Il Capitolo, per aiutare i propri iscritti, ha riassunto e tradotto in italiano parte del materiale utile per mantenere annualmente le certificazioni di ISC2.
Requisiti, conseguimento e audit delle CPE sono parte integrante della vita di ogni membro ISC2, e per questo riteniamo utile riassumere la spesso complessa documentazione disponibile sul sito www.isc2.org.
Per maggiori informazioni, siete invitati a consultare la pagina CPE sul sito ufficiale o il manuale pubblicato da ISC2.
I gruppi A e B
Diversamente da altre certificazioni, ISC2 ha definito due gruppi di crediti Continuing Professional Education:
- Crediti di gruppo A, “specialistici”, che riguardano almeno un dominio del CBK della certificazione di riferimento;
- Crediti di gruppo B, che non possono essere ricondotti a un dominio specifico ma che riguardano lo sviluppo professionale.
Per mantenere in good standing la propria certificazione è necessario accumulare un numero minimo di CPE nell’arco di un triennio, di cui un sottoinsieme può essere di tipo B. Ad esempio, i CISSP devono collezionare 120 CPE ogni 3 anni, di cui fino a 30 possono essere di tipo B, ma è possibile collezionare solo CPE del gruppo A.
Requisiti
Recentemente, per le certificazioni è stato tolto il requisito di un minimo annuale, che è rimasto come valore suggerito per garantire un aggiornamento continuo nel tempo. Conseguentemente, per la certificazione CISSP è necessario conseguire un totale di 120 CPE in un ciclo di 3 anni; del totale, un massimo di 30 CPE può essere del gruppo B.
La tabella seguente riassume i requisiti per le singole certificazioni:
Per la certificazione CC servono 45 CPE del gruppo A in un triennio.
Per le certificazioni CCSP e CSSLP i numeri sono leggermente inferiori: 90 CPE in un ciclo, di cui al massimo 30 del gruppo B.
Per la certificazione SSCP, GCRC e HCISSP è invece necessario accumulare 60 CPE nel ciclo di tre anni, di cui al massimo 15 del gruppo B.
Per le concentrazioni ISSAP, ISSEP e ISSMP, il requisito è che almeno 20 CPE delle 120 accumulate nel triennio siano nell’area specifica della concentrazione.
Solo per le certificazioni Associate of ISC2 è rimasto un requisito annuale, ovvero accumulare 15 CPE del gruppo A ogni anno.
Modalità di calcolo
In linea generale, 1 ora di attività di formazione o di sviluppo professionale equivale ad 1 CPE.
Per alcune attività (studio di libri, stesura di articoli, etc.) sono definiti dei valori standard; ad esempio:
- lettura di un libro: massimo 5 CPE
- lettura di una rivista: massimo 5 CPE
- lettura di un white paper: 1 CPE
- scrittura di un libro: massimo 40 CPE (se unico autore) o 20 CPE (se più autori)
- scrittura di un articolo: massimo 20 CPE (se unico autore) o 10 CPE (se più autori)
Le CPE possono essere conteggiate ed inserite in multipli di 0,25.
Opportunità
ISC2 offre una serie di opportunità di aggiornamento professionale che permettono di guadagnare crediti, tra cui la disponibilità di corsi gratuiti erogati in formato computer based e i webinar pubblicati sulla piattaforma BrightTALK, che permettono di ottenere i crediti CPE anche per la visualizzazione dei webinar registrati.
