Cose da nerd

Tutti che vogliono lavorare nella cyber ma quanti sanno cosa significhi… pochi. Che poi parlo io, che per quelli che hanno acceso l’internet sono nata l’altro ieri, tuttavia mi difendo abbastanza bene in questo mondo perchè non ho la presunzione che molti altri hanno, ovvero quella di conoscere tutto. Ci sono certe cose che ho provato e proprio per questo so che non fanno per me, altre che invece sono così tecniche che rabbrividisco o altre troppo filosofiche che.. mi piacciono. Ecco, ognuno ha il suo percorso, ma per farlo è bene avere le idee chiare su almeno dove ci stiamo collocando nel mondo tecnologico. Non esiste il percorso giusto, esiste quello che ti fa star bene.

Tipo prendi me: ITIS, Laurea in Sicurezza Informatica, Executive Master in Cybersecurity & Data Protection, anni di esperienza in varie Aziende.. Insomma dovrei essere una super tecnicona che spacca il bit - ma essendo una musicista, spacco solo il beat e anche tre quarti di. Ci sono bias su chiunque e i team di risorse umane sanno spesso mettere nelle caselle le persone, come i registi ad Hollywood. Tuttavia, più cresco professionalmente e più capisco che per me una casella non basta e che spesso mi sento come gli allenatori sportivi. Non sarò mai Myriam Sylla o molte altre, campionesse del mondo di pallavolo, però ho le competenze per portare le persone a livelli alti - nella cyber, eh, perchè nella pallavolo a malapena distinguo un libero da un opposto.

E comunque per allenare qualcuno devi sapere cosa significa stare in campo. Devi aver provato, aver sbagliato, aver capito dove ti blocchi. Sicuramente non mi sento arbitro (che probabilmente nella cybersecurity sono gli auditor) e mi piace smanettare.
Non è quello il mio focus, ma non sono nemmeno completamente fuori dal gioco. Ho fatto pace col fatto che per molti questa cosa significhi essere meno competente. Come se dovessi per forza essere super tecnica per “valere”. A me non interessa.

A me interessa aiutare gli altri a diventare la versione migliore di loro in questo mondo, a capire la loro strada e soprattutto a conoscere la cybersecurity per quello che è: la sicurezza di internet, nato per condividere e quindi volutamente libero, tutto basato su fiducia, collaborazione e curiosità, dove le vulnerabilità dei sistemi sono importanti tanto quanto quelle umane. E in questo contesto, puoi essere il tecnico più bravo del mondo, ma se ignori la storia, se pensi solo a “bucare”, se quando qualcuno ti chiede qualcosa di “stupido”, ti credi superiore.. Ecco, per me non sei un professionista, ma un poser in cerca di una scorciatoia.

glossario utile e necessario

  • Insieme strutturato di conoscenze, metodi, strumenti e processi utilizzati per progettare e realizzare soluzioni capaci di estendere le capacità operative dell’essere umano. Il concetto nasce con le prime civiltà (utensili, scrittura, ingegneria) e si evolve fino alla rivoluzione industriale e digitale. Il termine deriva dal greco téchne (arte) e lógos (discorso), indicando originariamente il “ragionamento sul fare”.

    La tecnologia è il contenitore più grande che include molto più cose di quelle che immagini. Esiste da sempre e include tutto: dalla ruota ai computer.

  • Disciplina scientifica nata nel XX secolo che studia la rappresentazione, l’elaborazione e la trasmissione automatica delle informazioni tramite algoritmi e calcolatori. L’informatica fornisce le basi teoriche e matematiche su cui si sviluppano software, sistemi e reti. Figure storiche come Alan Turing e Grace Hopper hanno contribuito a trasformare concetti astratti in strumenti concreti.

  • Applicazione pratica dell’informatica in contesti aziendali e operativi. Include hardware, software, reti e servizi necessari per raccogliere, elaborare, archiviare e distribuire informazioni digitali. L’IT nasce quando la scienza dell’informatica incontra le esigenze delle organizzazioni, permettendo di tradurre algoritmi e modelli in sistemi concreti utilizzabili quotidianamente.

