Valutare la sicurezza dei sistemi e garantire la loro aderenza a norme e leggi, riuscendo inoltre a comunicare in modo comprensibile a tutti gli stakeholder ciò che è stato rilevato e quali miglioramenti sono stati suggeriti. Questa, in modo sintetico, la descrizione del lavoro di Security auditor ma, scavando un po’ più in profondità, si apre un mondo fatto di conoscenze tecniche e di capacità di critica e di autonomia che, da sole, rappresentano un bagaglio professionale di alto livello.

Il Security auditor deve conoscere le debolezze del fattore umano e riuscire a misurare l’efficienza dei sistemi di sicurezza anche in rapporto a queste. Compito non sempre facile che può essere svolto al meglio attingendo a capacità che sconfinano nella psicologia comportamentale e nella sociologia.

Introduzione alla professione del Security auditor

Il Security auditor ha il compito di verificare l’efficacia e la resilienza di un sistema di sicurezza e quindi di tutto ciò che lo compone: tecnologie, misure, policy, organizzazione e procedure del Security Operation Center (SOC), assoggettamento alle norme e alle regole relative al trattamento e alla difesa dei dati.

Un compito che richiede solidi bagagli in materia di ICT, cyber security ma anche capacità di ragionamento critico e indipendente.

Chi è il Security auditor: definizione e ruolo

Le competenze tecniche, che approfondiremo in seguito, sono fondamentali nello svolgimento del ruolo del Security auditor il quale, principalmente, deve occuparsi di:

• Testare la sicurezza dell’intera infrastruttura finalizzata alla cyber security
• Valutare i sistemi di sicurezza, i metodi di controllo e le politiche attuate dall’impresa
• Investigare su eventuali problemi di sicurezza o violazioni già avvenuti
• Garantire la conformità alle norme e alle leggi vigenti
• Fornire una revisione indipendente di ciò che ha esaminato nello svolgimento delle proprie mansioni
• Scrivere relazioni tecniche che illustrino le modalità di verifica messe in pratica e le raccomandazioni formulate, affinché siano comprensibili a tutte le parti coinvolte (anche quelle esterne all’impresa).

Tutti compiti che lasciano intendere la necessità di soft skill: non solo tecnologie e rigore scientifico, ma anche capacità divulgative e conoscenza delle abitudini comportamentali degli uomini.

Campo d’azione: dove lavora un Security auditor

Il fatto che tra i suoi compiti ci sia quello di fornire un’analisi dei sistemi di difesa indipendente può suggerire che il Security auditor sia per forza di cose una persona esterna all’azienda per la quale svolge l’audit. In realtà può anche essere un dipendente interno, ciò non toglie che debba essere “super partes” per fare al meglio il proprio lavoro: equidistante, equilibrato e ponderato e capace di spendersi in modo adeguato al fine di contribuire a perfezionare l’infrastruttura difensiva dell’organizzazione di cui è alle dipendenze o per la quale lavora in qualità di collaboratore esterno.

L’importanza del Security auditor

Le sue indagini e analisi devono indicare alle imprese in che modo l’infrastruttura di cyber security e compliance possono migliorare o devono essere migliorate. In gioco non ci sono soltanto la continuità di business e la solidità dell’azienda anche dal punto di vista reputazionale, basti pensare che il rapporto tra cyber security e finanziatori è molto stretto.

Poiché la tutela delle reti e dei sistemi aziendali è uno degli indici che garantisce l’operatività di un’impresa, chi le finanzia tende a volere essere certo che siano adeguatamente solide e protette. Una reponsabilità che grava anche sulle spalle del Security auditor e, più in generale, su quelle di tutto il SOC.

C’è, in linea più generale, un anello di congiunzione tra cyber security ed economia e il Security auditor veste i panni del garante, certificando le capacità di resilienza di un’azienda.

