FORMAZIONE: LA COSA PIU’ IMPORTANTE

scritto il 10-04-2005 per ITVC.net

“Security is a process, not a product” (Bruce Schneier)
Quante volte l’abbiamo sentita?
Quante volte è stato scomodato un personaggio del calibro di Schneier per ribadire che la sicurezza non si fa con i prodotti, ma con la consapevolezza?

La sicurezza è un “abito mentale” come la definiva il mio boss già 6 anni fa.
Questo bel concetto si può allargare oltre i confini della security, perchè anche applicare una logica rigosora al proprio lavoro è un “abito mentale”, così come lavorare bene è un “abito mentale”.
Ma non può essere solo questione di buonsenso. Ci vuole formazione.

Eppure qualcosa non va.
Continuo a sentir dire che l’azienda ACME inc. ha implementato un sistema di intrusion detection del vendor X, oppure che ha rifatto la propria rete con switch e router del vendor Y.
Mi capita molto più raramente di sentire che l’azienda ACME inc. ha assunto un bravo IDS analyst, o che ha un ottimo Firewall administrator…
Come mai? Come mai i prodotti hanno ancora più spazio delle persone?
Forse perchè i prodotti evolvono più velocemente del personale che li deve gestire? Ci vuole formazione.

Altra opinione comune è che il valore degli IDS è dato dal tecnico che lo utilizza e che i tecnici con quelle competenze sono pochi.
Eppure la soluzione non è rinunciare ad implementare i sistemi di Intrusion Detection, e neanche cercare sistemi più semplici che nascondono tutto dietro ad una bella interfaccina.
La soluzione è far crescere le persone, investire in formazione, l’obiettivo non è la tecnologia, ma avere le conoscenze per gestirla!
Il famoso “know-how” va creato. Ci vuole formazione.

Ho già parlato di come si sta evolvendo il firewalling nell’Opinion Firewall (r)Evolution.
Nonostante sia passato quasi un anno da quell’articolo la situazione mi pare abbastanza invariata: continua l’avanzata dei controlli a livello applicativo inseriti nei firewall, chiamatela “Application Intelligence” o “Deep Inspection” come preferite 😉
Il succo è che questa cosa potentissima richiede competenze differenti, le aziende devono formare chi si occupa di rete e di firewalling per poter operare a stretto contatto con chi sviluppa le applicazioni.
L’alternativa è continuare ad usare il proprio firewall come un apparato di rete che apre e chiude porte.
E allora si riceveranno richieste del tipo:
“per favore, aprite la porta 8080/TCP perchèè necessaria alla nuova applicazione”.
E il buon firewall administrator aprirà quella porta seguendo la procedura aziendale nei punti 5bis e 6 dell’allegato B.
E’ sicurezza questa?
Io vorrei che un firewall administrator capisse come mai serve quella porta, che traffico dovrà transitare, con quale semantica, con quali rischi, quali controlli è possibile applicare su di esso.
Non dobbiamo aspettare che i prodotti diventino più semplici, perchè come dice En3py “la complessità di una soluzione è proporzionale a quella del problema che risolve”.
Quindi non c’è niente a buon mercato, bisogna andare a fondo e conoscere bene quello che si utilizza . Ci vuole formazione.

Altra frase che si sente spesso è“vogliamo scegliere una soluzione diffusa e conosciuta per poter trovare altri tecnici che la sappiano gestire”.
Condivido in parte questo modo di pensare, perchè pone delle limitazioni nella scelta del prodotto anche se vuole svincolare la soluzione dal personale tecnico.
Invece che formare i tecnici per utilizzare la tecnologia che meglio si adatta alle nostre esigenze, si preferisce scegliere il prodotto più diffuso, un po’ seguendo il vecchio adagio del “mal comune mezzo gaudio”.
Si pensa che la formazione costi troppo, eppure non si riescono a valutare i costi della non-formazione, per non parlare dei costi di consulenze esterne che si potrebbero evitare.
Un tecnico che non è preparato per operare su una tecnologia è lento, insicuro, ed esposto a malconfigurazioni che possono solo creare danni.

Ci vuole formazione.


Formazione sui prodotti e sulle tecnologie, per sapere quello che si sta facendo:
bisogna investire sulle persone.
Sono ancora troppo poche le realtà in cui si pianifica una formazione seria e costante del personale, e troppe quelle in cui ci si affida alla buona volontà del dipendente che studia la sera facendo le prove in casa.

E voi pensate che la soluzione sia cambiare tecnologia?
Formazione: ecco la cosa più importante!

FORMAZIONE: LA COSA PIU’ IMPORTANTE
Rate this post

Written by Daniele
Hi, I’m Daniele! In April 2012 I quit my full-time IT job to pursue entrepreneurship and a location independent lifestyle.