  • Disciplina che si occupa di proteggere sistemi, reti, applicazioni e dati digitali da accessi non autorizzati, attacchi informatici e interruzioni operative. Si basa sull’implementazione di misure tecniche, organizzative e procedurali per garantire confidenzialità, integrità e disponibilità delle informazioni. Gli anni ’70 segnano l’inizio della cybersecurity, con la diffusione delle reti multiutente e il primo esempio di malware sperimentale: il Creeper virus.

  • Soggetto con competenze avanzate in ambito informatico, in grado di analizzare, comprendere e modificare sistemi, reti e applicazioni. Il termine nasce negli anni ’60 al MIT con una connotazione positiva legata alla curiosità e alla sperimentazione. Oggi si distinguono diverse categorie: hacker etici (white hat), che operano per migliorare la sicurezza; hacker malevoli (black hat), che sfruttano vulnerabilità per fini illeciti; e figure intermedie (grey hat), che agiscono senza autorizzazione ma non necessariamente con intento dannoso.

  • Disciplina e insieme di pratiche dedicate alla protezione delle informazioni digitali e fisiche da accessi non autorizzati, modifiche, divulgazioni o perdite. L’Information Security si concentra sulla gestione dei rischi e sull’applicazione di misure preventive, detective e correttive per garantire confidenzialità, integrità e disponibilità dei dati. Pur strettamente collegata alla cybersecurity, InfoSec è più ampia e include anche aspetti organizzativi e normativi. La sua evoluzione è parallela alla diffusione dei sistemi informativi negli anni ’70 e ’80, quando la protezione dei dati aziendali divenne cruciale per la continuità operativa e la compliance legale. Sarebbe corretto parlare di InfoSec quando si trattano i temi della cybersecurity, tuttavia il marketing ha reso cybersecurity una keyword più appetibile e quindi anche io parlo sempre di questa. Ciò che personalmente mi piace dell’InfoSec è che esiste anche quando la luce si spegne.

  • Diritto alla riservatezza delle informazioni personali e al controllo sul trattamento dei dati. In ambito digitale, riguarda raccolta, conservazione e utilizzo dei dati da parte di aziende e servizi online. Le prime riflessioni moderne risalgono al 1890 con Samuel D. Warren e Louis Brandeis, mentre oggi la privacy è regolata dal GDPR.

  • Insieme di processi, controlli e attività finalizzati a garantire che un’organizzazione operi in conformità a normative, standard e regolamenti applicabili in ambito legale, tecnico e di sicurezza. In ambito cybersecurity e Information Security, la compliance si basa su framework e standard internazionali che definiscono requisiti e buone pratiche. Tra i principali: ISO/IEC 27001, che definisce un sistema di gestione (ISMS); NIST Cybersecurity Framework, orientato alla gestione del rischio; PCI DSS, specifico per il settore finanziario; GDPR, obbligatorio per il trattamento dei dati personali; e NIS2, rivolta a operatori essenziali e importanti. La differenza principale tra questi strumenti risiede nella loro natura: gli standard (ISO, NIST) sono volontari e definiscono best practice, mentre regolamenti e direttive (GDPR, NIS2) sono obbligatori e prevedono sanzioni.

  • Attività di raccolta, analisi e contestualizzazione di informazioni relative a minacce informatiche, attori malevoli e tecniche di attacco, con l’obiettivo di supportare decisioni strategiche e operative in ambito sicurezza. La threat intelligence può essere strategica (orientata al business), tattica (relativa a tecniche e pattern di attacco) o operativa (indicatori concreti come IP, domini, hash). Si sviluppa a partire dagli anni 2000 con la crescente organizzazione del cybercrime e l’evoluzione delle minacce avanzate.

  • Sistema informativo
    Insieme di persone, processi, dati e tecnologie finalizzato a raccogliere, elaborare e distribuire informazioni all’interno di un’organizzazione. I primi sistemi informativi aziendali compaiono negli anni ’60 con i mainframe gestionali.

    Rete (Network)
    Infrastruttura che consente la connessione e comunicazione tra dispositivi informatici, a livello locale (LAN) o globale (Internet). Le reti moderne derivano da ARPANET, sviluppata negli anni ’60.

