Il giorno 22 luglio 2009 11.21, Marco Ermini<[email protected]> ha scritto: > 2009/7/21 Roberto Scaccia: > [...] >> Ti faccio un esempio: per essere un network security expert devi prima >> essere un esperto di reti; analogamente per la sicurezza applicativa; >> per fare l'auditor non devi essere esperto di nulla :-) basta imparare >> un tomo allucinante a memoria e molto vaporware da somministrare alle >> aziende! > > Intuisco l'allusione sarcastica :-) comunque a parte le battute, gli > auditing possono essere estremamente utili, e in molte circostanze > sono il modo in cui viene introdotta un po' di security in posti dove > non ce n'era per nulla.
Sì certo, ovviamente era sarcasmo gratutio. Un buon auditor serve, eccome! Peccato che diverse volte ho visto persone scarsamente qualificate, ma questo vale un po' per tutti i campi. > > Ci sono molti modi di fare il "network security expert", ed ho > conosciuto venditori di vapore anche in questo mondo - così come ho > conosciuto auditor con i piedi per terra che sapevano non solo fare il > loro lavoro, ma avevano un'occhio alla sicurezza "reale". Tutto > dipende dal background e dalla persona che lo fa. Certo tutto è relativo. Però le miriadi di certificazioni (di qualità, ISO 27001, etc) pongono gli auditor in un contesto più procedurale/organizzativo che tecnico e questo scatena spesso delle politiche di selezione del personale non proprio ottimali e obiettive. Diverso è il caso di un tecnico che è oggettivamente meglio valutabile per le sue competenze. > > Il lavoro di auditor può essere molto interessante, utile, e spesso è > indispensabile, soprattutto se devi essere compliant con un sacco di > cose, tra PCI, SOX, HIIPAA, cippe e lippe varie. E di volumi ce ne > sono più di uno da conoscere ;-) Se si vuole fare al meglio il proprio mestiere "c'è sempre un altro libro da leggere". > > >> Diverso è se vuoi fare il White/Black-Hat. Lì effettivamente sei un >> po' in ritardo...tipicamente sono professioni che richiedono tempo e >> che quindi iniziano nella tenera età dei 15 :-) E comunque un conto è >> essere White Hat, un altro è essere un esperto di sicurezza. Sono due >> approcci diversi. Qulcuno diceva "Hacker vs Engineer". Per darti un >> idea nel campo della security di va dall' Hacking, campo estremamente >> tecnico, fino all'auditing, estremamente procedurale. In mezzo c'è di >> tutto. > > Anche questa mi sembra un'idea molto "romantica" dell'hacker. Forse > non sono molto informato ma non assumerei mai un quindicenne, > legislazione del lavoro a parte :-) Veramente io ho detto che iniziano a 15 anni ;-) Anche io non lo assumerei a 15...ma a 18 sì ;-) Poi si fidanzano, o peggio si sposano, e non hanno più tempo per disassemblare, exploitare durante la notte :-) > > >>> Infine, riguardo la certificazione, mi consigliate di prenderla durante >>> l'uni? >> >> Credo poco alle certificazioni. Secondo me servono solo per fare >> mercato. Prenditi piuttosto la Laurea in Informatica e poi semmai >> qualche master....e una buona dose di esperienza. La security è troppo >> vasta per essere imbrigliata in una certificazione... > > Beh, non che la laurea o un master, o pure un dottorato, o 10 anni di > ricerca su Marte, di per sé qualifichino qualcuno ;-) > > Esattamente come 10 certificazioni. Detto questo, alcune > certificazioni servono ad introdurti in un "giro" che è quello che > serve per lavorare, spesso, quindi hanno una utilità smaccatamente > pratica nel senso di "lobbying" come lo intendono nel mondo > anglo-sassone. Quindi la stessa certificazione potrebbe non avere un > senso in altri paesi come in Italia, dove questo "lobbying" si fa in > altri modi (associazioni professionali, o mailing lists ;-)) IMHO: le certificazioni servono per il body rental. La laurea per cultura personale e dopo i 40 anni per rivendersi. Il resto per farsi conoscere. Affermazione ovviamente sintetica. > > Non credo che esistano consigli universali validi per tutti. Come > sempre, dipende dalle persone. Ciascuno deve essere in grado di > scegliere la strada che ritiene più interessante ed utile per sé > stesso. > > > [...] >>> Naviga al sicuro, usa Windows Live Messenger! >>> http://messenger.it/home_sicurezza.aspx >> >> Spero sia uno scherzo! > > Ironia della sorte "Dio non gioca a dadi" ---> "Ma il diavolo sì" > > > Cordiali saluti > -- > Marco Ermini > r...@human # mount -t life -o ro /dev/dna /genetic/research > http://www.linkedin.com/in/marcoermini > "Jesus saves... but Buddha makes incremental back-ups!" > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