Alcune delle altre opzioni disponibili per i soci del Capitolo Italiano sono:
- seguire i webinar organizzati da (ISC)2 Italy Chapter, che organizza circa 10 webinar all’anno
- presentare i webinar organizzati da (ISC)2 Italy Chapter; in questo modo è possibile guadagnare CPE in base al tempo utilizzato per la preparazione del materiale (non conta l’esposizione)
- partecipare alla stesura dei White Paper dell’apposito gruppo di lavoro; questa attività permette di guadagnare 10 CPE (se autore unico) o 5 CPE (se ci sono più autori); 2 CPE spettano al ruolo di curatore
- partecipare alle attività di presentazione presso le scuole organizzate dal GdL Educazione alla Sicurezza Informatica
- supportare le attività del capitolo
- partecipare a eventi sulla sicurezza, come il Security Summit del Clusit
Registrazione
Dalla Member Home page è possibile arrivare rapidamente alla propria pagina per inserire CPE. Per riassumere i passi più comuni:
- individuare se le CPE che si stanno per inserire sono di tipo A o B; se sono di tipo A, individuare il dominio più pertinente oppure usare l’opzione “All Domains”, presente per tutte le certificazioni
- se si sta inserendo la partecipazione a un evento, considerare sempre la regola 1 CPE = 1 ora; vale per Webcast, Podcast, Summit di Sicurezza, eventi CLUSIT o ISC2
- le CPE possono essere conteggiate a multipli di 0,25
- nel caso di docenze (Providing Security Training) viene conteggiata solo la preparazione del materiale e (in maniera minore) il suo aggiornamento; per la preparazione, circa 4 CPE ogni ora di presentazione, ma non sono previste CPE per eventi di durata superiore alle 2 ore
- le recensioni dei libri e l’abbonamento a una rivista sono conteggiati come 5 CPE; essendo entrambe limitate a 1 all’anno, il totale raggiungibile con tali opportunità è 10 CPE all’anno
- non sottomettere la partecipazione agli eventi organizzati da (ISC)2 Italy Chapter; i CPE sono accreditati in modo automatico
Se si possiedono più certificazioni (ad es, CISSP e CSSLP) non è necessario inserire lo stesso gruppo di attività per entrambi; le CPE sovrapponibili sono automaticamente conteggiate per entrambe le certificazioni.
Audit
Appena sottomesso, il gruppo di CPE viene spesso contrassegnato con lo status Passed; in questo caso, l’attività è passata e non saranno fatti controlli di dettaglio sulla stessa.
In alcuni casi, sempre alla sottomissione, l’attività viene contrassegnata con lo status Audit; è importante quindi sapere che:
- se un gruppo di CPE è in audit, lo si saprà subito, in quanto lo stato Passed/Audit è visibile subito dopo la pressione del tasto “Add CPE”
- non è possibile modificare o cancellare CPE in stato Audit: è quindi importante sottomettere sempre dati definitivi e completi, onde evitare la sottomissione di una CPE non corretta (per successivo editing) che poi viene inclusa nel processo di verifica
Qualche minuto dopo, si riceverà una mail da audit@isc2.org, che richiederà le evidenze. Nella pagina Record Keeping sono presenti le indicazioni generali, gli item principali:
- per Webinar/Pocast ed altri eventi virtuali, generalmente vi sono 2 alternative:
- l’evento rilascia un attestato elettronico
- l’evento ha un quiz finale da compilare; nel caso in cui non sia possibile scaricarlo, prendere uno screenshot dell’avvenuto superamento
- se si è erogato un corso o un evento, mantenere prove dell’evento stesso, partecipanti, durata, etc…
- per articoli e recensioni, il link è sufficiente
- in tutti gli altri casi, seguire il buonsenso, il Code of Ethics, e le linee guida presenti nella pagina Record Keeping
La mail di Audit è molto esplicativa, e richiede semplicemente l’evidenza adatta in relazione al gruppo di CPE in Auditing e una descrizione dell’attività, anche stringata; nel caso di esempio (un Webcast) è stato inserito il titolo del Webinar.
ISC2 richiede il materiale che possa dimostrare l’effettivo svolgimento delle attività, che varia da una semplice mail a un attestato formale per aver sostenuto un corso.
Alla ricezione del materiale, che è possibile inviare semplicemente rispondendo alla mail ricevuta, mantenendo nell’oggetto le 8 cifre identificative dell’Audit, ISC2 informa il socio con una mail con oggetto “Thank you for responding to the ISC2 CPE Audit”
La risposta effettiva di ISC2 arriva tipicamente in breve tempo, dal giorno seguente alle 4-5 settimane: se non si è fornita un’evidenza accettabile, il gruppo di CPE viene revocato, altrimenti un’altra mail con oggetto “ISC2 CPE Audit Approval Notification ISC2:000XXXXXX” informa dell’accreditamento delle CPE sul proprio profilo web isc2.org.