    Dato (Data)
    Unità elementare di informazione, priva di contesto o significato autonomo. Può essere numerica, testuale o multimediale ed è la base su cui si costruiscono informazioni e conoscenza.

    Informazione (Information)
    Dati organizzati e contestualizzati, dotati di significato e utili per supportare decisioni o generare conoscenza. La distinzione tra dato e informazione è alla base della teoria dell’informazione sviluppata da Claude Shannon negli anni ’40.

    Minaccia (Threat)
    Evento, agente o azione in grado di causare danni a sistemi informativi o dati, intenzionale o accidentale.

    Vulnerabilità (Vulnerability)
    Debolezza o carenza di un sistema, processo o controllo che può essere sfruttata da una minaccia per compromettere la sicurezza.

    Rischio (Risk)
    Probabilità che una minaccia sfrutti una vulnerabilità e conseguente impatto negativo su sistemi, dati o organizzazioni.

    Controllo di sicurezza (Security Control)
    Misura tecnica, organizzativa o procedurale implementata per prevenire, rilevare o mitigare rischi informatici, combinando strumenti, policy e comportamenti degli utenti.

    Penetration Testing (Pen Test)
    Attività controllata e autorizzata di simulazione di attacchi informatici su sistemi, applicazioni o reti, finalizzata a identificare vulnerabilità sfruttabili. Viene eseguita da professionisti della sicurezza (spesso hacker etici) e segue metodologie strutturate che replicano le tecniche degli attaccanti reali.

    Vulnerability Assessment
    Processo sistematico di identificazione, classificazione e prioritizzazione delle vulnerabilità presenti in sistemi informativi, applicazioni o infrastrutture. A differenza del penetration testing, non prevede lo sfruttamento attivo delle vulnerabilità, ma si concentra sulla loro individuazione e valutazione del rischio.

    Exploit
    Codice, tecnica o sequenza di azioni utilizzata per sfruttare una vulnerabilità al fine di compromettere un sistema, eseguire codice arbitrario o ottenere accessi non autorizzati.

    Payload
    Componente di un attacco informatico che esegue l’azione dannosa una volta che la vulnerabilità è stata sfruttata, come l’installazione di malware o l’esfiltrazione di dati.

    Malware
    Software malevolo progettato per danneggiare, interrompere o ottenere accesso non autorizzato a sistemi informatici. Include diverse categorie come virus, worm, trojan e ransomware.

    Phishing
    Tecnica di attacco basata sull’ingegneria sociale che mira a ingannare l’utente inducendolo a fornire informazioni sensibili, come credenziali o dati finanziari, attraverso comunicazioni apparentemente legittime.

    Social Engineering
    Insieme di tecniche psicologiche utilizzate per manipolare le persone e indurle a compiere azioni o rivelare informazioni riservate, sfruttando fattori umani come fiducia, urgenza o autorità.

    Zero-Day
    Vulnerabilità sconosciuta al produttore del software e per la quale non esiste ancora una patch. Gli attacchi che la sfruttano risultano particolarmente critici perché privi di difese immediate.

Qui su fattoreumano non diamo i “tre semplici consigli” o altre cose tanto veloci quanto inutili, qui siamo muratori bergamaschi che partono dalle fondamenta e a suon di birra Peroni e Pota, tiriamo su un palazzo di conoscenza. Se sei in cerca di un prefabbricato, in fondo a destra come i bagni, altrimenti, clicca + e scopri questi termini.

pillola blu o pillola rossa?!

La pillola blu o la pillola rossa. La scena è quella di The Matrix, con Morpheus che ti mette davanti a una scelta semplice solo in apparenza: restare nella realtà che conosci o vedere davvero come stanno le cose. La blu è comoda, ti lascia dove sei, ti protegge dall’attrito. La rossa invece ti espone, ti costringe a guardare, a farti domande, a mettere in discussione quello che davi per scontato.