Competenze richieste per diventare Security auditor

Quanto abbiamo scritto fino a questo punto aiuta già a comprendere quali sono le competenze necessarie a chi vuole abbracciare la professione di Security auditor. Nello specifico vanno citate:

• Le competenze in ambito Information security: famiglia ampia che include i protocolli di rete, i sistemi di autenticazione, la crittografia, i sistemi di controllo, le tecniche di hacking e tutte le tecnologie utili alla Intrusion detection
• Le competenze di pianificazione e di monitoraggio: utili all’identificazione delle violazioni e alla rivelazione di tutto quanto è perfettibile nei sistemi difensivi e nelle politiche attuate dalle imprese
• Le capacità analitiche: nelle quali rientrano anche quelle di problem solving, entrambe utili nell’analisi dei sistemi e delle vulnerabilità
• Le conoscenze degli aspetti giuridici: la tutela dei dati ha delle possibili ricadute in ambito civile, penale e amministrativo
• Le capacità di comunicazione: riuscire a spiegare concetti spesso complessi a una platea variegata è una delle doti che devono appartenere a un Security auditor.

Da questo elenco si deduce un’altra dote tipica del Security auditor , ossia la capacità di lavorare sotto stress.

Capacità matematiche e logiche

Il Security auditor deve identificare potenziali rischi per la sicurezza di sistemi complessi e ciò implica l’analisi di grandi quantità di dati per identificare i modelli e le tendenze delle minacce. Va da sé che logica e matematica sono elementi cardine del pacchetto di abilità che deve possedere.

Come vedremo, la dimestichezza con queste due discipline si riverbera su altri compiti che un Security auditor è chiamato ad assolvere.

Familiarità con le tecnologie informatiche e i linguaggi di programmazione

Le tecnologie informatiche propriamente dette sono parte fondante del bagaglio del Security auditor: logiche dei sistemi, protocolli di rete, sistemi operativi ma anche conoscenze approfondite delle specifiche dei software in uso all’azienda. A ciò si aggiungono le parti attive di rete, tipicamente firewall e router con le relative configurazioni.

A corredo, le conoscenze delle logiche di programmazione sono pure un elemento distintivo della professione: occorre infatti riuscire a leggere e interpretare script, algoritmi e quelle porzioni di codice dei software che rimandano a routine di sicurezza.

Capacità di individuare problemi e di pensare in modo analitico

Predisposizione allo scovare incongruenze, debolezze e problemi e pensiero analitico sono legati a doppia mandata e, non di meno, sono l’anima della professione del Security auditor.

Non potrebbe essere altrimenti, considerando che tra i compiti che deve espletare figura anche l’analisi dei dati finalizzata, tra le altre cose, allo sviluppo di strategie di sicurezza e alla pubblicazione di ciò che è risultato dal lavoro svolto.

Non di meno, le capacità di pensiero analitico e di individuazione dei problemi, sono comuni a molti profili afferenti alla cyber security.

Strumenti e tecniche che un Security auditor dovrebbe conoscere

Tra gli strumenti e le tecniche principali figurano quelle maggiormente gettonate dalle organizzazioni per allestire sistemi di sicurezza. Nello specifico:

• Tecnologie predittive
• Tecnologie per il controllo degli accessi
• Tecniche per la gestione del rischio
• Conoscenze di programmazione e di scripting
• Conoscenze in materia di database
• Conoscenze dei sistemi operativi
• Conoscenze dei dispositivi di rete e dei protocolli di comunicazione.

Questo elenco è puramente indicativo e contiene alcune voci che è opportuno approfondire, a cominciare dalla gestione del rischio.

Comprendere la gestione del rischio

È una materia multidisciplinare che include, oltre all’audit tipicamente detto, l’analisi delle cause principali e il relativo incident reporting che sottostà a logiche normative, oltre a rivestire un’elevata importanza, fosse soltanto per quanto attiene alle notifiche a uno CSIRT (Computer Security Incident Response Team) che aiutano a definire le minacce e fungono da veicolo di comunicazione per raggiungere altri soggetti a rischio.

Parallelamente, le analisi FMEA-FMECA, costituiscono metodi per identificare le minacce e per delineare le relative misure di mitigazione.

Non da ultimo, eventuali violazioni sono da comunicare anche ai garanti per la privacy.

L’importanza delle tecnologie predittive

La cyber security predittiva ha diversi pregi. Oltre a consentire il monitoraggio delle minacce e delle vulnerabilità, combinando le informazioni con delle tecniche di cyber threat intelligence, permette di prevedere e quindi prevenire gli attacchi.

Inoltre, considerando il crescente ampliamento dei perimetri delle reti aziendali come conseguenza soprattutto dei dispositivi IoT e IIoT, le tecniche predittive (insieme a quelle proattive), sono imprescindibili per la resilienza delle organizzazioni.

