L'EITCA/IS Information Technologies Security Academy è uno standard di attestazione di competenza riconosciuto a livello internazionale con sede nell'UE che comprende conoscenze e abilità pratiche nel campo della sicurezza informatica.
Il curriculum dell'EITCA/IS Information Technologies Security Academy copre competenze professionali nelle aree della complessità computazionale, della crittografia classica (inclusa sia la crittografia simmetrica a chiave privata che la crittografia asimmetrica a chiave pubblica), la crittografia quantistica (con enfasi su QKD, distribuzione di chiavi quantistiche ), informazioni quantistiche e introduzione al calcolo quantistico (comprese nozioni di circuiti quantistici, porte quantistiche e algoritmi quantistici con enfasi su algoritmi pratici come la fattorizzazione Shor o algoritmi di ricerca di log discreti), reti di computer (compreso il modello OSI teorico), sicurezza dei sistemi informatici (che copre nozioni di base e argomenti pratici avanzati, inclusa la sicurezza dei dispositivi mobili), amministrazione dei server di rete (inclusi Microsoft Windows e Linux), sicurezza delle applicazioni Web e test di penetrazione delle applicazioni Web (incluse diverse tecniche pratiche di pentesting).
L'ottenimento della Certificazione EITCA/IS Information Technologies Security Academy attesta l'acquisizione delle competenze e il superamento degli esami finali di tutti i programmi sostitutivi di European IT Certification (EITC) costituenti il curriculum completo dell'EITCA/IS Information Technologies Security Academy (disponibile anche separatamente come singole certificazioni EITC) .
La protezione dei sistemi e delle reti informatiche dalla divulgazione di informazioni, dal furto o dal danneggiamento dell'hardware, del software o dei dati trattati, nonché dall'interruzione o dall'indirizzamento errato delle comunicazioni o dei servizi elettronici forniti, è generalmente indicata come sicurezza informatica, sicurezza informatica o sicurezza delle informazioni sicurezza delle tecnologie (sicurezza informatica). A causa della crescente dipendenza del funzionamento mondiale dai sistemi informatici (compresi i piani sociali ed economici) e in particolare dalla comunicazione Internet, nonché dagli standard delle reti wireless come Bluetooth e Wi-Fi, insieme alla crescente diffusione dei cosiddetti dispositivi intelligenti come gli smartphone , smart TV e vari altri dispositivi che compongono l'Internet delle cose, il campo della sicurezza informatica (cybersecurity) sta diventando sempre più importante. A causa della sua complessità in termini di implicazioni sociali, economiche e politiche (comprese quelle della sicurezza nazionale), nonché della complessità in termini di tecnologie coinvolte, la sicurezza informatica è una delle preoccupazioni più critiche nel mondo moderno. È inoltre una delle specializzazioni informatiche più prestigiose, caratterizzata da una richiesta sempre crescente di specialisti altamente formati con competenze adeguatamente sviluppate e attestate, che possono dare molte soddisfazioni, aprire percorsi di carriera veloci, consentire il coinvolgimento in progetti importanti (tra cui progetti strategici di sicurezza nazionale) e consentire percorsi per ulteriori ristrette specializzazioni in diversi domini di questo campo. Il lavoro di esperto di sicurezza informatica (o funzionario di sicurezza informatica in un'organizzazione privata o pubblica) è impegnativo ma anche gratificante e molto responsabile. L'esperienza sia nei fondamenti teorici che negli aspetti pratici della moderna sicurezza informatica garantisce non solo un lavoro futuristico molto interessante e all'avanguardia legato alle tecnologie dell'informazione, ma anche stipendi considerevolmente più alti e percorsi di sviluppo professionale rapidi a causa delle significative carenze dei professionisti certificati della sicurezza informatica e dei diffusi divari di competenze relativi a sia conoscenze teoriche che abilità pratiche nella sicurezza delle tecnologie dell'informazione. I paradigmi della sicurezza IT si sono evoluti rapidamente negli ultimi anni. Ciò non sorprende poiché la protezione delle tecnologie dell'informazione è strettamente correlata alle architetture dei sistemi che memorizzano ed elaborano le informazioni. La diffusione dei servizi Internet, in particolare nell'e-commerce, ha spinto la quota già dominante dell'economia nei dati virtuali. Non è un segreto che attualmente la maggior parte delle transazioni economiche a livello globale passa attraverso canali elettronici, che ovviamente richiedono adeguati livelli di sicurezza.
