C'è un'idea che circola da troppo tempo negli uffici dei direttori del personale e nei corridoi delle aziende tecnologiche milanesi, ed è tanto rassicurante quanto pericolosa. Si crede che un pezzo di carta possa trasformare magicamente un tecnico in un manager capace di difendere un perimetro digitale sotto attacco costante. Ho visto decine di professionisti passare mesi a memorizzare definizioni astratte per ottenere la Certified Information Systems Security Professional Cissp Certification convinti che questo li avrebbe resi dei guardiani infallibili dei dati aziendali. La realtà è che siamo di fronte a un'industria delle certificazioni che fattura miliardi vendendo la promessa della competenza, quando spesso ciò che fornisce è solo un vocabolario comune. Non è un caso se molti dei più gravi attacchi informatici degli ultimi anni hanno colpito organizzazioni che vantavano team composti interamente da personale certificato. La sicurezza non si risolve con un esame a crocette, eppure continuiamo a trattare questo titolo come se fosse il Santo Graal della difesa informatica.
Il paradosso della Certified Information Systems Security Professional Cissp Certification e la teoria dei dieci centimetri
Il settore ha coniato una frase che descrive perfettamente questo percorso di studi: largo un chilometro, profondo dieci centimetri. Questo è il peccato originale della Certified Information Systems Security Professional Cissp Certification che nessuno nel marketing di chi rilascia il titolo ammetterà mai apertamente. Ti insegnano tutto, dalla sicurezza fisica dei server alla crittografia, ma non ti danno gli strumenti per eccellere in nulla di tutto ciò. È un paradosso tipico del management moderno. Si spinge il professionista a sapere un po' di tutto per non capire veramente niente dei dettagli tecnici che poi sono quelli che fanno la differenza tra un sistema violato e uno integro. In Italia, vedo spesso aziende che richiedono questo titolo anche per ruoli operativi, dove servirebbe invece una conoscenza granulare del codice o delle configurazioni di rete. È come chiedere a un generale di brigata di riparare il motore di un carro armato solo perché sulla divisa ha una mostrina che parla di logistica bellica.
L'ossessione per questa qualifica ha creato un mercato del lavoro distorto. Invece di premiare l'intuito, la capacità di analisi e l'esperienza sul campo, i reparti delle risorse umane usano il titolo come un filtro automatico per scartare i candidati. Ho parlato con responsabili della sicurezza che non saprebbero distinguere un attacco SQL injection da un errore di sistema, ma che sventolano il loro attestato come uno scudo di invulnerabilità. Questo approccio crea un falso senso di sicurezza. Quando un'azienda si affida esclusivamente a standard burocratici, smette di pensare come un attaccante. L'attaccante non ha certificati, non segue programmi di studio prestabiliti e non si preoccupa dei domini di conoscenza definiti da un consorzio internazionale. L'attaccante cerca il buco nel muro che tu, troppo impegnato a studiare la teoria dei controlli d'accesso, non hai nemmeno visto.
Perché la Certified Information Systems Security Professional Cissp Certification non ferma gli hacker
Se guardiamo ai dati recenti sulle violazioni di dati in Europa, emerge un quadro inquietante. Il Garante per la protezione dei dati personali riceve ogni anno migliaia di notifiche di data breach, eppure il numero di esperti certificati è ai massimi storici. Perché questa discrepanza? Perché la gestione del rischio è diventata un esercizio di compilazione di moduli. Il problema risiede nella natura stessa del programma formativo. Molte delle nozioni richieste sono obsolete o talmente generiche da risultare inutilizzabili quando il server va a fuoco. Ti dicono che devi proteggere la riservatezza, l'integrità e la disponibilità, ma nessuno ti spiega come convincere un amministratore delegato a investire in infrastrutture che non producono profitto immediato.
Il valore di questo percorso è puramente relazionale. Serve a parlare la stessa lingua degli altri manager, a sedersi al tavolo delle riunioni e non sembrare l'alieno che parla in codice binario. Ma non dobbiamo confondere la comunicazione con l'efficacia operativa. Il rischio reale è che il professionista inizi a credere alla propria leggenda. Una volta ottenuto il titolo, c'è la tendenza a smettere di sporcarsi le mani con la tecnica. Si sale ai piani alti, si firmano policy scritte in un linguaggio burocratico che nessuno legge e si pensa di aver fatto il proprio dovere. Nel frattempo, un ragazzino con una connessione internet e molta pazienza sta smontando pezzo dopo pezzo la tua infrastruttura partendo da una stampante mal configurata che nessuna policy aveva previsto.