Se la porti nella cyber, il parallelo è abbastanza naturale. Il Blue Team è quello che mantiene l’ordine, protegge, monitora, fa in modo che tutto continui a funzionare. È la parte che tiene in piedi il sistema, che evita il caos. Il Red Team invece è quello che rompe gli schemi, simula attacchi, cerca il punto debole, si comporta esattamente come farebbe qualcuno che vuole entrare davvero.

La pillola blu è restare nel perimetro, difendere, fidarsi dei controlli che hai costruito. La pillola rossa è uscire da quel perimetro e chiederti: “se qualcuno volesse entrare, da dove passerebbe?”. Nessuna delle due è giusta o sbagliata. Il punto è che senza la blu il sistema crolla, ma senza la rossa non ti accorgi nemmeno che potrebbe farlo. E come spesso succede, la differenza non è tecnica. È tutta nel modo in cui scegli di guardare le cose.

domini, funzioni e aree della cyber.

Parlare di professioni nella cybersecurity senza una mappa è il modo più veloce per perdersi. Il punto è che “lavorare nella cyber” non significa nulla, se non capisci prima come è strutturato il campo. Prima di parlare di framework, domini e certificazioni, c’è una cosa da chiarire. I ruoli nella cybersecurity non sono mai così definiti come sembrano sulla carta. Le etichette aiutano a orientarsi, ma nella pratica cambiano in base al contesto, all’azienda, alla maturità del team. Lo stesso ruolo può significare cose diverse. Un penetration tester, ad esempio, non è sempre e solo quello che attacca. In alcune realtà è molto tecnico e focalizzato sull’exploit, in altre è più vicino al testing strutturato, al reporting, alla compliance. A volte lavora a stretto contatto con il Blue Team, altre è completamente separato. E lo stesso vale per tante altre figure: analyst, engineer, architect. Per questo i framework non vanno letti come una lista di lavori, ma come una mappa. Ti aiutano a capire le aree, le responsabilità, i punti di contatto. Partiamo con i framework più famosi: il NIST Cybersecurity Framework e la certificazione CISSP della ISC2. Non sono la stessa cosa, ma insieme danno una visione molto concreta: il primo ti dice cosa va fatto, il secondo ti dice quali competenze servono.
Se li metti insieme, iniziano a comparire i ruoli veri e le diverse aree. Il NIST CSF divide la sicurezza in cinque funzioni: Identify, Protect, Detect, Respond, Recover.
Sembra teoria, ma è esattamente il ciclo di vita di qualsiasi organizzazione che vuole stare in piedi.

  1. Identify trovi tutte le professioni che hanno a che fare con il capire cosa hai sotto mano: asset management, risk assessment, governance. Qui stanno figure come il security analyst orientato al rischio, il GRC specialist, il consulente che lavora su normative e processi. Non toccano quasi mai sistemi nel senso tecnico, ma se sbagliano loro, tutto il resto è costruito male.

  2. Protect è la parte più affollata. Qui ci sono gli ingegneri di sicurezza, chi configura firewall, identity management, sistemi di autenticazione, hardening delle infrastrutture. È il mondo di chi costruisce le difese prima che succeda qualcosa. Spesso è qui che si collocano anche ruoli più architetturali, come il security architect, che decide come deve essere progettato un sistema sicuro, non solo come configurarlo.

  3. Detect è il regno del monitoraggio. SOC analyst, threat hunter, chi lavora con SIEM, log, correlazione degli eventi. È una professione molto operativa, spesso sottovalutata, ma è quella che ti permette di accorgerti che qualcosa non va prima che sia troppo tardi. Qui entra anche la threat intelligence: raccogliere informazioni sulle minacce, capire chi attacca, come si muove, quali pattern lascia.

  4. Respond e Recover sono le fasi in cui la teoria finisce. Incident responder, digital forensics expert, crisis manager. Qui non si parla più di prevenzione, ma di gestione del danno. Devi sapere cosa fare, in che ordine, sotto pressione. E poi rimettere tutto in piedi, imparando da quello che è successo. È il punto in cui la cybersecurity incontra davvero il business.

