Certificazione CISSP: cos’è e quanto valorizza il tuo CV
La sicurezza informatica è rapidamente diventata un aspetto chiave nella vita quotidiana, non solo per le aziende, ma anche per i privati cittadini. E’ all’ordine del giorno, infatti, leggere notizie su attacchi hacker perpretati ai danni di organizzazioni anche rilevanti a livello nazionale, oppure ricevere email ingannevoli che ci invitano a rilasciare le credenziali del nostro conto bancario oppure della nostra casella email.
Per questa ragione vogliamo approfondire questa tematica trattando in particolare la certificazione CISSP.
Il primo passo, chiaramente, è la consapevolezza del problema: conoscere il rischio cyber, ed in qualche modo gestirlo, è il primo importante passo verso una corretta mitigazione del medesimo.
Sebbene il mondo della cyber sicurezza sia in continua evoluzione, sono stati definiti dei “framework” di riferimento, ossia linee guida, tecniche, metodologie e best practices che aiutano le aziende ad indirizzare in modo corretto le azioni che mitigano il rischio cyber.
In questo contesto si posizionano i professionisti della cyber security che, con diversi livelli di competenza e ambiti di azione, aiutano in modo strutturato e metodico le aziende a difendersi dai cyber criminali.
Esistono diverse certificazioni, rilasciate da enti autorevoli, dedicate ai professionisti della cyber security o a coloro che vogliono avvicinarsi a questo settore.
In quest’approfondimento vedremo in dettaglio i contenuti e gli obiettivi della certificazione CISSP (Certified Information Systems Security Professional), rilasciata dall’International Information System Security Certification Consortium (ISC)².
Cos’è International Information System Security Certification Consortium (ISC)²?
L’International Information System Security Certification Consortium, noto anche come ISC², è un’organizzazione non profit che si occupa di certificazioni in sicurezza informatica. Fondata nel 1989, ISC² ha sede negli Stati Uniti, ma opera a livello internazionale.
L’obiettivo principale di ISC² è quello di promuovere e riconoscere l’eccellenza nella sicurezza informatica. Inoltre, ISC² ha un codice etico rigoroso, finalizzato a garantire l’integrità e la qualità delle sue certificazioni, al quale i candidati devono necessariamente conformarsi.
EgoValeo è leader nell’Head Hunting di professionisti in ambito Information Technology e Engineering.
In cosa consiste la certificazione CISSP?
La certificazione CISSP è pensata per attestare il possesso di una conoscenza approfondita dei principi, delle tecniche e delle best practice di sicurezza informatica.
La certificazione CISSP copre otto aree tematiche principali, note come Common Body of Knowledge (CBK):
- Security and Risk Management
- Asset Security
- Security Architecture and Engineering
- Communication and Network Security
- Identity and Access Management (IAM)
- Security Assessment and Testing
- Security Operations
- Software Development Security
Come si può vedere il percorso di certificazione tocca ambiti legati all’infrastruttura e alle reti, ai sistemi di accesso e gestione dell’identità degli utenti, alle metodologie e alle pratiche di sviluppo di codice sicuro.
Più in dettaglio, per la preparazione alla certificazione, esistono dei corsi, come quello ufficiale del (ISC)2 Italy Chapter, che trattano, a titolo di esempio, i seguenti temi:
- principi di base di gestione della sicurezza e responsabilità associate ai ruoli di gestione della sicurezza di una organizzazione
- requisiti legali che insistono sulla gestione della sicurezza di una organizzazione
- classificazione e categorizzazione degli asset
- selezione delle baseline di controlli sicurezza
- implementazione dei modelli di controllo degli accessi
- tecnologie di autenticazione e controllo degli accessi
- architetture tecnologiche di riferimento, possibili vulnerabilità e metodi di protezione
- crittografia e relativi algoritmi; metodi di attacco
- principali protocolli di rete, possibili debolezze e contromisure
- modalità di sviluppo sicuro delle applicazioni
- gestione delle attività di testing, audit e assessment di sicurezza
- attività operative di change management, configuration management, incident management, analisi forensi
- strategie di backup e recovery; strumenti a garanzia della resilienza operativa
- controlli per la sicurezza fisica
- pianificazione delle attività di business continuity e disaster recovery
- gestione del rischio
Per ottenere la certificazione CISSP, occorre avere almeno cinque anni di esperienza lavorativa in due o più domini del CBK (eventualmente certificati da un altro professionista CISSP) e superare l’esame CISSP.