Le critiche a questo sistema non sono nuove, ma vengono spesso messe a tacere dal prestigio sociale che il titolo conferisce. Chi ha speso migliaia di euro e ore di sonno per superare l'esame non ha alcun interesse a sminuirne il valore. Si crea così un circolo vizioso in cui tutti concordano sul fatto che sia indispensabile, semplicemente perché tutti hanno investito nel mantenimento del mito. È un'economia della reputazione che si autoalimenta, lasciando scoperta la vera difesa, quella che si fa con la curiosità costante e il dubbio metodico, non con la certezza di un acronimo dopo il cognome.
Un esperto di sicurezza che ho intervistato tempo fa, uno di quelli che le aziende chiamano solo quando tutto è già perduto, mi ha confessato che i suoi migliori analisti sono persone senza alcun titolo formale. Hanno imparato il mestiere rompendo le cose e capendo come rimetterle insieme. Secondo lui, il problema dei corsi strutturati è che insegnano a seguire le regole, mentre la sicurezza informatica consiste quasi interamente nel capire come le persone le aggirano. Quando segui un programma rigido, la tua mente si abitua a pensare dentro i binari. L'hacker, per definizione, è quello che i binari li ha segati tre chilometri prima.
Molte organizzazioni internazionali, come il SANS Institute, offrono percorsi molto più tecnici e verticali che però faticano a ottenere la stessa risonanza mediatica e lo stesso peso nei contratti collettivi. Questo accade perché chi decide gli stipendi non capisce la differenza tra un esperto di risposta agli incidenti e un architetto della sicurezza. Per loro sono tutti informatici, e l'unica cosa che possono misurare è la presenza di una sigla riconosciuta a livello globale. È la vittoria della forma sulla sostanza, della certificazione sulla competenza reale.
C'è poi la questione del mantenimento del titolo. Ogni tre anni devi raccogliere crediti formativi per dimostrare che sei ancora aggiornato. Sembra una buona idea, ma spesso si traduce nel partecipare a webinar soporiferi o a conferenze commerciali dove lo scopo non è imparare, ma solo accumulare punti. È una tassa sulla professione, un sistema di mantenimento di un'associazione che vive sulla paura delle aziende di non essere conformi a standard mai del tutto chiari. Se vuoi davvero essere un esperto di sicurezza, dovresti passare quel tempo a studiare l'ultima vulnerabilità scoperta nei processori o a capire come l'intelligenza artificiale stia cambiando il phishing. Invece, sei lì a cercare di capire come giustificare venti ore di formazione sulla gestione dei backup fisici nell'era del cloud distribuito.
Il mondo digitale è un ambiente ostile e mutevole. Pensare di poterlo governare con una certificazione è come pensare di poter navigare in una tempesta perfetta solo perché si è letto un manuale sulla vela in piscina. La vera sicurezza è un processo, non un prodotto. È un'attitudine mentale che ti porta a non fidarti di nulla, nemmeno del tuo stesso sistema di difesa. Chi si culla nell'autorità che deriva da un esame superato dieci anni fa è il primo anello debole della catena. La prossima volta che vedete quel logo su un biglietto da visita, non sentitevi al sicuro. Chiedete a quella persona quand'è stata l'ultima volta che ha scritto una riga di codice o che ha simulato una violazione della propria rete. La risposta vi dirà molto di più su quanto i vostri dati siano protetti rispetto a qualsiasi pezzo di carta incorniciato al muro.
Le certificazioni dovrebbero essere il punto di partenza della carriera di un professionista, non il traguardo finale. Invece, sono diventate un punto di arrivo dove ci si accomoda in attesa della pensione, convinti di aver capito come gira il mondo. Ma il mondo informatico non gira, corre. E corre molto più veloce di quanto qualsiasi comitato di revisione possa aggiornare i propri manuali di studio. Dobbiamo smettere di idolatrare i titoli e tornare a valutare le persone per quello che sanno fare quando lo schermo diventa nero e i sistemi smettono di rispondere. Solo allora potremo dire di aver capito cosa significa veramente proteggere un'informazione.
La sicurezza informatica non è una lista di requisiti da spuntare su un foglio di calcolo per compiacere un auditor o per giustificare un aumento di stipendio ai piani alti della dirigenza. È una battaglia quotidiana che si combatte nel fango dei log di sistema e nelle pieghe oscure dei protocolli di rete, dove la teoria serve a poco se non hai la capacità di adattarti a una minaccia che non era prevista da nessun manuale. Chi crede che il prestigio di un acronimo sia sufficiente a scoraggiare un avversario determinato sta solo preparando il terreno per il prossimo disastro, ignorando che l'unica vera qualifica che conta nel nostro campo è la capacità di restare in piedi quando tutto il resto crolla.
