lavorare nella cybersecurity

Lo ammetto. ho scritto cybersecurity e non information security perchè è una pagina acchiappalike e anche perchè mi hanno detto che per migliorare la SEO del mio sito devo utilizzare delle keywords e cybersecurity è una di queste, ed è importante anche dirlo più volte quindi: cybersecurity. menomale che lavoro nella security e non nei social network altrimenti avrei una bellissima carriera da disoccupata. detto ciò perchè siamo qui?

Internet è nato per un motivo molto nobile: connettere le università e condividere il sapere. il dipartimento di difesa americano finanziò la ricerca e università, era quindi accessibile da una elite di persone che sapeva ciò che faceva, ma era troppo utile e bello per tenerselo per se e quindi è diventato per tutti. si è passati da arpanet al world wide web in poco tempo.

le varie professioni nel mondo della security

Purtroppo non è semplice, non si può assimilare il mondo ad esempio ad un ristorante dove c’è cameriere, pizzaiolo, cuoco e proprietario (è un esempio). il mondo della sicurezza informatica avendo a che fare letteralmente con tutto, è pieno zeppo di professioni e ruoli che a volte si accavallano, altre manco si conoscono e altre ancora non esistono. per fare un racconto che abbia senso e che chiarisca almeno un minimo le idee in ambito professionale direi che possiamo dividere questo mondo in tre grandi fette che chiamerò così:

  1. Consulenza

  2. Vendor

  3. Clienti

Cercherò di farla davvero molto semplice, non si offendano i tuttologi che sicuramente sapranno spiegare meglio. In consulenza ricadono tutte quelle società che offrono servizi professionali, nei vendor le società che offrono prodotti e in clienti tutte quelle società che usufruiscono delle prime due fette. Le società di consulenza che lavorano a stretto contatto con i vendor spesso si chiamano partner, c’è da dire anche che i clienti che si affidano spesso ad una società di consulenza, la chiamano partner.

Ognuna di queste fette a sua volta ha altre professioni da considerare. attenzione ad una cosa. dire “voglio fare il penetration tester” potrebbe farvi finire in tutte e tre le fette. conoscerle, serve per capire il modo in cui lavorerai in base a dove andrai. lavorare “lato cliente” significa avere un sacco di rotture di coglioni e contatti con tutta l’Azienda in cui ci si trova perchè spesso le persone con cui si lavora non sanno una beata cippa di sicurezza informatica. in consulenza quindi spesso si passa davvero molto tempo ad aiutare i clienti per far si che siano in grado di mostrare ai colleghi (e capi) il lavoro, che facciano ciò di cui non c’è umanamente tempo di occuparsi (ce lo vedi un responsabile della sicurezza informatica a gestire migliaia di alert al posto del SOC?) e che di fatto siano la figura di riferimento - non solo in emergenza. se dal cliente lavori con tanti colleghi, in consulenza lavori con tanti clienti (che a loro volta hanno tante persone). il mondo dei vendor invece è principalmente fare presentazioni del prodotto che si vende a clienti e potenziali clienti, cercare di vendere sempre di più. ok, forse ho fatto un po’ di confusione ma d’altronde questo è il mondo vero, quello in cui tutto si incastra. quindi, ritornando al “voglio fare il penetration tester” perchè potresti finire ovunque? perchè potresti essere su un cliente molto grande che si può permettere di avere dei pentester dedicati, oppure lavorare in una società di consulenza che propone pentest come servizio, o lavorare nella divisione di ricerca di un vendor e fare questo. oh, che poi magari finisci in una società che produce bulloni e dici “ma sai che c’è?” e non vuoi più fare il pentester e ti metti a produrre bulloni pure tu. se sei finito su questo portale probabilmente hai lo spiglio giusto e la curiosità, la possibilità di scegliere che è uno dei nostri diritti fondamentali. io personalmente ho sempre voluto avere a che fare con le persone, quindi certi mestieri li ho proprio scartati by default perchè sarebbero la morte per me. così come per me è la morte utilizzare tutte le mie energie mentali per una singola cosa. ma per fortuna siamo tutti diversi e benvenga le persone che sono monotask, vi invidio molto.

Esempio a grandi linee

Esiste una Società che produce bulloni, l’IT si è sempre e solo occupato dei computer dei dipendenti, dei server dove ci sono dati e programmi e del MES (ovvero il Manufacturing Execution System, il sistema che controlla la produzione), non sa granchè di sicurezza informatica perchè di fatto vende i suoi bulloni ed è molto bravo di quello che fa.

Nella migliore delle ipotesi assumerà una persona dedicata alla sicurezza informatica e nel peggiore chiederà a qualcuno che fa altro nella vita di approfittare di questa “grandissima opportunità di successo” (che poi alla fine se ne occuperà chiedendo congruo pecunio addizionale). Diciamo che si chiama Bob e rappresenta quindi il Cliente. Il nostro Bob esperto di sicurezza informatica, facendo un giro della sua fabbrichetta scoprirà che ci sono dei computer accesi con la password incollata sulla tastiera e che i dipendenti hanno su uno schermo la mail aperta e sull’altro Netflix. per semplicità, parliamo di quattro scenari possibili.

