Cybersecurity, sicurezza delle informazioni, protezione dei dati, delle infrastrutture…argomenti e parole chiave sempre più diffuse sul web e su tutti i media in generale. Perché? Domanda complessa, ma imperniata fondamentalmente sulla difesa della confidenzialità delle informazioni, sulla loro integrità e disponibilità (a chi ha titolo per accedervi). Le informazioni sono il vero valore della maggior parte delle imprese e più il tempo passa più questo principio si rafforza. Difendere un’infrastruttura informatica consiste nel metterla al riparo da attacchi di diverso genere, tutti tesi a prendere in qualche modo il controllo sul contenuto informativo che è sostanzialmente il cuore del sistema informativo. L’importanza di tutto questo è enorme e per capirlo basti pensare al fatto che una buona parte degli sforzi dei governi di tutto il mondo è orientato verso la cyberwar. E che dire poi dell’evoluzione dello spionaggio industriale degli ultimi decenni?
Malgrado sia ormai noto che la sicurezza informatica totale non esiste, la difesa degli asset dalle minacce, la valutazione delle vulnerabilità ed il rischio a loro associato è un’attività di primaria importanza nel ciclo di vita di un qualsiasi sistema informativo, sia per ciò che concerne l’hardware che per il software. Non è un caso se sono nati addirittura dei percorsi di certificazione in quest’ambito. Per la difesa delle infrastrutture siamo abituati ad immaginare contromisure di vario genere, tutte rivolte a mettere in sicurezza qualcosa di già progettato e realizzato, di esistente, ma in realtà la sicurezza come concetto e principio non è qualcosa che può essere “applicata” a valle della realizzazione di un progetto: va pianificata ed introdotta da subito, vale a dire da quando si concepiscono le specifiche del nostro sistema. Per questo sempre più spesso si sente deplorare la cosiddetta “security as an afterthought”. Insomma, sicurezza non vuol dire aggiungere una decina firewall ed un sistema di autenticazione biometrico a scansione della retina, specialmente poi se il software di gestione di tutto il sistema anti-intrusione è un colabrodo. La sicurezza è un principio pervasivo. Per questo anche nello sviluppo delle applicazioni, tutto il ciclo di vita deve seguire dei principi basilari che tendono a minimizzare l’introduzione di vulnerabilità a tutti i livelli, in modo che ciò che viene prodotto possa essere ritenuto sicuro in maniera dimostrabile per il cliente o l’organizzazione a cui esso è destinato. L’insieme dei principi e delle best practice nello sviluppo del software sono state studiate e raccolte nel percorso di certificazione CSSLP (Certified Software Lifecycle Professional) dal consorzio (ISC)2, un’organizzazione senza scopo di lucro specializzata nel training e certificazione dei professionisti della cybersecurity. La certificazione incorpora le pratiche di sicurezza che consentono di sviluppare il software secondo un ciclo di vita ben pianificato dal punto di vista dei requisiti di security, minimizzando i costi di produzione, le vulnerabilità del codice sorgente ed i ritardi nelle consegne. Tra gli obiettivi non trascurabili si annoverano il tentativo di migliorare la credibilità dell’organizzazione e/o del team di sviluppo e la riduzione delle perdite dovute alle violazioni del software. Un’impresa non facile. Il focus è incentrato sulle attività di introduzione della “sicurezza”, sugli standard, le best practice, quale tipologia di sicurezza (modello) scegliere, i motivi della scelta, durante tutto il ciclo di sviluppo software.
Quando ho iniziato il percorso di certificazione CSSLP, mi sono reso conto che la serietà con cui veniva concepita la valutazione era notevolmente maggiore rispetto a ciò che mi aspettavo. Il tentativo, a mio parere abbastanza riuscito, da parte di chi produce il test per la certificazione è quello di creare un set di domande di contenuto molto pratico (quindi non nozionistico, bisogna dimostrare di saper utilizzare quei concetti sul campo), molto vario e ben protetto (sotto chiave), non soggetto a leak di nessun genere (inutile cercare sul web o sul deep web, i brain dump non si trovano).
Insomma l’esame è serio.
Il contenuto è del tutto rispettabile, l’unica pecca è un’inclinazione un po’ tropo americana: i riferimenti a leggi, normative e standard sono esplicitamente made in USA. Che dire, bisogna farci l’abitudine ed aspettare il giorno in cui anche l’Italia sarà la prima potenza tecnologica mondiale, in grado di imporre standard e linee guida a tutto il mondo. C’è poco da essere sarcastici: la nostra penisola è già stata all’avanguardia, un grande impero, basti pensare ai Romani di duemila anni fa. Facendo un conto approssimativo, basta solo aspettare altri duemila anni, ecco.
La CSSLP ha un carattere molto pratico, molto più che non la CISSP. Il materiale didattico è utile non solo ai fini del superamento dell’esame in sé, ma è un buon riferimento nella vita lavorativa non solo per chi sviluppa software, ma anche per manager, project manager, software engineer e chiunque abbia a che fare con la produzione in quest’ambito.
Per superare l’esame un corso aiuta, ma non è tutto. Certamente l’esperienza in uno o più dei domini indicati dal CBK è fondamentale, altrimenti ci si dovrebbe affidare un po’ troppo all’immaginazione per rispondere a domande di applicazione pratica. Il consiglio è: procuratevi domande, domande, tante domande. I corsi forniscono esami di simulazione utili, ma a differenza di altre certificazioni, non sono esaustivi. Cercherei di procurarmi più esami di simulazione possibili, anche perché in tutti quelli che ho provato non ci sono domande che si ritrovano all’esame. Il bunker con le domande evidentemente è ben protetto. Quindi il secondo consiglio è: studiate bene e approfonditamente, l’esame costa e doverlo ripetere potrebbe essere antipatico sotto tutti i punti di vista. Personalmente ho acquistato il “CSSLP Certification All-in-one Exam Guide”, molto utile e ben fatto, ma ho trovato più completo il CSSLP CBK della ISC2. Dopo aver studiato su entrambi ho passato l’esame. Le domande di assessment di questi due libri servono solo come verifica di comprensione dei capitoli letti, ma per l’esame ci vuole ben altro.
In rete è possibile trovare diverso materiale che può essere d’aiuto. Il corso CSSLP di Cybrary (https://www.cybrary.it/csslp-2/) è una buona introduzione e soprattutto è completamente gratis. Altri corsi online sono a pagamento e variano da prezzi modici (meno di cento Euro) a prezzi più sostenuti (oltre 700-800 Euro). I corsi in aula hanno prezzi (per me) proibitivi, abbordabili solo se è la vostra azienda a farvi da sponsor (che paga, insomma), si arriva anche a cifre di 3500 Euro. Al solito, con corsi così costosi i tempi di preparazione si accorciano, per cui la scelta della soluzione corretta per la preparazione deve essere valutata individualmente in base alle proprie esigenze e possibilità. Invece l’ “in bocca al lupo” da parte mia a chi intende cimentarsi nel conseguire la certificazione è del tutto gratuito e ve lo concedo molto volentieri.
Buon lavoro!