L’essere curiosi, ovviamente in modo sano, è alla base della crescita (e non mi azzardo ad andare oltre per quanto riguarda i temi socio-psico-umano-robe).
Molto più pragmaticamente posso dire che la curiosità è ciò che ha spinto il sottoscritto e molte altre persone che hanno vissuto la scena acara (a prescindere dall’epoca) a studiare come dei matti argomenti distanti da qualsiasi corso o università. Moltissime persone che lavorano nel campo della sicurezza informatica hanno acquisito competenza ed esperienza grazie alla capacità di non smettere mai di studiare, sperimentare, applicare, migliorare… in un loop infinito.
Sono certo che moltissimi professionisti del settore si trovano a dover rispondere a domande che fanno un po’ tenerezza, tipo: ma che scuola devo fare per diventare un hacker etico / pen tester / bug hunter?
Indubbiamente ci sono favolosi percorsi di studio e corsi che consento di avvicinarsi a questo mondo e di acquisire le nozioni tecniche per svolgere attività sia in ambito offensivo che difensivo, ma la materia è così vasta e richiede un background così forte che non c’è corso che tenga… non esiste una scorciatoia, bisogna studiare come dei dannati (anche grazie ai corsi) e passare ore, giorni e notti su documenti, libri, codice, laboratori, esperimenti…
Perché il punto non è sapere come funziona una cosa, il punto è capire perché funziona (cit. Capitano James T. Kirk) e se non siete mossi dalla curiosità di scavare a fondo il “perché” non sarà mai così chiaro.
Se questo approccio può aiutare le nuove leve a costruire una reale competenza, in questo come in altri campi, è anche vero che aiuta i professionisti a mantenere un adeguato livello di preparazione sia sul piano tecnico che sul piano manageriale. Gestire la sicurezza informatica (me lo vedrete scrivere fino a quando non vi sanguineranno gli occhi) non è una questione tecnologica, è un approccio, un modo di pensare ed agire che deve costantemente adattarsi a nuovi scenari.
Chi pretende oggi di gestire il fenomeno degli attacchi informatici con le stesse metodologie e procedure che utilizzava 3 anni fa (senza mettere in dubbio i successi del passato) rischia di passare dei brutti momenti. In pochi anni non solo sono cambiati i vettori d’attacco ma sono cambiate anche le strategie, i metodi di qualifica dei target, le “leve”. Dobbiamo uscire dalla trappola della “spesa” per difendersi e ragionare sugli “investimenti” per competere sul mercato. Essere cyber-sicuri è un vantaggio di business: significa essere affidabili, tutelare meglio i dati dei nostri clienti, offrire beni e servizi di qualità anche in relazione alla sicurezza.
Non è un percorso che ha una fine, è una costante ricerca del miglioramento e va alimentata con la curiosità.
Rocco Sicilia 