  1. Bob si farà due domande che a sua volta farà ad una società di consulenza che oltre a trovare le password magari troverà anche altro, che a sua volta - dopo una attenta (si spera) valutazione ingaggerà vari Vendor che proporranno soluzioni di sicurezza (EDR per proteggere i computer, firewall per la rete, SSE per proteggere la navigazioneinternet, etc)

  2. Bob viene contattato da una società di consulenza che offre un assessment (e quindi una valutazione) gratuita, al termine della quale propone diversi vendor per rimediare ai vari rischi che sono stati identificati

  3. Bob che è bello navigato nella sicurezza informatica conosce ad un evento un vendor che gli propone proprio ciò che fa a caso suo, ma il vendor non può vendere il suo prodotto senza il suo partner e quindi ingaggia una società creando un’alleanza strategica (come quella dei delfini)

  4. Bob non ha budget e l’azienda vende bulloni e i budget IT è tutto già impiegato, Bob quindi stringerà i denti, dimostrerà che ci sa fare e che i rischi identificati potrebbero portare a perdita di fatturato importante (a causa della mancata adempienza ai vincoli normativi, etc) oltre che impatti sulla reputazione e quan’altro.

Posso dirvi che tutti e questi quattro scenari sono possibili per davvero? a volte sapere non basta, la tenacia e la proattività aiutano molto.

una classificazione approssimativa dei ruoli

Lo faccio solo perchè so che interessa davvero molto questa cosa, ma sappiate che mi costa davvero molta fatica perchè incasellare il mondo fluido della security in ruoli è difficile.

  • Ruoli “tecnici” - qui ricade tutto ciò per cui la cybersecurity è famosa: pentester, hacker, analisti SOC, esperti di rete ma anche tutte quelle professioni che nel day-by-day hanno a che fare con ricerca, analisi e mi verrebbe da dire “ciò che è profondo” nel senso che entrano proprio nel merito della questione a livello di bit. per questo qui dentro io ci faccio ricadere anche i “technical” qualcosa che lavorano nel mondo vendor, perchè sono quelle persone che aiutano i clienti a disegnare architetture sicure e implementare prodotti.

  • Ruoli “di processo” - tutto ciò che ha a che fare con i processi aziendali, disegno di nuove soluzioni e ciò che si chiama governance, oltre che aderenza agli standard che quando si mettono sono una gran rottura di coglioni. queste sono quelle persone che secondo molti hanno contaminato la security perchè spesso finiscono qui figure ibride che si occupano di privacy, che hanno studiato scienze politiche e si ritrovano a fare powerpoint o comunque figure trasversali. la verità è che riesci in questi ruoli, se veramente sai di che cosa stai parlando, se hai davvero ben chiara la “big picture” allora hai le competenze giuste per poter cambiare la strategia dell’Azienda intera. purtroppo, a certi livelli, non importa quanto spacchi il bit ma piuttosto quanto sei in grado di parlare di investimenti, collaborazione e quant’altro, e queste sono competenze tanto difficili quanto quelle tecniche. tutto dipende dalle inclinazioni di una persona. il lavoro non deve essere una tortura.

  • Ruoli “commerciali” - qui ricadono spesso persone che sanno vendere e questa è la loro competenza. mi verrebbe da dire che sanno convincere bene l’interlocutore. sanno un po’ di tecnico e un po’ di processo, spesso arrivano da altri mondi e si sono imbattuti in quello tecnologico dove hanno capito che era la loro strada. io personalmente difficilmente prendo sul serio un commerciale che non sa nulla di tecnico, deve esserci quindi un giusto compromesso. ci sono invece alcune società dove il ruolo del commerciale non esiste e di fatto il manager lo diventa. questi ruoli sono fatti di target sempre più sfidanti, di reperibilità h24 a seconda della quantità di clienti che si gestisce e di grande capacità di capire di cosa il cliente ha bisogno, o di quale partner (e quindi quale azienda di consulenza) sia quello giusto.

come capire qual è la strada giusta

Allora io personalmente non te lo so dire, ma se fai un viaggio introspettivo dentro di te sicuramente potrai capire cosa ti risuonare di più e cosa di meno. Ci sono dei giorni in cui mi sono chiesta “ma chi me lo fa fare” e mi sono auto-risposta dicendomi che me lo fa fare la voglia di rendere il mondo un posto migliore, con molta pazienza e a piccoli passi, attraverso la consapevolezza. Che poi questo si traduca in sessioni guidate di respirazione o in incontri tecnici sulla sicurezza informatica, poco importa, come dicono quelli che sanno le cose, devi trovare il tuo ikigai o comunque quella cosa che ti fa dire porca troia sì questo voglio fare. Che poi sbagliare è da supereroi: ammettere di star sbagliando o di non riuscire a fare qualcosa, è ciò che ci permette di migliorare, il famoso continuous improvement che le aziende tanto vogliono vedere nei processi e si dimenticano che serve invece con le persone.

Mia mamma è una grande appassionata di Edizioni Riza, nel senso che è abbonata da anni e questo paragrafo ha proprio un titolo che Morelli utilizzerebbe per un nuovo numero, se non l’ha già fatto, quindi sta a te decidere: o ti abboni anche tu ad Edizioni Riza oppure inizia ad ascoltarti, concediti il tuo tempo (e poi magari leggilo qualche numero che male non fa).

La strada giusta è quella che fa per te, non è quella di qualcunaltro o quella che qualcuno ti ha imposto, è quella che decidi tu di percorre passo dopo passo e soprattutto senza giudizio. Quando ho deciso di cambiare lavoro la prima volta, dopo neanche un anno che lavoravo in una multinazionale di tutto rispetto, ho pensato subito alle cose negative tipo: ho deluso i miei genitori perchè lascio il “posto fisso”, oppure giudizio verso di me del tipo “ecco mi annoio come al solito” etc etc. Ma adesso che guardo indietro penso che la strada non è per forza un rettilinio e non è per forza asfaltata senza buche con i semafori e sempre bel tempo. Ciò che la rende giusta è il fatto che sia personale e autentica. Ognuno ha la sua, la tua com’é?