Il test CISSP è composto da 250 domande a scelta multipla, da completare in 6 ore, che coprono tutte le otto aree tematiche del CBK. Il candidato deve rispondere correttamente almeno al 70% delle domande per superare l’esame e ottenere la certificazione. Ottenuta la certificazione è necessario anche un aggiornamento continuo, per mantenerla efficace nel tempo.
La certificazione CISSP è ampiamente riconosciuta a livello internazionale e può essere utile per dimostrare le competenze e le conoscenze in sicurezza informatica per una carriera nel settore.
EgoValeo è leader nell’Head Hunting di professionisti in ambito Information Technology e Engineering.
E’ importante avere una certificazione CISSP?
Sebbene in molti ambiti dell’Information Technology, quali ad esempio lo sviluppo applicativo, sia importantissimo il cosiddetto “training on the job”, ossia il processo di acquisizione del know-how attraverso l’esperienza diretta sul campo, in altri è importante anche un approccio metodico e strutturato che parta da concetti teorici prima di affrontare gli aspetti più pratici.
Anche nella sicurezza informatica è importante il training on the job (tanto che per la CISSP è necessario dimostrare di aver avuto una certa esperienza), ma è anche importante conoscerne bene gli aspetti teorici.
La certificazione CISSP è un “gold standard” per la cybersecurity, che permette di valorizzare appieno il proprio percorso professionale nell’ambito della security informatica. La certificazione CISPP è più indicata per professionisti senior.
Peraltro, una volta conseguita, si accede ad una community di professionisti certificati, anche questa ottima opportunità di networking e per affinare le proprie competenze.
EgoValeo è leader nell’Head Hunting di professionisti in ambito Information Technology e Engineering.
A chi è rivolta la certificazione CISSP?
La certificazione CISSP (Certified Information Systems Security Professional) è principalmente rivolta a professionisti del settore IT con un focus specifico sulla sicurezza informatica.
Questa certificazione è ideale per coloro che occupano ruoli come Cybersecurity Manager, auditor, Solution Architect, Security Engineer, CISO, CTO e, in generale, a professionisti che aspirano a posizioni di leadership nel campo della sicurezza delle informazioni.
FAQ
I domini della CISSP includono sicurezza e gestione dei rischi, asset security, ingegneria della sicurezza, comunicazione e rete sicura, gestione dell’identità e degli accessi, valutazione e test della sicurezza, operazioni di sicurezza, e sicurezza dello sviluppo software.
La certificazione CISSP è indirizzata a professionisti IT esperti nella sicurezza delle informazioni, come Cybersecurity Manager, Auditor, Solution Architect, Cybersecurity Engineer e IT Manager.
Per conseguire la certificazione CISSP, occorre avere almeno cinque anni di esperienza lavorativa rilevante e superare l’esame. In alcuni casi, una parte del periodo di esperienza può essere sostituita con un titolo di studio correlato o un’altra certificazione autorizzata.
Roberto Di Bartolomeo ha maturato una lunga esperienza professionale in ambito IT ed Organizzazione, rivestendo ruoli dirigenziali di CIO in grandi aziende nelle industries servizi HR, banking e pubblica amministrazione. Ingegnere elettronico, ha speso i primi anni della sua carriera in una società di consulenza internazionale ed ha conseguito un master alla Bocconi di Milano. E’ partner di EgoValeo e consulente per la Digital Transformation.