top space  top space  top space  top space  top space       Visualizza il sito in italiano Visualizza il sito in inglese

Benefici derivanti dall'adozione di una metodologia nell'economia della conoscenza


Formazione disomogenea

 

La formazione aziendale  si spinge da sempre verso le nuove tecnologie cercando così di colmare il divario tra la preparazione classica accademica e le sempre maggiori esigenze che le organizzazioni hanno ad oggi, legate alla necessita di avere personale immediatamente produttivo. Mentre in alcuni settori più tradizionali (gestione aziendale, comunicazione ecc.) la didattica si è evoluta nell’approccio definito come “oltre l’aula” creando processi, tavoli di discussione e corsi accademici, l’ambito della formazione IT nasce già con interazioni didattiche molto lontane dalla vecchia concezione di istruttore, discente ed aula. Questa impostazione di corsi con laboratorio e possibilità di interazione da remoto, ha creato negli anni molta confusione in chi normalmente gestisce la formazione in azienda, con difficoltà oggettive nella scelta di soluzioni e percorsi di crescita, specialmente a causa dello scarsa capacità di raffronto con percorsi di studio accademici specifici, che solo negli ultimi anni hanno iniziato ad incontrare le esigenze del mercato.

 

In particolare nel ramo della sicurezza IT gli argomenti trattati e le impostazioni dei percorsi formativi sono da sempre molto confusionari e soggettivi, specialmente per chi nel settore non si applica direttamente ma deve operare una scelta per quel che concerne i corsi di formazione e la crescita professionale per gli operatori del settore.

 

Perché quando si parla di sicurezza IT o nel caso più specifico di formazione sulla sicurezza, non si riscontrano dei percorsi formativi uniformi, quanto meno nei temi trattati? La risposta è abbastanza semplice perché per molti anni la formazione sulla sicurezza ed in modo particolare la branca che si occupa di verifiche è stata affrontata o come “prodotto”, o come “fenomeno artistico”.  Nel primo caso facendo coincidere i corsi di formazione a corsi su come utilizzare un software. Nel secondo caso invece l’esperienza, la soggettività del professionista e la sua percezione di sicurezza definivano i punti focali dei corsi di formazione stessi (basti pensare a come negli anni la figura dell’hacker sia stata utilizzata a questi scopi).

 

Per cercare di ovviare alla soggettività della sicurezza, specialmente nella sua forma didattica, da anni si cercano modalità, sistemi e processi in grado di dare una visione completa ed esaustiva degli elementi che possono in un qualche modo andare a compromettere l’integrità degli asset aziendali. La prima soluzione a tutt’oggi adottata è stata quella di creare una metodologia per cercare di rimpiazzare la soggettività con un approccio esaustivo e razionale.

 

Abbiamo parlato prima di soggettività come prima problematica e poi di come la soluzione ad essa possa essere rappresentata dall’esaustività, semplificandone le implicazioni questo avviene perché definendo tutto ciò che è di interesse in termini di sicurezza l’elemento soggettivo viene ridotto il più possibile (se si definisce tutto ciò che deve essere messo in sicurezza la visione del singolo non potrà portare a tralasciarne degli elementi). Il secondo problema che si riscontra in questo settore è la mancanza di condivisione dei termini e del linguaggio, che troppo spesso cambiano di significato in base a chi ne parla e soprattutto tendono a seguire le mode imposte da riviste, associazioni e media. Un esempio attuale lo ritroviamo nel cambiamento delle definizioni di sicurezza informatica aziendale, che a seguito dello scandalo Datagate si sono uniformate ad etichette proprie delle agenzie di intelligence a causa della cassa di risonanza mediatica dello scandalo stesso. Un altro scoglio nella diffusione di concetti condivisi della sicurezza IT viene sicuramente rappresentato dall’esperienza dei singoli professionisti, che spesso crea un’aspettativa puntuale ma non sposata sulle caratteristiche dell’organizzazione su cui si opera. Rifacendoci alla storia della filosofia possiamo connotare la differenza tra i due approcci come empirismo e metodo scientifico. Per esemplificare, uscendo dall’ambito di riferimento, pensiamo ad un medico che invece di eseguire un checkup medico completo, diagnostica una malattia chiedendone i sintomi al paziente e basandosi sui casi recenti per definirne le cause.

