistiche necessarie, è possibile visitare il sito del Clusit – Associazione Italiana per la Sicurezza Informatica.