Codice esame: GCIH
La principale certificazione di incident handling da SANS/GIAC. Convalida la tua capacità di rilevare, rispondere e risolvere incidenti di sicurezza.
GIAC Certified Incident Handler (GCIH) è una certificazione altamente rispettata che convalida la tua capacità di rilevare, rispondere e risolvere incidenti di sicurezza. Sviluppata da SANS Institute, è considerata una delle credenziali di incident handling più rigorose disponibili.
Il motivo per cui la domanda di GCIH continua a salire è normativo, non tecnico: con CISA che finalizza le regole di reporting CIRCIA nel 2026, ogni entità coinvolta ha bisogno di persone in grado di gestire un processo di incident response difendibile sotto orologi di segnalazione stretti — e GCIH è una delle poche certificazioni il cui curriculum mappa quel workflow dall'inizio alla fine. Numeri concreti: il singolo tentativo d'esame GCIH è a 979 $ sulla pagina prezzi di GIAC. Chi passa da SANS si trova davanti al bundle del corso SEC504 (formazione + tentativo cert), che a seconda del formato supera tipicamente i 9.000 $: la maggior parte dei candidati segue questa strada con sponsorizzazione del datore di lavoro, non a budget personale. GCIH è inoltre una baseline DoD 8140 per i ruoli CSSP Incident Responder, e il rinnovo richiede 36 CPE ogni 4 anni secondo la policy ufficiale di rinnovo GIAC. Inquadramento onesto per il 2026: se il datore di lavoro spinge verso una cert IR e si offre di pagare, GCIH è quella da prendere. Autofinanziato? Prima CySA+, poi rivaluta.
La certificazione GCIH dimostra conoscenze di:
GCIH è progettato per:
Prerequisiti: Conoscenze fondamentali di sicurezza equivalenti a GSEC.
L'esame GCIH include:
| Background | Tempo di Studio Raccomandato |
|---|---|
| Ruolo IR attivo | 6-8 settimane |
| Professionista della sicurezza | 10-12 settimane |
| Professionista IT | 14-16 settimane |
GCIH si allinea con il corso SANS SEC504: Hacker Tools, Techniques, and Incident Handling:
Il corso SANS è altamente raccomandato ma non richiesto per l'esame.
Processo di Incident Handling
Rilevamento degli Attacchi
Comprensione delle Tecniche degli Hacker
Strumenti Difensivi
I titolari di GCIH comandano stipendi premium:
L'esame GCIH è supervisionato online tramite la piattaforma GIAC o presso un centro Pearson VUE. Affronterai 106 domande a scelta multipla in 4 ore. A differenza della maggior parte degli esami di cybersecurity, GCIH è open book: puoi portare qualsiasi materiale stampato, inclusi libri, appunti e un indice personalizzato. Nessun dispositivo elettronico è consentito.
L'indice è il tuo strumento più potente. I candidati di successo dedicano 15 a 20 ore alla costruzione di un indice dettagliato e con linguette del materiale del corso SEC504. Organizzalo per argomento (non in ordine alfabetico) in modo da poter localizzare le risposte entro 30 secondi.
Gestione del tempo: 106 domande in 240 minuti ti danno circa 2 minuti 15 secondi per domanda. La maggior parte dei candidati termina con 30 a 45 minuti rimanenti. Tuttavia, resisti all'impulso di affrettarti; molte domande presentano scenari con dettagli sottili che cambiano la risposta corretta.
Errori comuni: I candidati che saltano il corso SANS e studiano da soli spesso faticano con domande su strumenti specifici dimostrati nei lab SEC504. Un altro errore frequente è confondere le fasi di gestione degli incidenti.
Con SANS SEC504 (raccomandato): Il corso SANS SEC504 è una formazione intensiva di 5 giorni. Costa $8.275 a $9.045 a seconda del formato, ma include il tentativo d'esame, due esami di pratica e 4 mesi di accesso ai lab CyberLive. SANS offre anche borse di studio per studenti.
Percorso autodidatta: Se il prezzo SANS è proibitivo, puoi iscriverti all'esame separatamente per $949. Usa queste risorse: "Applied Network Security Monitoring" di Chris Sanders, CyberDefenders (cyberdefenders.org) per challenge blue team gratuite, e Blue Team Labs Online per analisi SIEM.
Ambienti di pratica: Costruisci un laboratorio SIEM domestico con Security Onion o Wazuh. Pratica l'analisi di file pcap con Wireshark.
Dedica 2 a 3 giorni interi alla creazione dell'indice. Usa separatori con linguette per le categorie principali: Ricognizione, Exploitation, Post-Exploitation, Processo di Incident Handling, Strumenti di Difesa e Legale/Compliance.
GCIH è una delle certificazioni più rispettate nell'incident response e nelle operazioni di sicurezza. Ha un peso significativo per posizioni di Incident Response Analyst ($85.000 a $120.000), Senior SOC Analyst ($95.000 a $130.000), Threat Hunter ($100.000 a $140.000) e IR Team Lead ($120.000 a $160.000).