Se sposti lo sguardo sui domini della CISSP, la prospettiva cambia leggermente. Non sono fasi, ma aree di conoscenza. Security and Risk Management, Asset Security, Security Architecture and Engineering, Communication and Network Security, Identity and Access Management, Security Assessment and Testing, Security Operations, Software Development Security. Tradotto: governance, dati, architettura, reti, identità, test, operatività, sviluppo. È più granulare, più professionale. E qui iniziano a vedersi meglio alcune differenze che spesso vengono confuse. Chi lavora in Security Assessment and Testing è quello che fa penetration testing, vulnerability assessment, red teaming. È il mondo offensivo, ma con uno scopo difensivo. Non è hacking nel senso romantico del termine, è metodo, report, ripetibilità. Dall’altra parte, Security Operations è il Blue Team: monitoraggio, incidenti, gestione quotidiana. Software Development Security apre un altro mondo ancora: quello di chi lavora sulla sicurezza del codice, DevSecOps, secure coding. È una professione che richiede competenze ibride e che spesso manca nelle aziende, perché sta a metà tra sviluppo e sicurezza e nessuno dei due mondi la sente completamente sua.

Identity and Access Management è un universo a parte. Chi può accedere a cosa, quando e come. Sembra banale, in realtà è uno dei punti più critici di qualsiasi organizzazione. La parte interessante è che questi modelli ti aiutano a capire dove sei, non ti dicono quale lavoro scegliere. C’è chi sta meglio nella struttura e nei processi, chi nella tecnica pura, chi nella gestione degli incidenti, chi nella formazione. Perché sì, anche la formazione è una professione nella cyber, anche se molti fanno fatica a riconoscerla come tale. Tradurre la complessità in qualcosa di comprensibile è una competenza, non un ripiego. E io lo so bene.

E poi c’è una cosa che raramente viene detta: non devi saper fare tutto. Anzi, chi pensa di poter coprire ogni area di solito resta in superficie. La differenza la fa capire in quale parte del sistema vuoi stare. Costruire, difendere, attaccare (in modo controllato), analizzare, spiegare. Il resto viene dopo. Il problema non è entrare nella cybersecurity. Il problema è entrarci senza sapere dove ti stai mettendo. Oltre a certificazioni molto strutturate come la CISSP, esistono percorsi più accessibili come la CompTIA Security+. E qui vale la pena dirlo senza troppi giri: come certificazione, oggi, non è più così differenziante. Il mercato si è alzato, le aspettative anche, e avere una Security+ nel CV non è quello che fa la differenza. Se la guardi come materiale di studio, cambia tutto. Il manuale della Security+ è ancora uno dei modi più semplici per entrare nella cybersecurity senza perdersi subito nei dettagli. Ti fa vedere le reti, gli attacchi, la crittografia, le identità, un po’ di governance… tutto insieme. Non approfondisce davvero nulla, ed è proprio questo il punto: ti dà una visione d’insieme. E quando sei all’inizio, è esattamente quello che ti serve. Poi certo, da sola non basta. Non ti rende esperto, non ti rende “pronto”. Però ti aiuta a capire dove vuoi andare, e soprattutto dove non vuoi andare. E in un mondo come questo, dove tutti dicono “voglio fare cybersecurity” senza sapere cosa c’è dentro, non è poco.

La CompTIA Security+ non dà una definizione “filosofica” di cybersecurity, la definisce come l’insieme di pratiche, tecnologie e processi utilizzati per proteggere sistemi, reti e dati da accessi non autorizzati, attacchi e danni. Non è solo una questione tecnica, ma un equilibrio tra prevenzione, rilevamento e risposta agli incidenti. Dentro ci sta tutto: la protezione delle informazioni (confidentiality), la garanzia che non vengano modificate in modo improprio (integrity) e che siano disponibili quando servono (availability). È il classico modello CIA, che è la base di qualsiasi discorso sulla sicurezza. Quando prima parlavo di InfoSec e del fatto che spesso si parla di cybersecurity impropriamente.. ecco, la Security+ parla di InfoSec perchè mette tanto l’accento sul dato, includendo anche parti di processo tipiche della Security Compliance e non del mondo prettamente cyber. Lo scrivo perchè sono estremamente legata alle definizioni, tuttavia, con la nonna puoi anche dire “faccio un lavoro con i computer” e va bene uguale. La Security+ insiste molto sul fatto che la cybersecurity non è solo difesa (o solo attacco). È anche gestione del rischio, consapevolezza degli utenti, controllo degli accessi, monitoraggio continuo. Significa sapere che gli attacchi esistono, capire come funzionano e costruire sistemi che possano resistere o reagire nel modo corretto. E soprattutto, la tratta come qualcosa di distribuito. Non esiste “il sistema sicuro” in assoluto. Esistono livelli di sicurezza, che dipendono da quanto sei disposto a investire, da quanto è critico quello che stai proteggendo e da quanto rischio puoi accettare. È una visione molto concreta. Meno teoria, più realtà operativa. Ed è anche il motivo per cui, pur essendo entry-level, riesce ancora a dare una base solida: ti abitua a pensare alla sicurezza come a qualcosa che si costruisce, si misura e si gestisce nel tempo.

