2009/7/21 Roberto Scaccia: [...] > Ti faccio un esempio: per essere un network security expert devi prima > essere un esperto di reti; analogamente per la sicurezza applicativa; > per fare l'auditor non devi essere esperto di nulla :-) basta imparare > un tomo allucinante a memoria e molto vaporware da somministrare alle > aziende!
Intuisco l'allusione sarcastica :-) comunque a parte le battute, gli auditing possono essere estremamente utili, e in molte circostanze sono il modo in cui viene introdotta un po' di security in posti dove non ce n'era per nulla. Ci sono molti modi di fare il "network security expert", ed ho conosciuto venditori di vapore anche in questo mondo - così come ho conosciuto auditor con i piedi per terra che sapevano non solo fare il loro lavoro, ma avevano un'occhio alla sicurezza "reale". Tutto dipende dal background e dalla persona che lo fa. Il lavoro di auditor può essere molto interessante, utile, e spesso è indispensabile, soprattutto se devi essere compliant con un sacco di cose, tra PCI, SOX, HIIPAA, cippe e lippe varie. E di volumi ce ne sono più di uno da conoscere ;-) > Diverso è se vuoi fare il White/Black-Hat. Lì effettivamente sei un > po' in ritardo...tipicamente sono professioni che richiedono tempo e > che quindi iniziano nella tenera età dei 15 :-) E comunque un conto è > essere White Hat, un altro è essere un esperto di sicurezza. Sono due > approcci diversi. Qulcuno diceva "Hacker vs Engineer". Per darti un > idea nel campo della security di va dall' Hacking, campo estremamente > tecnico, fino all'auditing, estremamente procedurale. In mezzo c'è di > tutto. Anche questa mi sembra un'idea molto "romantica" dell'hacker. Forse non sono molto informato ma non assumerei mai un quindicenne, legislazione del lavoro a parte :-) >> Infine, riguardo la certificazione, mi consigliate di prenderla durante >> l'uni? > > Credo poco alle certificazioni. Secondo me servono solo per fare > mercato. Prenditi piuttosto la Laurea in Informatica e poi semmai > qualche master....e una buona dose di esperienza. La security è troppo > vasta per essere imbrigliata in una certificazione... Beh, non che la laurea o un master, o pure un dottorato, o 10 anni di ricerca su Marte, di per sé qualifichino qualcuno ;-) Esattamente come 10 certificazioni. Detto questo, alcune certificazioni servono ad introdurti in un "giro" che è quello che serve per lavorare, spesso, quindi hanno una utilità smaccatamente pratica nel senso di "lobbying" come lo intendono nel mondo anglo-sassone. Quindi la stessa certificazione potrebbe non avere un senso in altri paesi come in Italia, dove questo "lobbying" si fa in altri modi (associazioni professionali, o mailing lists ;-)) Non credo che esistano consigli universali validi per tutti. Come sempre, dipende dalle persone. Ciascuno deve essere in grado di scegliere la strada che ritiene più interessante ed utile per sé stesso. [...] >> Naviga al sicuro, usa Windows Live Messenger! >> http://messenger.it/home_sicurezza.aspx > > Spero sia uno scherzo! Ironia della sorte Cordiali saluti -- Marco Ermini r...@human # mount -t life -o ro /dev/dna /genetic/research http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