In Italia, i professionisti certificati GCIH guadagnano EUR 40.000 a EUR 65.000 per ruoli mid-level e EUR 60.000 a EUR 90.000 per ruoli senior, con le retribuzioni più alte a Milano, Roma e nei centri finanziari. In Svizzera italiana, gli stipendi sono 25 a 35% superiori. GCIH è particolarmente apprezzata nelle grandi aziende e nelle istituzioni finanziarie italiane dove la gestione degli incidenti è una priorità.
GCIH ti differenzia dai titolari di CySA+ agli occhi dei datori di lavoro enterprise. Mentre CySA+ convalida competenze blue team fondamentali, GCIH dimostra che comprendi la prospettiva dell'attaccante in modo sufficientemente approfondito per rispondere efficacemente.
| Elemento | Costo |
|---|---|
| Corso SANS SEC504 (OnDemand) | $8.275 |
| Esame GCIH (incluso nel corso) | $0 |
| Esame GCIH (standalone) | $949 |
| Libri e materiali autodidattici | $100 a $200 |
| Abbonamento Blue Team Labs (3 mesi) | $40 |
| Rinnovo certificazione (ogni 4 anni) | $479 |
| Totale (percorso SANS) | $8.275 |
| Totale (percorso autodidatta) | $1.100 a $1.200 |
Il corso SANS è costoso, ma molti datori di lavoro lo coprono interamente. Il rinnovo GCIH richiede 36 crediti CPE ogni 4 anni e il pagamento di $479. Dato l'aumento salariale medio di $25.000+, l'investimento si ripaga in 2 a 3 mesi.
Tempistica raccomandata: Se segui SEC504, inizia la creazione dell'indice durante il corso. Programma l'esame 4 a 6 settimane dopo il completamento.
Il tuo indice ti farà trionfare o fallire. Ogni titolare di GCIH ti dirà la stessa cosa: dedica più tempo all'indice di quanto pensi sia necessario. Codifica le linguette per colore e pratica la ricerca sotto pressione temporale.
Prendi entrambi gli esami di pratica seriamente. GIAC fornisce due esami di pratica. Sostieni il primo 3 settimane prima senza indice per identificare le aree deboli. Sostieni il secondo 1 settimana prima con l'indice per simulare le condizioni reali. Punta all'80%+.
L'esame testa la metodologia di gestione degli incidenti più delle competenze di hacking. I candidati con background in sicurezza offensiva a volte si concentrano troppo sulle tecniche di attacco e sottoperformano nelle domande su contenimento e recupero.
Unisciti alla community GIAC Advisory Board e al subreddit r/GIAC. I titolari attivi condividono consigli di studio, template di indice e orientamento professionale.
Programma l'esame quando ti senti pronto all'80%. Aspettare la fiducia al 100% porta al rinvio indefinito. Il tuo indice compensa il restante 20%.
Media prima
58.000 €
Media dopo
76.000 €
Aumento medio
18.000 € (+31%)
Sì, l'esame GCIH è open book. Puoi portare qualsiasi materiale stampato, incluso il tuo indice personalizzato. Questo rende la strategia di preparazione (costruire un buon indice) fondamentale.
No, ma il corso SANS SEC504 è altamente raccomandato. L'esame è direttamente allineato al contenuto di SEC504, rendendo l'auto-studio più impegnativo.
GCIH è più rigorosa e rispettata in ambito enterprise/governativo, mentre CySA+ è più accessibile e approvata DoD. GCIH comanda stipendi più alti.
GCIH è impegnativa con 106 domande in 4 ore. Il formato open book significa che le domande sono complesse e richiedono comprensione, non solo memorizzazione.
Fonti autorevoli per obiettivi d'esame, guide allo studio e laboratori pratici.
Official certification body page with exam objectives and renewal policy.
Companion training that aligns directly with GCIH exam content.
Adversary tactics and techniques used in detection and IR scenarios.
Foundational IR process reference used throughout SEC504 and GCIH.
Quadro federale USA per la segnalazione di incidenti che definisce ambito, tempistiche e obblighi IR.
Ricerca SANS gratuita su playbook IR, detection engineering e forensica.
Guida ufficiale al ciclo di rinnovo di 4 anni / 36 CPE e alle attività accettate.
Foundation path
GIAC GCIH premia chi ha già esperienza pratica difensiva o offensiva. Il Bootcamp Cybersecurity Unihackers ti offre 360 ore di formazione strutturata, CompTIA Security+ come credenziale di base e la profondità dei laboratori che rende realistico tentare la certificazione successiva.
CompTIACertificazione entry-level di riferimento nella cybersecurity. Valida competenze fondamentali in sicurezza IT. Riconosciuta globalmente e approvata DoD.
CompTIACertificazione intermedia per analisti di sicurezza: rilevamento, analisi e risposta alle minacce. Il ponte tra Security+ e certificazioni avanzate.