In generale, possiamo elencare tre azioni fondamentali da compiere per coloro che vogliono muovere i propri passi nella mondo della sicurezza:
- Studia. Lo studio può assumere molte forme. Può fare esercitazioni, seguire corsi universitari, oppure puoi partecipare a "delle" training conference come SANS o Offensive Security. (Ci sono anche degli ottimi starter kit). Può cimentarti in letture a tema, ci sono tanti ottimi libri sulla security in giro, o blog, focalizzati su differenti aspetti della computer security. In fine, non ci si deve limitare all'informatica. Si può imparare molto anche studiando altre aree della security e acquisendo soft skill in altre science come economia, psicologia e sociologia (sentirsi ed essere sicuri sono cose differenti ad esempio).
- Fai. La sicurezza informatica è fondamentalmente un arte da praticare e che richiede pertanto, pratica (tautologico). Questo significa che devi mettere in pratica ciò che hai imparato configurando sistemi di sicurezza, progettandone di nuovi, e - ovviamente - rompendone o violandone altrettanti. È per questo che molti corsi di formazione hanno forti componenti pratiche, non si impara molto senza di esse.
- Mostra. Non importa quante cose tu possa conoscere o cosa puoi fare se non riesci a dimostrarle a qualcuno che vuole assumerti. Certo, essere eccellenti in un colloquio è buona cosa, ma lo è di più quando eccelliamo in una mailing list o in un commento su di un forum. Puoi dimostrare la tua esperienza creando dei podcast oppure scrivendo un tuo blog. Puoi tenere dei seminari in meeting tematici (e non) che si tengo in giro per il territorio. Puoi scrivere dei paper e partecipare a workshop come speaker oppure puoi redigere how-to o manuali ed in fine scrivere libri. Insomma creati delle referenze nell'ambito.
Io sono un fanatico delle certificazioni. Non ritengo che abbiano un valore intrinseco in sé, ma, alcune più di altre, riescono a "dimostrare" ad un HR il vostro potenziale in maniera veloce e facile.
Quindi? Tutto qui?
In effetti quanto detto fino ad ora è facilmente applicabile a un gozziglione di altre aree di studio, ma per la security c'è bisogno di un altro tassello, la giusta mentalità, spesso trascurata ma di essenziale importanza per avere successo in questo campo.
Non sono sicuro se questa qualità possa essere insegnata ma sicuramente può essere incoraggiata.
"Questi temi non sono normali per la maggior parte delle persone. Non sono normali nemmeno per gli ingegneri.
I bravi ingegneri, infatti, sono portati a pensare a come far funzionare le cose; il security mindset deve indurre chi lo possiede a pensare al come le cose possono guastarsi. Si tratta di pensare come un hacker, un avversario, un aggressore o un criminale. Non c'è bisogno di exploitare le vulnerabilità che si trovano (o non solo), ma se non si riesce a vedere il mondo con quest'ottica, non si noteranno mai la maggior parte dei problemi di sicurezza."
Tutto ciò è particolarmente vero se si vogliono progettare sistemi di sicurezza e non solo usarne.
Ricordiamo a tal proposito la legge di Schneier:
"E' possibile inventare un sistema di sicurezza così ingegnoso da non poter essere violato nemmeno dal suo inventore."
Tuttavia, l'unico modo che hai per farti un nome in questo campo è violare i sistemi di sicurezza degli altri.
Il campo ha avuto un notevole boost negli ultimi anni, ma esistono delle guide (anche se datate) che possono essere d'aiuto per i neofiti.
"Questi temi non sono normali per la maggior parte delle persone. Non sono normali nemmeno per gli ingegneri.
I bravi ingegneri, infatti, sono portati a pensare a come far funzionare le cose; il security mindset deve indurre chi lo possiede a pensare al come le cose possono guastarsi. Si tratta di pensare come un hacker, un avversario, un aggressore o un criminale. Non c'è bisogno di exploitare le vulnerabilità che si trovano (o non solo), ma se non si riesce a vedere il mondo con quest'ottica, non si noteranno mai la maggior parte dei problemi di sicurezza."
Tutto ciò è particolarmente vero se si vogliono progettare sistemi di sicurezza e non solo usarne.
Ricordiamo a tal proposito la legge di Schneier:
"E' possibile inventare un sistema di sicurezza così ingegnoso da non poter essere violato nemmeno dal suo inventore."
Tuttavia, l'unico modo che hai per farti un nome in questo campo è violare i sistemi di sicurezza degli altri.
Un ultimo punto sulla crittografia
I sistemi di crittografia moderna sono particolarmente difficili da studiare ed assimilare. Oltre a quanto detto fino ad ora, richiedono un livello di conoscenza universitario della matematica e, come per la sicurezza in generale, la propria abilità in questo ambito viene misurata sulla base di cosa si riesce a violare.Il campo ha avuto un notevole boost negli ultimi anni, ma esistono delle guide (anche se datate) che possono essere d'aiuto per i neofiti.
Festeggio il mio 600-esimo post! :)
RispondiEliminaAuguri.
RispondiEliminaE' bello rileggerti.
Ciao.
Gianluca
Gianluca, quello che non sai è che il piacere è tutto mio nel sapere che ci siete :)
Elimina