Percorso formativo per diventare Security auditor

La formazione accademica è imprescindibile. Nella fattispecie, una laurea in ingegneria informatica o in informatica sono aderenti alla professione di Security auditor. In aggiunta, degli approfondimenti universitari in cyber security come quelli dispensati dalla Statale di Milano o dalla Sapienza di Roma (per citare due degli atenei che ne organizzano) costituiscono titoli preferenziali.

Non c’è soltanto la preparazione universitaria. Infatti, anche il Security auditor deve affrontare un continuo percorso formativo, fatto di aggiornamenti periodici, di workshop, di certificazioni e di esperienze sul campo.

Certificazioni e competenze fondamentali

Sono molto utili la matematica e le conoscenze giuridico legali. Per quanto riguarda le specializzazioni in ambito cyber security, ci sono diverse certificazioni che si rivelano fondamentali per il percorso professionale di un Security auditor, tra queste:

• I percorsi Certified Information Systems Security Professional (CISSP)
• Le certificazioni CompTIA Security+, Network+ e Cloud+
• I corsi SANS.

Quindi, per fare il punto, oltre alle solide basi in informatica, il Security auditor deve acquisire certificazioni e deve fare una massiccia esperienza pratica, fermo restando che le soft skill possono essere sviluppate seguendo altri percorsi formativi.

Esperienza sul campo e opportunità di stage

Gli stage andrebbero fatti in seno ad aziende di sicurezza nelle quali, vestendo il ruolo di consulente, il Security auditor può fare esperienza confrontandosi con diverse realtà aziendali.

Tuttavia, facendo delle ricerche sui siti specializzati (come, per esempio, Indeed.com), non risultano molte posizioni aperte. Ciò può significare che, almeno in Italia, il ruolo di Security auditor possa essere raggiunto dopo avere occupato altre funzioni all’interno di un SOC di un’organizzazione.

Carriera e prospettive future per un Security auditor

Dal punto di vista funzionale, il Security auditor può essere considerato un jolly: conosce i principi della cyber security, i principi dei sistemi hardware e software e ha modo di acquisire conoscenze approfondite di management.

Questi sono tutti elementi che gli consentono di scalare i vertici degli organigrammi, andando anche ad occupare posizioni apicali nelle aziende per le quali lavora. Gli alti ranghi della cyber security siedono su poltrone dirigenziali, anche perché è con gli altri manager dell’organizzazione che devono dialogare direttamente.

Le opportunità nel settore pubblico e privato

Poiché gli audit devono essere super partes, è plausibile credere che soprattutto le imprese pubbliche si rivolgano ad aziende terze, quindi ad aziende specializzate nella cyber security. Ciò significa che la figura del Security auditor trova posto soprattutto nelle imprese private, in primis quelle di consulenza.

Ciò non esclude che ci siano posizioni professionali anche presso enti, istituti o istituzioni di natura pubblica ma circoscrive un po’ il perimetro delle opportunità di impiego.

Il futuro della cyber security: le AI e le tecniche di attacco

Le tecniche di attacco diventano sempre più sofisticate, oltre ad aumentare di quantità. L’apporto delle AI contribuirà a dare spessore alle incursioni del cyber crimine e, parallelamente, chi si occupa di difesa sarà chiamato a fare altrettanto, ingegnerizzando e allestendo tecniche e tecnologie capaci di garantire resilienza e proattività in linea con le minacce.

Nel medesimo tempo, anche le norme giuridiche e gli standard subiranno modifiche, imponendo o suggerendo metodologie, protocolli e procedure evolute per la difesa e per l’analisi dei dati in caso di violazioni.

Tutto ciò evidenzia come la professione del Security auditor sia in costante evoluzione e oggetto di formazione continua.

Compensi attesi e crescita professionale

In virtù di quanto scritto sopra, il Security auditor può ambire a posizioni ancora più prestigiose all’interno dei SOC. Del resto, chi ha a lungo indagato le tecniche utilizzate dagli hacker e ha verificato la resilienza delle infrastrutture difensive, ha tutte le carte in regola per assumersi responsabilità di elevato profilo manageriale.

Sempre consultando i siti specializzati, in Italia la retribuzione del Security auditor varia dai 40.000 ai 60.000 euro lordi l’anno.