“Negli ultimi cinque anni la cyber-minaccia si è evoluta in maniera esponenziale. Quando abbiamo iniziato a parlare di conferenza nazionale, ‘cyber-warfare’ sembrava una parolaccia, era un termine molto lontano dalla consapevolezza di tutti, istituzioni, aziende e cittadini. La minaccia si è evoluta […] E da attacchi eclatanti di singoli hacker siamo passati ad attacchi sofisticati, spesso sottotraccia. […] Il rischio è che un numero sempre maggiore di identità vere da sfruttare in maniera tale che finisca nelle mani sbagliate”.

(http://www.corrierecomunicazioni.it/it-world/31211_cybersecurity-lezzi-expo-2015-sara-banco-di-prova-per-l-italia.htm)

Utilizzo le parole di Paolo Lezzi ai tempi CEO di Meglan Europe e attuale Founder & CEO at InTheCyber – Intelligence & Defense Advisors per introdurmi in un’area dell’informatica che negli anni a venire promette circa sei milioni di posti di lavoro: la Cyber Security.

La minaccia Cyber è un problema di dimensioni ampie che va a toccare economia e tutela globale e nazionale, e come tale richiede delle misure preventive e difensive. Motivo per cui l’educazione alla difesa sembra trasformarsi in un “dovere civico” nella misura in cui le azioni, anche quelle più banali, svolte nel quotidiano, potrebbero essere ponte per accessi illeciti.

È proprio questo dovere civico, declinato “nell’educazione a” intesa come forma di tutela preventiva che vorrei toccare in questo articolo. Un dovere che dalle informazioni reperite in rete e dall’attenta collaborazione di due colleghi mi è parso un elemento fondante del discorso intessutosi in questi anni, in particolar modo nel biennio 2014-2016. Il piccolo studio in merito mi ha dato modo di comprendere l’entità di un fenomeno e nello stesso tempo di ritagliare un filo conduttore su quanto detto e fatto in termini di Cyber Security nella visione di possibili nuove professionalità da affiancare a quelle esistenti.

Qualche cenno storico per contestualizzare il fenomeno, con un anno, il 2014, che pare fungere da catalizzatore del Virus Cyber. Il 2014 ha visto protagoniste del mirino degli hacher grandi realtà come e-Bay, Target Corporation, Home Depot e JPMorgan Chaese e Sony. Nello stesso anno in Italia le rivendicazioni assumono i toni di protesta sociale: l’attacco al sito web del Tribunale di Torino si lega alle rivendicazioni No Tav, quello al sindacato di polizia al caso Cucchi. Sempre nel 2014 in una Relazione al Parlamento sulla politica dell’Informazione per la Sicurezza il Virus Cyber viene messo in relazione con azioni terroristiche assumendo una portata più ampia che esula dai confini nazionali. Inizia a farsi strada la consapevolezza che una minaccia c’è e come tale va trattata.

Nello scenario italiano, ad oggi, le attività intraprese sembrano tese a controvertire la tendenza di sottovalutare il problema che esiste e come tale va valutato e trattato a prescindere dalla modalità degli attacchi. Per essere concreti e farsi un idea del grado di possibile accesso vi invito leggere   quanto scoperto dai ricercatori Senrio, startup specializzata in sicurezza nell’Internet of Things, su videocamere, modem e router.

In vista di interventi efficaci si pone l’accento su una collaborazione consapevole che parla di responsabilità da condividere. A maggior ragione se l’assunto di base è quello che in una società tecnologicamente avanzata anche il tuo smartphone può presentare un punto per un accesso illecito. Tutti, quindi, potremmo essere responsabili.

Una collaborazione consapevole che ben si sposa con quel concetto di “educazione a” forma preventiva a cui accennavo qualche capoverso fa.

I più si domanderanno, come faccio a diventare un bravo ragazzo?

Paladina di quest’ambizione è sicuramente la formazione, ed è Andrea Zapparoli a farsene maggior portavoce. Formare a una coscienza consapevole arma preventiva contro la minaccia dilagante. Quindi non è da escludere la comparsa sulla scena informatica di Cyber Security Coach che avranno l’importante compito di educare a questo tipo di consapevolezza.

Come e dove potrà dispiegarsi l’impiego di queste potenziali figure?

A tal proposito ho cercato di capire cosa c’è in termini di formazione specifica sul tema concentrandomi sui percorsi universitari ambito IT. Dalla breve, e forse semplicistica, analisi mi è parso di capire che ad oggi nel Sistema non sono presenti percorsi strutturati sul tema, manca quell’introduzione alla consapevolezza che sarebbe utile per strutturare “coscientemente” le attività in ambito IT. Sarebbe auspicabile tamponare questa “incongruenza” iniziando a promuovere un azione parallela tra la realtà lavorativa specifica e realtà formativa.