Ma cosa vuol dire essere nerd?

Essere nerd non è una definizione tecnica, non è “saper usare Linux” o “capire il DHCP” come se fosse un mantra sacro. Essere nerd è un modo di guardare il mondo, e non lo capisci stando in superficie: lo capisci quando inizi a notare le cose che gli altri danno per scontate, quando la tecnologia smette di essere uno strumento neutro e diventa un insieme di scelte, relazioni, influenze. Perché quando inizi davvero a osservare, non vedi più solo un’app che si apre o un pulsante che clicchi: vedi le premesse dietro quella scelta, le assunzioni che la rendono “facile”, le conseguenze che spesso non ci vengono raccontate. E no, non è solo tecnica. È un modo di stare nel mondo digitale che richiede curiosità, sì, ma anche presenza. Non è grattare via uno strato superficiale di conoscenza: è chiedersi perché quel livello superficiale è lì, chi l’ha messo, e cosa succede se lo percorri in profondità.

Essere nerd è proprio questo: non sei soddisfatta di “funziona così”, devi sapere perché funziona così; non ti basta che uno schermo si illumini, vuoi sapere quale decisione, quale progetto, quale compromesso ha fatto quel software per mostrarti quell’interfaccia lì e non un’altra. E quando inizi a farlo davvero, scopri che non è mai solo informatica, non è solo cybersecurity: è il modo in cui le scelte tecnologiche entrano nelle nostre vite e nelle nostre relazioni, nel modo in cui reagiamo, nel modo in cui pensiamo. E qui arriva il collegamento con la consapevolezza che esploro nelle altre parti del sito. La consapevolezza, nella sua forma più pratica, non è un concetto astratto: è la capacità di accorgerti di quello che sta accadendo mentre sta accadendo, dentro di te e fuori di te, quando usi un dispositivo, quando fai scroll, quando rispondi a una notifica senza pensarci. È un modo di stare nel presente con attenzione e curiosità, senza giudicare immediatamente quello che emerge. Questo è una connessione molto concreta con il modo in cui la tecnologia influenza le nostre relazioni, il nostro tempo, la nostra energia mentale. Perché non possiamo separare il digitale dal fatto che siamo esseri umani con emozioni, con attenzione limitata, con desideri e frustrazioni. Consapevolezza digitale significa saper leggere tra le righe di quello che ci accade davanti a uno schermo, capire quando stiamo reagendo automaticamente e quando stiamo scegliendo intenzionalmente. Essere nerd, alla fine, è proprio questo: accorgersi. È smettere di affidarsi totalmente alle interfacce e cominciare a chiedersi cosa c’è sotto, ma farlo non per sentirsi superiori o più “competenti” di altri, ma perché quella consapevolezza cambia il modo in cui abiti le tecnologie, i tuoi spazi, le tue relazioni. È capire che la sicurezza non è solo firewall e crittografia, ma anche sapere come ci poniamo davanti a ciò che usiamo e perché. E allora essere nerd non è una questione di skill, è una questione di presenza. È imparare a guardare, ascoltare e scegliere con più lucidità. E quella lucidità è la base non solo per proteggere dispositivi, ma per proteggere noi stessi nel digitale.