FORMAZIONE: LA COSA PIU’ IMPORTANTE
scritto il 10-04-2005 per ITVC.net
“Security is a process, not a product†(Bruce Schneier)
Quante volte l’abbiamo sentita?
Quante volte è stato scomodato un personaggio del calibro di Schneier per ribadire che la sicurezza non si fa con i prodotti, ma con la consapevolezza?
La sicurezza è un “abito mentale†come la definiva il mio boss già 6 anni fa.
Questo bel concetto si può allargare oltre i confini della security, perchè anche applicare una logica rigosora al proprio lavoro è un “abito mentaleâ€, così come lavorare bene è un “abito mentaleâ€.
Ma non può essere solo questione di buonsenso. Ci vuole formazione.
Eppure qualcosa non va.
Continuo a sentir dire che l’azienda ACME inc. ha implementato un sistema di intrusion detection del vendor X, oppure che ha rifatto la propria rete con switch e router del vendor Y.
Mi capita molto più raramente di sentire che l’azienda ACME inc. ha assunto un bravo IDS analyst, o che ha un ottimo Firewall administrator…
Come mai? Come mai i prodotti hanno ancora più spazio delle persone?
Forse perchè i prodotti evolvono più velocemente del personale che li deve gestire? Ci vuole formazione.
Altra opinione comune è che il valore degli IDS è dato dal tecnico che lo utilizza e che i tecnici con quelle competenze sono pochi.
Eppure la soluzione non è rinunciare ad implementare i sistemi di Intrusion Detection, e neanche cercare sistemi più semplici che nascondono tutto dietro ad una bella interfaccina.
La soluzione è far crescere le persone, investire in formazione, l’obiettivo non è la tecnologia, ma avere le conoscenze per gestirla!
Il famoso “know-how†va creato. Ci vuole formazione.
Ho già parlato di come si sta evolvendo il firewalling nell’Opinion Firewall (r)Evolution.
Nonostante sia passato quasi un anno da quell’articolo la situazione mi pare abbastanza invariata: continua l’avanzata dei controlli a livello applicativo inseriti nei firewall, chiamatela “Application Intelligence†o “Deep Inspection†come preferite 😉
Il succo è che questa cosa potentissima richiede competenze differenti, le aziende devono formare chi si occupa di rete e di firewalling per poter operare a stretto contatto con chi sviluppa le applicazioni.
L’alternativa è continuare ad usare il proprio firewall come un apparato di rete che apre e chiude porte.
E allora si riceveranno richieste del tipo:
“per favore, aprite la porta 8080/TCP perchèè necessaria alla nuova applicazioneâ€.
E il buon firewall administrator aprirà quella porta seguendo la procedura aziendale nei punti 5bis e 6 dell’allegato B.
E’ sicurezza questa?
Io vorrei che un firewall administrator capisse come mai serve quella porta, che traffico dovrà transitare, con quale semantica, con quali rischi, quali controlli è possibile applicare su di esso.
Non dobbiamo aspettare che i prodotti diventino più semplici, perchè come dice En3py “la complessità di una soluzione è proporzionale a quella del problema che risolveâ€.
Quindi non c’è niente a buon mercato, bisogna andare a fondo e conoscere bene quello che si utilizza . Ci vuole formazione.
Altra frase che si sente spesso è“vogliamo scegliere una soluzione diffusa e conosciuta per poter trovare altri tecnici che la sappiano gestireâ€.
Condivido in parte questo modo di pensare, perchè pone delle limitazioni nella scelta del prodotto anche se vuole svincolare la soluzione dal personale tecnico.
Invece che formare i tecnici per utilizzare la tecnologia che meglio si adatta alle nostre esigenze, si preferisce scegliere il prodotto più diffuso, un po’ seguendo il vecchio adagio del “mal comune mezzo gaudioâ€.
Si pensa che la formazione costi troppo, eppure non si riescono a valutare i costi della non-formazione, per non parlare dei costi di consulenze esterne che si potrebbero evitare.
Un tecnico che non è preparato per operare su una tecnologia è lento, insicuro, ed esposto a malconfigurazioni che possono solo creare danni.
Ci vuole formazione.
Formazione sui prodotti e sulle tecnologie, per sapere quello che si sta facendo:
bisogna investire sulle persone.
Sono ancora troppo poche le realtà in cui si pianifica una formazione seria e costante del personale, e troppe quelle in cui ci si affida alla buona volontà del dipendente che studia la sera facendo le prove in casa.
E voi pensate che la soluzione sia cambiare tecnologia?
Formazione: ecco la cosa più importante!