Per comprendere la sicurezza informatica ed essere in grado di sviluppare ulteriori abilità teoriche e pratiche in questo campo, è necessario prima comprendere le basi della teoria del calcolo (complessità del calcolo) e le basi della crittografia. Il primo campo definisce i fondamenti dell'informatica e il secondo (crittografia) definisce i fondamenti della comunicazione sicura. La crittografia di per sé era presente nella nostra civiltà fin dai tempi antichi per fornire mezzi per proteggere la segretezza della comunicazione e, in termini più generali, per fornirne l'autenticità e l'integrità. La crittografia classica moderna è stata suddivisa in crittografia teorica dell'informazione (indistruttibile) simmetrica (a chiave privata) (basata sul cifrario one-time pad, tuttavia incapace di risolvere il problema della distribuzione delle chiavi attraverso i canali di comunicazione) e asimmetrica condizionatamente sicura (pubblica -key) crittografia (risolvendo inizialmente il problema della distribuzione delle chiavi e successivamente evolvendosi in crittosistemi funzionanti con le cosiddette chiavi pubbliche che dovevano essere utilizzate per la crittografia dei dati e che erano legate in relazioni asimmetriche di complessità computazionale con chiavi private, difficili da calcolare le loro chiavi pubbliche corrispondenti, che potrebbero essere utilizzate per decrittografare i dati). La crittografia a chiave pubblica, in quanto supera di fatto le potenzialità applicative della crittografia a chiave privata, ha dominato Internet e attualmente è uno standard principale nella protezione della comunicazione privata su Internet e dell'e-commerce. Nel 1994, tuttavia, c'è stato un importante passo avanti, che ha dimostrato che gli algoritmi quantistici possono violare i più comuni sistemi crittografici a chiave pubblica (ad esempio il cifrario RSA basato sul problema della fattorizzazione). D'altra parte l'informazione quantistica ha fornito un paradigma completamente nuovo per la crittografia, ovvero il protocollo di distribuzione della chiave quantistica (QKD), che consente di implementare praticamente per la prima volta nella storia crittosistemi sicuri infrangibili (teorici dell'informazione) (nemmeno infrangibili con qualsiasi algoritmo quantistico). Un'esperienza in queste aree dei moderni sviluppi della sicurezza informatica pone le basi per competenze pratiche che possono essere applicate per mitigare le minacce informatiche a reti, sistemi informatici (inclusi server ma anche personal computer e dispositivi mobili) e varie applicazioni (soprattutto applicazioni web). Tutti questi campi sono coperti dall'EITCA/IS Information Technologies Security Academy, che integra le competenze in aree sia teoriche che pratiche della sicurezza informatica, integrando le competenze con l'esperienza dei test di penetrazione (comprese le tecniche pratiche di pentesting sul web).
Dall'avvento di Internet e dal cambiamento digitale avvenuto negli ultimi anni, il concetto di cybersecurity è diventato un argomento comune sia nella nostra vita professionale che personale. Negli ultimi 50 anni di progresso tecnologico, sicurezza informatica e minacce informatiche hanno seguito lo sviluppo di sistemi e reti informatiche. Fino all'invenzione di Internet negli anni '1970 e '1980, la sicurezza dei sistemi informatici e delle reti è stata principalmente relegata al mondo accademico, dove, con la crescente connettività, i virus informatici e le intrusioni di rete hanno iniziato a decollare. Gli anni 2000 hanno visto l'istituzionalizzazione dei rischi informatici e della sicurezza informatica, in seguito all'ascesa dei virus negli anni '1990. Attacchi su larga scala e legislazione governativa hanno iniziato a emergere negli anni 2010. La sessione di Willis Ware dell'aprile 1967 alla Spring Joint Computer Conference, così come la successiva pubblicazione del Ware Report, furono pietre miliari spartiacque nella storia della sicurezza informatica.
