Partiamo dalla fine. In Italia il Security consultant – il cui nome per esteso è Cyber security consultant – ha un futuro apparentemente senza limiti, perché presta il suo bagaglio di conoscenze a diverse realtà aziendali e a diverse organizzazioni.
Considerando che alle nostre latitudini le microimprese e le Pmi sono l’ossatura del sistema economico e tenendo presente che spesso non hanno le risorse per disporre di una struttura interna deputata alla cyber security, il mercato delle consulenze esterne è destinato a conseguire grandi numeri.
Va da sé che può trovare impiego anche presso organizzazioni di grandi dimensioni, fermo restando che le Pmi – che hanno maggiore bisogno di indicazioni e supporto – costituiscono un mercato da non sottovalutare.
Vediamo, quindi, nel dettaglio cosa fa il Security consultant, quale preparazione deve avere e quali possibilità e sbocchi gli si presentano.
Una professione che implica una conoscenza vasta e orizzontale dei sistemi informatici nel senso più ampio del termine, delle tecniche di attacco, di quelle di difesa e, non da ultimo, che necessita di continui aggiornamenti tecnici, tecnologici e legislativi.
Il Security Consultant è un professionista specializzato nella difesa dalle cyber minacce.
Il suo lavoro spazia dalla Security audit al Vulnerability assessment passando per lo sviluppo di strategie di difesa che garantiscano la sicurezza dei dati e quindi delle reti e dei sistemi.
“Protezione di sistemi e reti” è la qualifica che può essere stampata sui biglietti da visita o negli organigrammi aziendali, ma è un’etichetta che racchiude in sé diverse discipline, saperi e modus operandi.
Collabora con aziende di vari settori per prevenire attacchi, migliorare le infrastrutture di sicurezza e conformarsi alle normative in materia di protezione dei dati.
Per entrare nel dettaglio del ruolo del Security consultant è necessario citare cinque aree principali di competenza che ne definiscono le capacità e il bagaglio di esperienze, introducendo così anche i percorsi di formazione sui quali ci concentreremo in seguito:
Ognuno di questi ambiti contiene un mondo a sé stante e richiede conoscenze diverse.
La risposta breve è ovunque, perché l’apporto di un Security consultant è capitale in qualsiasi tipo di organizzazione a qualsiasi latitudine questa si trovi.
Per restringere il campo d’azione citiamo questi comparti:
Questo elenco non è da considerare esaustivo perché, come detto, le capacità di un Security consultant (come dipendente o freelance) possono essere utili a qualsiasi azienda di qualsiasi natura e di qualsivoglia grandezza.
Il cyber crimine diventa vieppiù capace, sfrontato e smaliziato. Va da sé che, in un contesto simile, chi si occupa di difesa deve garantire una protezione adeguata e questa non può essere considerata statica ma, al contrario, va intesa come dinamica.
Per fare un esempio, una buona misura di difesa è costituita da sistemi EDR i quali hanno un ruolo primario nel rilevare le minacce ed eseguire anche attività di risposta. Tuttavia, questi strumenti possono essere bypassati dagli hacker e ciò certifica che non basta adottarli per scongiurare o ridurre i pericoli: occorrono specialisti in grado di rivedere con ciclicità quanto le misure, gli strumenti e i software adottati da un’organizzazione sono resilienti ed efficaci.
Nel definire il ruolo del Security consultant abbiamo svelato un po’ le carte delle competenze necessarie per coprire tale posizione: conoscenza dei sistemi, dei protocolli di rete e dei firewall, dei sistemi per il rilevamento delle intrusioni, insieme a conoscenze delle tecniche di crittografia e delle norme vigenti. A ciò si aggiungono doti di pianificazione, risoluzione dei problemi, proattività e capacità di comunicazione.
Chiunque si occupa di cyber security deve conoscere a fondo i sistemi adottati dall’azienda tra sistemi operativi, software, Cloud, Software-as-a-Service, reti e protocolli.
Soltanto con una conoscenza approfondita è possibile intervenire laddove necessario e decidere quali procedure allestire, come distribuirle e in che modo controllare che vengano rispettate da dipendenti, collaboratori e stakeholder in genere.
La programmazione è fondamentale per chi svolge la professione di Security consultant. La cyber security fa leva su diversi linguaggi. In quest’ottica, a titolo di esempio, citiamo:
Inoltre, il Security consultant può essere chiamato a coadiuvare gli sviluppatori per essere di supporto al secure coding e le nozioni approfondite di programmazione sono ineluttabili anche per le fasi di revisione del codice.
Si può obiettare che il compito di revisione del codice è tipico del Secure code auditor ma, proprio per via della sua natura duttile, nel contesto delle aziende meno strutturate e con meno mezzi a disposizione, il Security consultant dovrebbe sapere svolgere più compiti, sconfinando anche in quelli che – sulla carta almeno – sono tipici di altri profili professionali della cyber security.
Giocare d’anticipo e riuscire a vedere lontano sono due prerogative del Security consultant, così come lo sono le capacità di analisi di log e dati.
Il problem solving è capitale perché le sfide che il Security consultat è chiamato ad affrontare richiedono rapidità tanto nell’individuare le vulnerabilità quanto nel correggerle e diventa capacità ancora più importante se si considera la necessità di trovare soluzioni per limitare i danni di eventuali attacchi in corso, rispondendo quindi alle necessità del momento dovendo gestire lo stress che ciò comporta.
Parallelamente, il pensiero analitico consente di estrarre informazioni di valore dai dati disponibili e permette di identificare minacce potenziali al fine di mettere in pratica le misure imposte dal caso.
In modo analogo, le capacità analitiche sono preziose anche per comprendere la genesi di un attacco e fermare l’intrusione.
