| CONTATTI |
 |
|
 |
|
ARKAM
Sicurezza Informatica
Via al Lago, 68
21026 - Gavirate (VA)
Tel. 199-444375
Fax 0332-359914
info@arkam.it |
 |
|
|
|
|
|
|
|
|
|
| QUALITĄ |
|
|
|
|
 |
|
OSSTMM
La certificazione OSSTMM Professional Security
Analyst (OPSA) prepara esperti capaci di effettuare
l’analisi della sicurezza di un’infrastruttura
ICT conformemente alla metodologia OSSTMM (Open
Source Security Testing Methodology Manual) dell’ISECOM
(Institute for Security and Open Methodologies,
USA (http://www.isecom.org).
La certificazione OPSA si prefigge di fornire una
specializzazione multilivello, teorica e pratica,
a quanti operano nel settore della sicurezza ICT,
con l'obiettivo di preparare figure in grado di
analizzare ed interpretare i test di sicurezza e
di gestire gruppi di lavoro (i cosiddetti Tiger
Team) dedicati alla sicurezza.
La comprensione dei risultati dei test, l'utilizzo
dei dati da essi generati per elaborare in modo
critico i rapporti di analisi, e la definizione
di una corretta pianificazione sono alla base della
certificazione OSSTMM.
Per ottenere la certificazione OPSA è necessario
superare un esame scritto basato su 50 domande a
risposta multipla. L'esame (di tipo universitario,
riconosciuto a livello internazionale e dà
diritto a un titolo privo di scadenza) si divide
nelle tre sezioni principali di Data Test &
Log Analysis, Security Testing Projects e Professional
Consulting. Le aree, che riflettono la preparazione
richiesta ai candidati, rispecchiano i contenuti
dei corsi erogati da ISECOM attraverso il proprio
circuito di training partner.
Per ottenere la cetificazione, è necessaria
una preparazione relativa a:
- Security Analysis: comprensione dei risultati
dei test di sicurezza (log file, output degli strumenti
di sicurezza, dump di protocollo) e applicazione
delle strategie per la valutazione dei rischi tecnici
di reti e sistemi;
- Red Team Strategies: approfondimenti sulle fasi
della consulenza in materia di sicurezza, dalla
fase di prevendita alla fase di preparazione, sino
alla stesura del Security Report finale e ai test
di laboratorio;
- Security Project Management: approfondimenti sul
governo del progetto in termini di reporting, organizzazione
e gestione del team di lavoro, determinazione e
caratterizzazione delle necessità e delle
specifiche tecniche nei contratti, interazioni con
la clientela e controllo dei costi, sino ad arrivare
alla gestione della redditività degli investimenti
(ROI) attraverso la valutazione dei rischi che insistono
sull’infrastruttura (Risk Assessment Values
dell’OSSTMM).
Significativa è la parte di programma che
affronta gli aspetti legali ed etici, e l'ottica
di business della proactive security, completando
il quadro di riferimento e fornendo la necessaria
visione d’insieme.
Il raggiungimento della certificazione è
vincolato dalla giusta combinazione di conoscenze
tecniche e gestionali in materia di ICT security,
e da un’esperienza lavorativa o di ricerca
pari ad almeno tre anni nel settore (requisito,
quest’ultimo, richiesto per l’accesso
all’esame). E’ un percorso di sicuro
interesse per tutti i professionisti nel campo della
system & network security, che si occupino di
pianificazione, strategia, determinazione e gestione
dei rischi (es. responsabili sicurezza informatica,
responsabili privacy e/o della qualità e
certificazione aziendale, consulenti esterni e team
interni di risk analysis e gestione del rischio,
security auditor,ISO/BSI lead auditor, senior security
tester/consultant, security staff di NOC e SOC).
La sua caratteristica di metodologia "open"
offre il vantaggio di poter disporre del contributo
sulla materia di 150 esperti internazionali attivi
in tutto il mondo, e che costituiscono un prezioso
patrimonio di conoscenze.
Una metodologia che si è imposta come riferimento
internazionale tra i gli esperti di sicurezza in
istituzioni, università e aziende del settore,
e che viene sempre più adottata da parte
dei security-tester come linea guida per le verifiche
di sicurezza proattiva (security testing "from
the outside to the inside").
Testi di riferimento per la certificazione sono
il Manuale di Metodologia OSSTMM, il Business Security
Testing and Analysis Workbook (BSTA) e gli OSSTMM
Internal, disponibili sul sito ISECOM (http://www.isecom.org/public_repository.shtml).
Referenze:
http://www.isecom.org/osstmm/
OSSTMM - Open Source Security Testing Methodology
Manual |
|
|
|
|
|
|
|
|
|
|
