La dimenticata Professione Security

di P. De Andreis e S. Tagliaferri - La vicenda di SQL Slammer racconta un mondo incapace di fare i conti con la pervasività dell'informatica e con la sicurezza nel suo senso più ampio. Una situazione paradossale, pericolosa e imbarazzante

Roma - Quanto accaduto nei giorni scorsi lo ha dimostrato una volta per tutte: inutile riempirsi la bocca del termine "Security" se poi non si investe sulla professionalità degli esperti del campo. Che non bastino un software e un paio di click per garantirsi da ogni pericolo l'hanno imparato ormai persino i manager di quelle corporation che hanno passato gli ultimi quattro giorni a chiedersi come mai i server colpiti da SQL Slammer non erano stati patchati in tempo utile.

Quello che continua a mancare, e non certo solo nell'Italia facilona, è l'investimento in una cultura informatica che abbia almeno l'ambizione di poter abbracciare la materia nel suo complesso. Di fronte al marasma causato dal worm, non è proditorio affermare che se si investisse di più non solo nel personale specializzato ma proprio nel training, nell'ottenimento degli skill necessari, nella cultura della Security (e non genericamente "Sicurezza"), non avremmo subìto rallentamenti della rete o addirittura il blocco di interi servizi.

Lo scenario è composito: è quello, per fare un esempio, di un mercato nel quale si muovono con acuta intelligenza numerosi soggetti, che offrono alle aziende di ogni dimensione servizi specializzati, in outsourcing. Con brillanti operazioni di marketing e puntando sulla molla salvifica dell'abbattimento dei costi, queste imprese riescono a farsi affidare la Security, spesso senza essere in grado di offrire vere garanzie. A cominciare dal personale, spesso sottopagato e non messo in condizione di costruire una vera professionalità.
Un quadro desolante che dovrebbe spingere molti a rivedere certe politiche di outsourcing, quando spesso e volentieri le uniche risorse capaci di comprendere fino in fondo non solo le dinamiche di sicurezza dei sistemi ma anche il loro rilievo nell'ambito produttivo sono risorse interne.
Nonostante eccezioni di rilievo, persino le società specializzate soffrono di una diffusa carenza di professionalità, quello "skill shortage" che non riguarda più soltanto l'assenza di "teste specializzate" come si diceva un tempo, ma soprattutto l'assenza di percorsi formativi capaci di offrire risposte concrete e complessive a problemi reali e vasti. Nel paradossale fluire del mercato questa carenza è dimenticata e sotterrata dallo svolazzare di foglietti intestati che parlano di diritti e garanzie e non certo di tutti gli aspetti tecnici.

Ma, come dicevamo, è solo un esempio. Scuole, università, enti di formazione, istituti privati: sono molte le strade della formazione nella Security ma è chiarissimo che c'è un baratro sostanziale tra gli obiettivi formativi e le reali esigenze che emergono sul campo con urgenza sempre più devastante.

Inutile nascondersi che tutto ciò accade perché di Security in mezzo mondo si parla tanto ma ci si investe sopra poco o pochissimo. A partire, e lo dimostrano gli ultimi giorni, da quelli che sulle proprie spalle hanno importanti responsabilità non solo verso la propria produttività ed efficienza ma anche verso il pubblico.

Lo "Skill Sicurezza" è, di fatto, negato. Ed è perlopiù negato lo sviluppo di un ambiente creativo che sappia innovare e rinnovare le idee, la formazione, la cultura informatica. Con l'unica eccezione di rare e preziose iniziative dal basso che fanno forza su quel poco di consapevolezza che trasversalmente nel mondo informatico contrasta il moto inerziale che tutto soffoca.

Una realtà che viene celata dall'imbellettamento di certo marketing facilone eppure di grande appeal, che non rispecchia in alcun modo le necessità crescenti di un sistema economico e sociale che già oggi poggia le propria fondamenta sulla tecnologia e lo farà sempre più. Dovrebbe bastare questo a far rizzare le orecchie, mettere mano al portafogli e guardare almeno un po' più in là del proprio naso.

