2017-02-21 13:16 GMT+01:00 tag636 <tag...@gmail.com>: [...] > > *>Professionalmente direi che mi serve qualcosa utile per la valutazione > dei rischi ed eventualmente l'implementazione/valutazione di contromisure > (di processo e tecniche).* > > Se vuoi andare da questo lato del cubo.... risk assessment o security > architecture? Penso tu intenda risk assessment, a quel punto sei su CISA > stuff, fatti un corso per CISA > > https://www.cybrary.it/course/cisa/ >
[...] Solo una precisazione: CISA (Certified Information Security Auditor) non ha molto a che fare con la valutazione dei rischi e la definizione delle contromisure, è una certificazione di auditing ed assurance IT. In generale, non perseguirei certificazioni del genere prima di avere una concreta esperienza lavorativa nel campo. Seguire un corso gratuito può ovviamente essere utile per rendersi conto se il campo piace e si desidera approfondire, ma ho qualche riserva sui corsi Cybrary gratuiti. > Finche' non ti metti in ordine la testa, ti consiglio di stare fermo, in > tre righe di mail sei andato in giro per tutto il negozio senza meta (non > so perche' ma ti sei dimenticato forensics)... decidi cosa sei portato a > fare in base agli skills che hai, che carriera vuoi fare, vedi una job spec > di un lavoro che vorresti fare e vedi cosa richiedono. In base a quello > disegna su misura un percorso di studio fai da te, con degli obiettivi > chiari e che abbiano senso. Non e' studiare per tre mesi come un forsennato > che ti ci porta, ma studiare sempre, poco alla volta ed essere sicuro che > hai capito quello che hai letto; non diventare un altro raccoglitore di > bollini che apre i libri solo per "certificazione X" e dopo due giorni non > si ricorda da che parte e' girato. > Concordo pienamente. "Lavorare nella sicurezza" non significa molto, è ormai un campo talmente specializzato che se sai fare un po' di tutto, non sai fare veramente fare nulla. Ribadisco inoltre un principio in generale: corsi e certificazioni te li deve pagare l'azienda in cui lavori - non solo per un fattore economico; una certificazione come CISA o CISM li puoi prendere studicchiando la sera (ma non diventi auditor o manager solo con quel pezzo di carta, e se hai esperienza è molto, molto più facile certificarsi che non studiando!), ma una come la OCSP richiede parecchio impegno che devi necessariamente concordare col tuo datore di lavoro, pena perdersi tutte le serate ed i weekend. Auguri anche da parte mia! -- Marco Ermini CISSP, CISA, CISM, CEH, ITIL, PhD http://www.linkedin.com/in/marcoermini