 

 

Metodo scientifico ed applicazione nei vari reparti

 

Abbiamo quindi definito che una soluzione ottimale per semplificare le scelte da operare in ambito di formazione sulla sicurezza sia sicuramente quello di adottare uno standard od una metodologia che assicurino, sia in ambito di applicazione pratica che in ambito di scelta dei percorsi formativi l’applicazione di un metodo scientifico esaustivo. L’adozione di un metodo di lavoro condiviso permette infatti di uniformare sia nel linguaggio che nella percezione stessa di sicuro/insicuro i vari reparti che si occupano dell’argomento.

Quest’ultimo punto, specialmente per chi non opera nel settore, potrebbe sembrare pretenzioso, ma negli anni il mercato della sicurezza e della sua formazione ha visto nascere e consolidarsi messaggi assolutamente contrastanti ed inapplicabili che sia in ambito di applicazione pratica della sicurezza che di conseguenza nella sua didattica hanno creato ulteriori difficoltà di comunicazione tra i vari settori che se ne occupano. Per esemplificare il concetto appena espresso pensiamo a quelle definizioni ad effetto che per anni hanno definito come sicuro un sistema spento, fisicamente non accessibile e non connesso alle reti di dati; concetto inapplicabile perché prevedrebbe l’esistenza di asset informatici di interesse per la sicurezza, ma non realmente utilizzabili.  Un metodo scientifico di lavoro chiaramente scarta a priori definizioni di questo tipo concentrandosi sulla reale applicabilità degli assiomi di sicurezza. Quando si è parlato di uniformare i vari settori della sicurezza IT chiaramente non ci siamo riferiti alle specifiche competenze tecnologiche/manageriali che li caratterizzano, ma alla possibilità di condividere, obbiettivi e soprattutto metodi di lavoro atti a mantenere un adeguato livello di protezione, compito questo spesso intralciato dalla disomogeneità che si riscontra tra le varie branche della sicurezza che pur trattando gli stessi macro argomenti difficilmente riescono ad avere una percezione condivisa di sicuro ed insicuro e che soprattutto, non hanno modo di interagire praticamente sulle attività, ma risultano interoperanti solo a livello procedurale. 

 


Una metodologia di riferimento OSSTMM

 

Come possiamo derivare da quanto detto sino ad ora l’esigenza di adottare una metodologia condivisa aiuta non solo l’applicazione esaustiva della sicurezza in azienda, ma permette una crescita formativa del personale uniforme e condivisa a prescindere dai reparti di sicurezza di provenienza. Per fornire un esempio verticale di metodo di lavoro possiamo pensare alla metodologia OSSTMM (Open Source Testing Metodology Manual) che permette di adottare un metodo di lavoro, un’etica professionale ed una percezione della legalità condivisi ed accettati a livello internazionale.  L’adozione dell’OSSTTM fornisce alcuni strumenti utili alla creazione di sinergie tra i vari professionisti di sicurezza che operano nelle varie divisioni aziendali, facilitandone il dialogo sia in termini di definizioni che di obbiettivi. Inoltre la metodologia OSSTMM permette di impostare dei percorsi formativi progressivi che accompagnano la naturale crescita della figura professionale in azienda evitando così sprechi in termini di sforzi cognitivi e proteggendo l’investimento fatto. Questo perché l percorsi formativi di certificazione forniti dalla metodologia rispecchiano, nelle competenze tecniche ed in quelle gestionali, la naturale crescita di un professionista legato a questo settore.

 

 

 

07/03/2014 - Fabrizio Sensibile, Security Advisory Team @ Mediaservice.net