Paolo De Andreis
Stefano Tagliaferri
TAG: italia
83 Commenti alla Notizia La dimenticata Professione Security
Ordina
  • Mancano gli skill (mica vero), mancano le risorse specializzate (mica vero).
    Chi ha scritto lo skill ce l'ha o non ce l'ha ?
    Io sono un professionista che lavora in ambito IT-security, la definizione di "chief security manager" che campeggia sul mio biglietto da visita mi fa quasi ridere, nemmeno fosse quello a fare di me "un ex-smanettone".
    Il problema in italia non e' la mancanza di skill, il vero problema e' la mancanza di fiducia nei confronti di chi e' cresciuto con una cultura informatica "diversa" da quella convenzionale. Le stesse persone che oggi pretendono di spiegarmi il funzionamento di un firewall sono quelle che 7/8 anni fa usavano a malapena una macchina da scrivere elettrica (e lo vogliono insegnare a me che a 16 anni bucavo vax con due sole stringhe in console Occhiolino (oggi ne ho 31 suonati di anni...).
    Tra i clienti della mia azienda ci sono diversi carrier e da ruolo visito di tanto in tanto le nostre risorse impegnate sul fronte It-security presso questi carrier importanti. Mi fermo a parlare con le risorse interne (i dipendenti, quelli che dovrebbero conoscere meglio i bisogni e le strutture architetturali dell'azienda stessa) e rimango ogni volta sempre piu' basito. Qualche giorno fa parlai con un ragazzo che da poco aveva fatto un corso su Chek-point e scopro che a sua volta teneva corsi sulla sicurezza informatica ad altre persone per conto di un ente privato. Ma a che titolo ? Solo per aver preso una certificazione di un vendor ? Ecco per colpa di chi la nostra professione sta cadendo nel ridicolo, per colpa di questi elementi che hanno da poco messo piede nell'articolato mondo della sicurezza informatica, sono loro a far scrivere poi questi articoli dove si condanna l'assenza di skill.
    Iniziate a dire alle aziende che si devono fidare degli "smanettoni", quelli veri. Non bisogna sempre guardare questa gente (guardarci) come se fossero extraterrestri o avanzi di galera, in fin dei conti se internet e' cresciuta e' anche grazie a "noi", quindi il vostro business e' nato grazie alla nostra opera.
    Siate piu' grati e fiduciosi per cortesia...
    non+autenticato
  • a gente che ci lavora. Stipendi piu' alti per gli esperti e piu' benefit per chi sta al tornio tutto il giorno
    non+autenticato
  • Neanche M$ stessa si è salvata con il sistema delle patch!!!
    E poi scaricano la colpa sui poveri sysadmin...

    http://www.cnn.com/2003/TECH/biztech/02/01/microso...

    In fondo all'articolo c'è perfino un pensiero allo switch verso Mac, anche se l'articolista dice che l'incidenza dei virus su Mac è appena la metà di quello che affligge Windows, in realtà i virus per Mac (il vecchio classic...) sono circa una cinquantina e piuttosto datati, quelli per Windows sono più di 45.000.....

    M$....a lavurà in miniera!
    non+autenticato
  • ezza. Esiste lo smanettone, l'hacker, esiste quello che sa di cosa parla. Ma per il manager dell'azienda non esiste, esiste solo un costo di cui liberarsi
    non+autenticato
  • > ezza. Esiste lo smanettone, l'hacker, esiste
    > quello che sa di cosa parla. Ma per il
    > manager dell'azienda non esiste, esiste solo
    > un costo di cui liberarsi
    questo perche normalmente il manager e li senza sapere di cosa si parla...
    (e ci sono certi esempi anche ad altissimi livelli)
    non+autenticato
  • Sicurezza, programmi di contabilita', assistenza reti ecc. ecc.. sono tutte spese non necessarie per la produzione che i dirigenti vedono come fumo negli occhi.

    E' difficile spiegare quanto sia importante la sicurezza informatica a qualcuno che non ha ne tempo ne voglia di campire di cosa stai parlando e vede il tutto come un ulteriore onere.

    Comunque gli "esperti" di sicurezza che si presentano in azienda alla fine non possono garantire nulla, anche se promettono assistenza 24 ore su 24 e 7 giorni su 7,(esagerati!) se li chiami vengono 15 giorni dopo.

    Tante parolone tante sigle e siglette e poca sostanza.

    Le fatture arrivano puntuali :-/
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | Successiva
(pagina 1/4 - 20 discussioni)