Il Capitolo, per aiutare i propri iscritti, ha riassunto e tradotto in italiano parte del materiale utile per mantenere annualmente le certificazioni di (ISC)2.

Requisiti, conseguimento e audit delle CPE sono parte integrante della vita di ogni membro (ISC)2, e per questo riteniamo utile riassumere la spesso complessa e vasta documentazione disponibile sul sito www.isc2.org.

Per maggiori informazioni, siete invitati a consultare la pagina CPE sul sito ufficiale o il manuale pubblicato da (ISC)2.

  1. I gruppi A e B
  2. Requisiti
  3. CPE Opportunities
  4. Submit CPE & Evidence
  5. Audit e mantenimento delle Evidenze
I gruppi A e B

Diversamente da altre certificazioni, (ISC)2 ha definito due gruppi di crediti Continuing Professional Education:

  • Crediti di gruppo A, “specialistici”, che riguardano almeno un dominio del CBK della certificazione di riferimento;
  • Crediti di gruppo B, “generici”, che non possono essere ricondotti a un dominio specifico ma che riguardano lo sviluppo professionale.

Per mantenere in good standing la propria certificazione è necessario accumulare un numero minimo di CPE nell’arco di un trienno, di cui un sottoinsieme può essere di tipo B. Ad esempio, i CISSP devono collezionare 120 CPE ogni 3 anni, di cui fino a 30 possono essere di tipo B, ma è possibile collezionare solo CPE del gruppo A.

Requisiti

Come primo punto, controllate i vostri requisiti, ovvero il minimo numero di CPE da conseguire, anche all’anno.

Recentemente è stato tolto il requisto di accumulare un minimo di CPE del gruppo A per ogni anno, che è rimasto come valore suggerito per garantire un aggiornamento continuo nel tempo. Conseguentemente, per la certificazione CISSP è necessario conseguire un totale di 120 CPE in un ciclo di 3 anni; del totale, un massimo di 30 CPE può essere del gruppo B.

La tabella seguente riassume i requisiti per le certificazioni di (ISC)2:

Per le certificazioni CCSP, CSSLP e CCFP i numeri sono leggermente inferiori: 90 CPE in un ciclo, di cui al massimo 30 del gruppo B.

Per la certificazione SSCP, CAP e HCISSP è invece necessario accumulare 60 CPE nel ciclo di tre anni, di cui al massimo 20 del gruppo B.

Per le certificazioni Associate of (ISC)2, il requisito è di accumulare 15 CPE del gruppo A ogni anno.

Per le concentrazioni ISSAP, ISSEP e ISSMP, il requisito è che almeno 20 CPE delle 120 accumulate nel triennio siano nell’area specifica della concentrazione.

CPE Opportunities

(ISC)2 offre una serie di opportunità disponibili ai soci dalla Member Home page, tra cui la disponibilità di corsi gratuiti erogati in formato computer based. Alcune delle altre opzioni più comuni sono:

Webcast
[max 10 CPE] OWASP Top 10 Training series,[1 CPE/h] aCPEaDay monitora webcast con CPE[1 CPE/h] Webcast del SANS Institute[1 CPE/h] AcademyPRO propone open source security training[1 CPE/h] PodCast di Cybercast[1 CPE/h] The Manager Tools Podcast
Iniziative (ISC)2
Il Capitolo Italiano (ISC)2, che organizza almeno 1 evento al mese; come attendees è possibile guadagnare 1 CPE/ora, come presentatore circa 4-6 CPE a eventoAiutare Safe and Secure online nei suoi progetti

Scrivere domande per gli esami, frequantando gli appositi incontri promossi da (ISC)2
Recensioni
[5 CPE] Recensire un libro fra quelli presenti nell'(ISC)2 book review search, ce ne sono moltissimi; limite di 1 all’anno[5 CPE] Sottoscrivere un abbonamento a una rivista compresa nell’(ISC)Journal;limite di 1 all’anno
Articoli
[5-10 CPE] Scrivere un articolo per una rivista cartacea o online[5-10 CPE] Pubblicare per una (ISC)Journal Pubblications Opportunity
Submit CPE

