Il parere di SentinelOne

Risponde Josè Muniz¸ Solution Engineer Director Continental EMEA

Autore: Redazione SecurityOpenLab

Quali skill e figure professionali servono in azienda per difendere l’IT?

L’analista cybersecurity per avere un impatto positivo deve combinare competenze tecniche e conoscenze specifiche sulla sicurezza, con diverse competenze trasversali. Le skill più richieste sono:

Gestione, rilevamento e risposta agli incidenti di sicurezza: capacità di gestire qualsiasi violazione imminente delle politiche di sicurezza di un'organizzazione o delle pratiche di sicurezza standard. In aggiunta, un professionista della sicurezza deve essere in grado di rilevare qualsiasi tipo di minaccia sulla rete, utilizzando l'IDS (Intrusion Detection System).

Tra gli incidenti di sicurezza più comuni ci sono: malware, ransomware, phishing, minacce persistenti avanzate, attacchi DDoS (Distributed Denial of Service).

Gestione SIEM: saper gestire e analizzare le informazioni sulla sicurezza, sugli strumenti e sui servizi di gestione degli eventi (SIEM). L’analista deve riuscire a sviluppare e implementare l’automazione con il SIEM, rilevando tempestivamente l’analisi prodotta in tempo reale dagli alert per implementare piani di risposta agli incidenti.

Controllo e conformità: assicurarsi che l’organizzazione rispetti le linee guida delle normative, come HIPAA, FISMA, SOX, PCI DSS, GDPR, ISO 27001 e 20000 e COBIT. L'audit di sicurezza e la conoscenza della conformità sono fondamentali per evitare multe e sanzioni legate a mancate conformità.

Analisi e intelligenza: saper sfruttare l’analisi e la raccolta di informazioni per identificare e rilevare gli attacchi il più rapidamente possibile. L'utilizzo dell'analisi e dell'intelligence consente al professionista della sicurezza di correlare i dati della rete e delle applicazioni, impedendo il verificarsi di attacchi in futuro.

Competenze firewall/IDS/IPS: capacità di sfruttare il firewall per filtrare il traffico di rete, impedendo gli accessi non autorizzati. In aggiunta, sono richieste conoscenze dei sistemi di rilevamento e prevenzione delle intrusioni (IDS e IPS) e di come essi si relazionano al firewall.

Sviluppo della sicurezza delle applicazioni: consolidare la sicurezza di qualsiasi applicazione implementando la prevenzione, il rilevamento e la risposta alle vulnerabilità. Durante il ciclo di vita dello sviluppo dell’applicazione (SDLC) l'esperto deve approvare i diversi passaggi per risolvere le vulnerabilità prima che un'applicazione venga distribuita.

Prevenzione avanzata del malware: saper sfruttare il software di protezione avanzata dalle minacce per prevenire, rilevare e identificare le minacce persistenti (APT) che potrebbero eludere le soluzioni di sicurezza tradizionali come antivirus, firewall e IPS/IDS.

Gestione dei dispositivi mobili: capacità di collaborare con il reparto IT per proteggere i dispositivi, pianificando strategie di prevenzione contro la perdita di dati. In aggiunta sono richieste competenze legate alla gestione, analisi e archiviazione sicura di tutte le tipologie di dati.

Gestione dell'identità e degli accessi: conoscenza delle best practice per Identity and Access Management (IAM) e delle policy di sicurezza che regolano l’accesso in base ai ruoli e alle responsabilità.

Per quanto concerne le soft skill, la leadership, espressa attraverso credibilità, reattività ed etica, è una delle qualità più richieste. Per riuscire a tenere il passo con la continua evoluzione del settore IT, il professionista di sicurezza deve costantemente stimolare la propria curiosità e il proprio apprendimento. Al fine di perseguire questi ultimi due aspetti e contrastare efficacemente l’attuale panorama delle minacce, è necessario sviluppare anche una grande determinazione e persistenza assieme a un grande spirito collaborativo.

Capacità analitiche: deve essere analitico per quanto riguarda la comprensione di come si verificano gli incidenti, le superfici dell'attacco soggette a sfruttamento e come ridurre al minimo gli attacchi informatici.

Come si sviluppano queste competenze?

Per quanto riguarda lo sviluppo delle competenze tecniche, occorre conoscere diversi sistemi, impianti e soluzioni tecnologiche (EPP, EDR, Network, Internet Protocols, OS Internals, etc). Una volta raggiunto un alto livello di competenze generali, è possibile incrementare e consolidare la propria formazione attraverso certificazioni focalizzate su tematiche di cybersecurity.

In agiunta, è necessario che il professionista di sicurezza abbia sostenuto diverse esperienze sul campo.

Tra le diverse istituzioni che offrono certificazioni specializzate possiamo nominare

  • GIAC Security Expert (GSE)
  • GIAC Security Leadership Certification (GSLC)
  • Certified Information Systems Security Professional (CISSP)
  • CompTIA CyberSecurity Analyst+ (CSA+)
  • Mile2 Certified Penetration Testing Engineer and Digital Forensics