Caricamento...
img

IT Security: le tecniche di formazione

Creato da OverNet Education, il 10/10/2019

Erogare formazione in tema di sicurezza informatica e telematica vuol dire due cose: dare le competenze fondamentali e raccontare gli ultimi sviluppi di una disciplina ancora non teorizzata appieno.

A differenza di altri settori, come potrebbero essere la sistemistica, il software design o altro, la sicurezza informatica è ancora una disciplina giovane, pertanto non esiste ancora un programma strutturato, ed un ordine preciso in cui fare le cose. Al di fuori dell'ambito formativo, infatti, ancora molte aziende in piena attività produttiva non hanno ancora ben chiara l'importanza della sicurezza delle infrastrutture e dei dati, la cultura della sicurezza, e - cosa ben più grave - quanto fondamentale sia avere un approccio scientifico e non improvvisato e artigianale con questo aspetto dell'attività industriale.

Così, erogare un corso Sicurezza per giovani neolaureati, tutti alla prima esperienza, da inserire in un'azienda leader del settore, in Italia e all'estero, rappresenta una singola sfida anche per chi, come lo scrivente, ha una ventennale vocazione alla didattica e alla trasmissione della cultura delle scienze e delle tecnologie.

Nella fase di progettazione del corso, vanno presi in esame i curriculum e i background culturali dei discenti, e in questo caso si tratta in massima parte di neolaureati in discipline giuridiche o politico-internazionali, quindi completamente al di fuori della cultura informatica. Questo aspetto è cruciale nella stesura del programma da svolgere, in accordo con l'azienda cliente.

L'approccio ai neolaureati non è di certo nè quello da tenere con degli studenti di scuola secondaria, nè tantomeno quello da tenere con analisti e programmatori con dieci anni di esperienza: per interessare, appassionare, far aquisire conoscenze su una disciplina che di fatto ancora disciplina non è, diventa fondamentale avere un approccio rigoroso, in certi casi addirittura formale, che allo stesso tempa faccia intuire ai discenti come inserire la loro cultura di provenienza in un contesto informatico, un contesto particolare dove occorrono competenze trasversali anche di tipo legale, si pensi ad esempio alla stesura di una policy aziendale di sicurezza, attività che richiede competenze informatiche e giuridiche allo stesso tempo.

A differenza dell'estremo rigore degli argomenti trattati, il clima in aula deve invece essere informale, per niente cattedratico.

Una volta steso l'elenco degli argomenti da svolgere, inclusa una parte iniziale con dei fondamenti di informatica per completare la cultura dei discenti, abbiamo discusso di reti LAN, di infrastrutture WAN, di servizi server erogati in rete, di crittografia, di cloud e di monitoraggio e test di sicurezza. Tutti questi argomenti sono stati trattati da un duplice punto di vista: quello puramente informatico (cosa si può fare con la tecnologia) e quello di sicurezza (cosa non si può fare se vogliamo preservare integrità e privacy di tutti i sistemi).

Questo significa passare per la sicurezza fisica dei dispositivi, dalla progettazione sicura di una sala server, fino alla parte logica dei servizi, progettando sistemi di backup, sistemi di firewall e sistemi crittografici sia di autenticazione sia di trasmissione delle informazioni.

La tecnica di insegnamento deve sempre essere in funzione dell'inserimento lavorativo prossimo dei neolaureati: quindi non pure lezioni frontali dove vengono spiegate un moltissime cose. Il corso è stato spezzettato in molti piccoli moduli, della durata di circa 2 ore ciascuno, e l'ultima slide di ogni modulo ha sempre proposto un'attività laboratoriale da eseguire immediatamente. Agendo in tal modo, con esercitazioni molto frequenti, i discenti hanno potuto sperimentare tutto quello che hanno appreso: dallo scrivere un algoritmo crittografico (con i colleghi di corso che avevano l'incarico di "romperlo"), alla prevenzione dell'intercettazione delle comunicazioni tra due host, e così via fino alla sicurezza dei clouds passando per la costruzione di policy in armonia con le direttive del Garante della Privacy e dell'Unione Europea.

Non si è trattato di un corso breve: 5 settimane in aula, sempre con l'alternanza tra modulo teorico-concettuale ed esercitazione, a cui dovranno seguire due settimane di project work on site.

Con un simile tempo a disposizione, mantenendo un ritmo serrato, è stato possibile formare dodici giovani nuovi professionisti che si affacciano nel mondo produttivo con una competenza di base a 360 gradi e assolutamente non trascurabile in termini di sicurezza informatica, in grado di camminare con i loro piedi, specializzarsi autonomamente nel settore che preferiranno, in grado di formarsi in piena autonomia su qualunque prodotto software riguardi la sicurezza.

Alessandro Iacuelli