La cosiddetta trinità della CIA di Riservatezza, Integrità e Disponibilità è stata istituita in una pubblicazione del NIST del 1977 come approccio chiaro e semplice per spiegare i requisiti di sicurezza essenziali. Da allora sono stati presentati molti framework più completi e sono ancora in evoluzione. Tuttavia, negli anni '1970 e '1980 non c'erano seri rischi per i computer poiché i computer e Internet erano ancora nella fase iniziale di sviluppo con una connettività relativamente bassa e le minacce alla sicurezza venivano facilmente rilevate in domini limitati di operazioni. Gli insider dannosi che hanno ottenuto l'accesso non autorizzato a documenti e file critici erano la fonte di pericolo più comune. Nei primi anni non utilizzavano malware o violazioni della rete per vantaggi finanziari, nonostante esistessero. Società di computer affermate, come IBM, hanno iniziato a sviluppare sistemi di controllo degli accessi commerciali e software di sicurezza informatica nella seconda metà degli anni '1970.
L'era dei programmi informatici dannosi (worm o virus se avevano proprietà programmate di auto-replicazione e di operazioni contagiose, diffondendosi nei sistemi informatici attraverso reti e altri mezzi) iniziò nel 1971 con il cosiddetto Creeper. Creeper era un programma per computer sperimentale sviluppato dalla Bbn considerato il primo worm per computer. Reaper, il primo software antivirus, è stato sviluppato nel 1972. È stato creato per migrare attraverso ARPANET ed eliminare il worm Creeper. Un gruppo di hacker tedeschi ha commesso il primo atto documentato di spionaggio informatico tra il settembre 1986 e il giugno 1987. La banda ha violato le reti di aziende di difesa, università e basi militari americane, vendendo i dati al KGB sovietico. Markus Hess, il leader del gruppo, fu catturato il 29 giugno 1987. Il 15 febbraio 1990 fu dichiarato colpevole di spionaggio (insieme a due co-cospiratori). Il worm Morris, uno dei primi worm per computer, è stato diffuso via Internet nel 1988. Ha ricevuto molta attenzione dai media mainstream. Subito dopo che il National Center for Supercomputing Applications (NCSA) ha rilasciato Mosaic 1.0, il primo browser web, nel 1993, Netscape ha iniziato a creare il protocollo SSL. Nel 1994, Netscape aveva pronto SSL versione 1.0, ma non è mai stato rilasciato al pubblico a causa di una serie di gravi falle di sicurezza. Tra i difetti scoperti c'erano gli attacchi di replica e una vulnerabilità che consentiva agli hacker di modificare i messaggi non crittografati consegnati dagli utenti. Netscape, d'altra parte, ha rilasciato la versione 2.0 nel febbraio 1995.