Un Security consultant non è chiamato soltanto a risolvere problemi ma è responsabile del funzionamento di un assetto difensivo strutturato, analitico e financo creativo.
Il cyber crimine diventa sempre più creativo, le risposte della cyber defense devono esserlo altrettanto.
Per ottenere questo risultato occorrono capacità tecniche ma anche doti trasversali di alto livello.
Sbilanciandoci possiamo sostenere che un buon Security consultant dovrebbe essere in grado di prevedere anche gli scenari meno probabili e agire di conseguenza.
Cominciamo dagli strumenti utili alla gestione delle vulnerabilità e a quelli per il Penetration test, attività coadiuvate da diversi software e suite.
Nel caso della gestione delle vulnerabilità vanno citati Nessus e OpenVAS, strumenti essenziali per la mappatura e la correzione delle falle. Sul fronte delle attività di Penetration testing i tool più noti sono Metasploit, Nmap e Wireshark.
La crittografia è il pane quotidiano di chi lavora nella cyber security. Si parla spesso di crittografia simmetrica e asimmetrica.
La prima usa una sola chiave per cifrare e decifrare i dati e, giacché più veloce di quella asimmetrica, viene usata per crittografare grandi quantità di dati. L’algoritmo AES è il più usato, anche se la necessità di condividere la chiave di cifratura può comportare qualche rischio.
La crittografia asimmetrica ha per contro due chiavi distinte, una pubblica e una privata. È un riferimento per lo scambio di dati – anche se diventa poco efficiente con l’aumentare della mole di dati scambiati – e per le procedure di autenticazione. Tra gli algoritmi più usati figura RSA.
La crittografia è vitale tanto per la sicurezza quanto per la privacy. Questa ambivalenza è preziosa e non può essere sottovalutata da aziende e organizzazioni.
Gli strumenti di protezione degli endpoit devono entrare nel bagaglio delle conoscenze tecniche di un Security consultant e, insieme a questi, anche gli strumenti per il monitoraggio del traffico e per l’incident response.
Strumenti che si prestano anche alla sicurezza degli OT, la tecnologia operativa rappresentata da dispositivi sui quali, per diverse ragioni, risulta impossibile installare antivirus o altri software di prevenzione degli attacchi.
L’analisi dei log tende a essere complessa ed è invece importante che possa essere agevole sia durante un attacco sia quando l’evento temuto si è già consumato.
Riuscire a correlare le tante informazioni contenute nei diversi file di log è compito che può richiedere l’impiego di software di Machine learning che può essere sviluppato all’interno dell’azienda o dell’organizzazione oppure reperito da fornitori di servizi appositi.
Più in generale, il Machine learning è un alleato di chi si occupa di difesa (ma anche degli attaccanti).
Quanto scritto fino a qui già lascia intravvedere una spiccata predisposizione per le discipline scientifiche. Il percorso formativo include, oltre alle conoscenze teoriche, anche delle competenze tecnico-tecnologiche, delle certificazioni e delle soft skill.
Il mercato del lavoro apprezza la laurea in informatica, in ingegneria o in sicurezza informatica.
Al di là dell’insegnamento frontale, certamente importante, occorre sviluppare dimestichezza con i già citati aspetti legati:
Ci sono anche delle certificazioni di rito che un Security consultant dovrebbe avere conseguito.
Tra le tante certificazioni è opportuno mettere l’accento su quelle che migliorano le conoscenze pratiche dell’aspirante Security consultant. Tra queste:
La certificazione CompTIA Security è da considerare basilare e dovrebbe essere conseguita da chiunque lavori nella cyber security, a prescindere dal ruolo che ricopre.
L’idea di vestire i panni del consulente presso aziende di cyber security è sempre positiva perché dà la possibilità di acquisire una variegata manualità con gli strumenti che ogni professionista deve sapere usare.
Allo stesso modo, partecipare a eventi quali gli hackathon sviluppa l’esperienza necessaria al rilevamento e alla risoluzione delle falle.
Le posizioni lavorative tendono a creare categorie di inquadramento che vanno dai profili junior a quelli senior. I più giovani o inesperti possono iniziare con la posizione di junior Security consultant per farsi le ossa in un contesto realistico grazie al quale acquisire tutte le competenze necessarie e, con il passare del tempo, ambire alla poltrona senior, gestendo così anche interi team di specialisti.
Ma ci sono molti altri sbocchi più che plausibili.
Ormai è un mantra: più la cyber security diventa cruciale per imprese e organizzazioni, più si aprono diverse porte ai professionisti del comparto.
Il Security consultant può trovare impiego in qualsiasi azienda, soprattutto se veste i panni del consulente esterno. Il mercato di riferimento è enorme, così come è ampio il bacino di clienti che questo può raggiungere, sia nel pubblico sia nel privato.
Il Cloud, l’Internet of Things (IoT), lo Smart working e la trasformazione digitale nel suo insieme, le opportunità per il Security consultant si moltiplicano, considerando anche che la sua opera può essere prestata anche a distanza e quindi anche la questione geografica si assottiglia, aprendo le porte a mercati remoti.
L’evoluzione delle minacce, l’adozione di tecniche di Intelligenza artificiale con i quali gli attaccanti diventano sempre più sfrontati e l’introduzione di norme e regole sono sfide che renderanno la professione del Security consultant (e in generale tutte le professioni della cyber security) sempre più richieste.
Il compenso di un Security consultant junior oscilla tra i 30mila e i 50mila euro annui. Le posizioni senior percepiscono stipendi fino a 80mila euro l’anno.
Ciò che più conta è che il Security consultant può ambire ad altre posizioni, tra le quali la poltrona di Security architect, di Incident response specialist e persino quella di Chief information security officer (CISO).