La figura del CSC si inserirebbe quindi in uno scenario di rivisitazione del sistema formativo e non solo per avviare quell’azione preventiva che fa da contromossa all’azione reattiva attuabile post incidente. Rivisitare il sistema formativo significa non solo tener presente la formazione accademica ma allargare il tutto anche alla realtà scuola, quella dei nativi digitali, senza tralasciare il contesto aziendale dove questo tipo di educazione si rivelerebbe, per motivi intuibili, fondamentale per azioni protette.

Attuare un’azione integrata e capillare nella quale i CSC sarebbero portavoce privilegiati.

Quindi se da un lato andrà rivisto il sistema accademico con l’introduzione di esami specifici, dall’altro l’azione preventivata andrà a toccare la formazione/informazione anche in ambiti distanti da quello IT: la restante parte del mondo accademico, il sistema scolastico primario e secondario, le aziende pubbliche e private.

Concludo con una lista di figure professionali con la speranza che possano essere utili a chi vuole affacciarsi su mondo in continua evoluzione:

• Security Analyst: Analizza e valuta le vulnerabilità nelle infrastrutture (software, hardware, reti), indaga gli strumenti e le contromisure a disposizione per porre rimedio alle vulnerabilità rilevate, e consiglia soluzioni e best practice. Analizza e valuta i danni ai dati/infrastrutture a seguito degli incidenti di sicurezza, prende in esame gli strumenti di ripristino disponibili e dei processi, e raccomanda soluzioni.
• Security Engineer:Esegue il monitoraggio della sicurezza analizzando dati/log. Provvede all’analisi forense per la rilevazione degli incidenti, sperimenta nuove tecnologie e processi per migliorare le funzionalità di sicurezza e attuare miglioramenti.
• Security Architect:E’ a capo di un team di progettazione di nuovi sistemi di sicurezza, ha come compito principale quello di disegnare l’impalcatura del sistema.
• Security Administrator:Organizza, installa e gestisce sistemi di sicurezza. Nelle organizzazione più piccole può ricoprire anche compiti che spetterebbero ad un analista della sicurezza.
• Security Software Developer:Sviluppa software per la sicurezza, inclusi strumenti per il monitoraggio. Si occupa dell’analisi del traffico, del rilevamento delle intrusioni, virus/spyware/malware, software anti-virus. Integra/implementa la sicurezza nelle applicazioni software.
• Cryptographer/Cryptologist:Utilizza la crittografia per proteggere le informazioni o per costruire software di sicurezza. Lavora anche come ricercatore per sviluppare algoritmi di crittografia più forti.
• Cryptanalyst:Analizza le informazioni criptate per “infrangere” il codice o la cifratura, al fine di individuare lo scopo del software dannoso.
• Chief Information Security Officer:Posizione di alto livello. È responsabile dell’intera divisione sicurezza gestisce oltre alle informazioni anche il personale. Può affiancare alla gestione mansioni tecniche.
• Security Consultant/Specialist:Ha il compito di proteggere computer, reti, software, dati e/o sistemi di informazione contro virus, worm, spyware, malware. Rileva le intrusioni, gli accessi non autorizzati, gli attacchi denial-of-service (DoS).

A un livello di specializzazione più alto …

• Intrusion Detection Specialist:Monitora reti, computer e applicazioni in grandi organizzazioni, alla ricerca di eventi e di indicatori di traffico che segnalano eventuali intrusioni. Determina il danno causato dalle intrusioni rilevate, identifica come un’intrusione sia avvenuta, e raccomanda misure di salvaguardia contro gli attacchi. Deve essere in grado di saper far uso di test di penetrazione per identificare le vulnerabilità. Raccomanda misure di salvaguardia come misure preventive.
• Computer Security Incident Responder:E’ il membro del team che prepara e attua una risposta rapida alle minacce alla sicurezza e ad eventuali attacchi, come virus e/o attacchi di tipo denial-of-service (DoS).
• Source Code Auditor: Rivede/studia il codice sorgente del software per identificare i potenziali problemi di sicurezza e le vulnerabilità che potrebbero essere sfruttate dagli hacker per ottenere l’accesso non autorizzato ai dati e alle risorse di sistema.
• Virus Technician:Analizza virus di recente scoperta, progetta e sviluppa software per difendersi contro di loro.
• Penetration Tester (also known as Ethical Hacker):Non solo ricerca e identifica le vulnerabilità, ma le sfrutta per fornire prove concrete al sistema.
• Vulnerability Assessor:Scansiona, individua e valuta le vulnerabilità dei sistemi informatici, tra cui computer, reti, sistemi software, sistemi informativi e software applicativi.

Ringrazio per la collaborazione:

Stefano Lucentini https://www.linkedin.com/in/stefanolucentini

Francesco Mannarino https://www.linkedin.com/in/francesco-mannarino