Dalla Member Home page è possibile arrivare rapidamente alla propria pagina per inserire CPE. Per riassumere i passi più comuni:

  • individuare se le CPE che si stanno per inserire sono di tipo A o B; se sono di tipo A, individuare il dominio più pertinente oppure usare l’opzione “All Domains”, presente per tutte le certificazioni
  • se si sta inserendo la partecipazione a un evento, considerare sempre la regola 1 CPE = 1 ora; vale per Webcast, Podcast, Summit di Sicurezza, eventi CLUSIT o (ISC)2
  • le CPE possono essere conteggiate a multipli di 0,25
  • nel caso di docenze (Providing Security Training) viene conteggiata solo la preparazione del materiale e (in maniera minore) il suo aggiornamento; per la preparazione, circa 4 CPE ogni ora di presentazione, ma non sono previste CPE per eventi di durata superiore alle 2 ore
  • le recensioni dei libri e l’abbonamento a una rivista sono conteggiati come 5 CPE; essendo entrambe limitate a 1 all’anno, il totale raggiungibile con tali opportunità è 10 CPE all’anno
  • non sottomettere la partecipazione agli eventi (ISC)Italy Chapter; i CPE sono accreditati in modo automatico

Se si possiedono più certificazioni (ad es, CISSP e CSSLP) non è necessario inserire lo stesso gruppo di attività per entrambi; le CPE sovrapponibili sono automaticamente conteggiate per entrambe le certificazioni.

Audit e Evidenze

Appena sottomesso, il gruppo di CPE viene spesso contrassegnato con lo status Passed; in questo caso, l’attività è passata e non saranno fatti controlli di dettaglio sulla stessa.

In alcuni casi, sempre alla sottomissione, l’attività viene contrassegnata con lo status Audit; è importante quindi sapere che:

  • se un gruppo di CPE è in audit, lo si saprà subito, in quanto lo stato Passed/Audit è visibile subito dopo la pressione del tasto “Add CPE”
  • non è possibile modificare o cancellare CPE in stato Audit: è quindi importante sottomettere sempre dati definitivi e completi, onde evitare la sottomissione di una CPE non corretta (per successivo editing) che poi viene inclusa nel processo di verifica

Qualche minuto dopo, si riceverà una mail da audit@isc2.org, che richiederà le evidenze. Nella pagina Record Keeping sono presenti le indicazioni generali, gli item principali:

  • per Webinar/Pocast ed altri eventi virtuali, generalmente vi sono 2 alternative:
    1. l’evento rilascia un attestato elettronico
    2. l’evento ha un quiz finale da compilare; nel caso in cui non sia possibile scaricarlo, prendere uno screenshot dell’avvenuto superamento
  • se si è erogato un corso o un evento, mantenere prove dell’evento stesso, partecipanti, durata, etc…
  • per articoli e recensioni, il link è sufficiente
  • in tutti gli altri casi, seguire il buonsenso, il Code of Ethics, e le linee guida presenti nella pagina Record Keeping

La mail di Audit è molto esplicativa, e richiede semplicemente l’evidenza adatta in relazione al gruppo di CPE in Auditing e una descrizione dell’attività, anche stringata; nel caso di esempio (un Webcast) è stato inserito il titolo del Webinar.

(ISC)richiede il materiale che possa dimostrare l’effettivo svolgimento delle attività, che varia da una semplice mail a un attestato formale per aver sostenuto un corso.

Alla ricezione del materiale, che è possibile inviare semplicemente rispondendo alla mail ricevuta, mantenendo nell’oggetto le 8 cifre identificative dell’Audit,  (ISC)2 informa il socio con una mail con oggetto “Thank you for responding to the (ISC)2 CPE Audit

La risposta effettiva di (ISC)arriva tipicamente in breve tempo, dal giorno seguente alle 4-5 settimane: se non si è fornita un’evidenza accettabile, il gruppo di CPE viene revocato, altrimenti un’altra mail con oggetto “(ISC)2 CPE Audit Approval Notification ISC2:000XXXXXX” informa dell’accreditamento delle CPE sul proprio profilo web isc2.org.