Negli Stati Uniti, la National Security Agency (NSA) ha il compito di proteggere le reti di informazioni americane e di raccogliere informazioni dall'estero. Queste due responsabilità sono incompatibili. Come misura difensiva, la revisione del software, la ricerca di problemi di sicurezza e gli sforzi per riparare i difetti fanno tutti parte della protezione dei sistemi informativi. Sfruttare le falle di sicurezza per ottenere informazioni fa parte della raccolta di informazioni, che è un'azione ostile. Quando i punti deboli della sicurezza vengono risolti, non sono più sfruttabili dall'NSA. L'NSA esamina il software ampiamente utilizzato al fine di identificare falle di sicurezza, che poi utilizza per lanciare attacchi offensivi contro i concorrenti statunitensi. L'agenzia raramente intraprende azioni difensive, come rivelare problemi di sicurezza agli sviluppatori di software in modo che possano essere risolti. Per un certo periodo la strategia offensiva ha funzionato, ma altri paesi, come Russia, Iran, Corea del Nord e Cina, hanno gradualmente sviluppato la propria capacità offensiva, che ora utilizzano contro gli Stati Uniti. Gli appaltatori della NSA hanno sviluppato e venduto semplici soluzioni con un clic e strumenti d'assalto ad agenzie e alleati statunitensi, ma alla fine gli strumenti sono finiti nelle mani di avversari stranieri, che sono stati in grado di studiarli e sviluppare le loro versioni. Le capacità di hacking della NSA sono state violate nel 2016 e la Russia e la Corea del Nord le hanno sfruttate. Gli avversari desiderosi di competere nella guerra informatica hanno assunto lavoratori e appaltatori della NSA con salari esorbitanti. Ad esempio, nel 2007, gli Stati Uniti e Israele hanno iniziato ad attaccare e danneggiare le apparecchiature utilizzate in Iran per raffinare i materiali nucleari sfruttando le falle di sicurezza nel sistema operativo Microsoft Windows. L'Iran ha reagito investendo massicciamente nella propria capacità di guerra informatica, che ha immediatamente iniziato a impiegare contro gli Stati Uniti. Va notato che attualmente il campo della sicurezza informatica è ampiamente trattato come un campo strategico di sicurezza nazionale e mezzo di una possibile guerra futura.
Il certificato EITCA/IS fornisce un'attestazione completa delle competenze professionali nell'area della sicurezza informatica (sicurezza informatica) che vanno dalle basi alle conoscenze teoriche avanzate, nonché include abilità pratiche nei sistemi crittografici classici e quantistici, reti informatiche sicure, sicurezza dei sistemi informatici (compresa la sicurezza dei dispositivi mobili) sicurezza dei server e delle applicazioni (compresa la sicurezza delle applicazioni web e test di penetrazione).
EITCA/IS Information Technologies Security Academy è un programma avanzato di formazione e certificazione con contenuti didattici estensivi ad accesso aperto di alta qualità di riferimento organizzati in un processo didattico passo-passo, selezionati per affrontare adeguatamente il curriculum definito, educativamente equivalente alla posta internazionale -studi di laurea in sicurezza informatica combinati con la formazione digitale sulla sicurezza informatica a livello di settore e superando le offerte di formazione standardizzate in vari campi della sicurezza IT applicabile disponibili sul mercato. Il contenuto del programma di certificazione EITCA Academy è specificato e standardizzato dall'Istituto europeo di certificazione delle tecnologie dell'informazione EITCI a Bruxelles. Questo programma viene aggiornato successivamente su base continuativa a causa dei progressi nel campo della sicurezza informatica in conformità con le linee guida dell'Istituto EITCI ed è soggetto ad accreditamenti periodici.
Il programma EITCA/IS Information Technologies Security Academy comprende importanti programmi EITC di certificazione IT europea. Di seguito è presentato l'elenco delle certificazioni EITC incluse nel programma completo EITCA/IS Information Technologies Security Academy, in conformità con le specifiche dell'Istituto europeo di certificazione delle tecnologie dell'informazione EITCI. È possibile fare clic sui rispettivi programmi EITC elencati in un ordine consigliato per iscriversi individualmente a ciascun programma EITC (in alternativa all'iscrizione al programma EITCA/IS Information Technologies Security Academy completo sopra) al fine di procedere con i rispettivi curricula individuali, preparandosi per gli esami EITC corrispondenti. Il superamento di tutti gli esami per tutti i programmi EITC sostitutivi comporta il completamento del programma EITCA/IS Information Technologies Security Academy e la concessione della corrispondente certificazione EITCA Academy (integrata da tutte le sue certificazioni EITC sostitutive). Dopo aver superato ogni singolo esame EITC ti verrà rilasciato anche il corrispondente Certificato EITC, prima di completare l'intera EITCA Academy.