Consulente per la sicurezza informatica
[ Classificazioni ] ________________________________________________________________________
Classificazione Nazionale delle Professioni ISTAT 2001
2.1.1.4 ‐ INFORMATICI E TELEMATICI
Attività Economiche ATECO
K ‐72.10 ‐ Consulenza per installazione di sistemi informatici
Classificazione Internazionale delle Professioni ISCO‐88
2131 ‐ Progettisti e analisti di sistemi informatici
[ Descrittivo ]___________________________________________________________________________
Finalità
Nell’ambito di una organizzazione cliente identifica i rischi legati all’utilizzo di servizi informatici e propone soluzioni volte ad garantire un livello di sicurezza complessivo per il sistema informativo che risulti adeguato alle specifiche esigenze. Fornisce supporto per l’applicazione di tali soluzioni e la definizione di procedure organizzative che permettano la piena efficacia dei sistemi di sicurezza realizzati.
Elementi di contesto
CONTESTI LAVORATIVI:
Ambito/i di riferimento: Può operare all’interno di aziende di medio‐grandi dimensioni appartenenti a qualsiasi settore interessate ad assicurare un adeguato livello di sicurezza nell’impiego dei propri sistemi ICT. Può operare anche in proprio o all’interno di aziende fornitrici di servizi informatici o di consulenza in progetti presso aziende clienti.
Collocazione/i organizzativa/e: Opera generalmente a supporto della Direzione ICT / Organizzazione e Sistemi nelle aziende utenti e come consulente nelle aziende fornitrici di sistemi informativi.
Modalità di esercizio del lavoro: Caratterizzato da orari di lavoro flessibili e non standard, in relazione alle esigenze ed alle disponibilità dei vari attori con i quali interagisce durante lo svolgimento della propria attività professionale. Può operare come dipendente o come libero professionista con incarichi di consulenza
Requisiti preferenziali
Formativi:
E’ preferibile una laurea in informatica o Ingegneria Informatica
Esperenziali:
Esperienza di almeno 36 mesi
Requisiti obbligatori
Per potersi qualificare come Consulente per la sicurezza informatica/Security Adviser occorre superare i test EUCIP previsti per questa figura ed è inoltre necessario il possesso della certificazione EUCIP livello “Core”
____________________________________________________________
[ Comportamenti Organizzativi ]
Orientamento al cliente o allʹutente (interno/esterno)
Pensiero analitico
Pensiero concettuale
Comunicazione e Ascolto
Gestione delle relazioni e Negoziazione
Lavoro di gruppo e Cooperazione
[ Competenze ]_________________________________________________________________________
Essere in grado di analizzare i processi di gestione dell’infrastruttura informatica
Per metter in atto la competenza occorre sapere come…
‐ Effettuare un’analisi generale dei processi aziendali, dell’impiego di sistemi informatici e del trattamento dei dati ‐ Specificare i processi di controllo dell’infrastruttura informatica e degli accessi ai dati ‐ Organizzare i sistemi e i servizi informatici in modo da garantirne la continuità
‐ Disegnare processi di controllo dellʹinfrastruttura informatica
‐ Valutare e definire modelli di controllo degli accessi
Conoscenze Metodologie di controllo della qualità
Pianificazione della continuità operativa dei sistemi e servizi informatici
Tecniche di analisi e valutazione del rischio
Sistemi e procedure di controllo dellʹinfrastruttura informatica
Politiche, modelli e meccanismi di controllo degli accessi
Abilità Applicare metodologie di analisi e miglioramento delle prestazioni di un sistema informatico in termini di disponibilità
Applicare metodi di verifica dellʹimpatto dellʹinfrastruttura informatica
Applicare tecniche di controllo degli accessi a un sistema informatico
Essere in grado di definire i requisiti di sicurezza del sistema IT
Per metter in atto la competenza occorre sapere come…
‐ Prendendo in considerazione i diversi livelli di un sistema (connessioni di rete, sistemi operativi e software applicativi) e le esigenze d’uso da parte dell’organizzazione definire i requisiti di sicurezza del sistema in generale e dei suoi componenti
‐ Produrre documenti di alta qualità e report scritti, descrivendo argomenti tecnici ed organizzativi in maniera chiara e concisa
‐ Quantificare i rischi e identificare contromisure
‐ Sfruttare le caratteristiche del sistema operativo
‐ Analizzare il funzionamento di un sistema di comunicazione basato su IP
‐ Analizzare le piattaforme tecnologiche e le caratteristiche specifiche di applicazioni web
Conoscenze Abilità Normativa sulle comunicazioni elettroniche
Applicare protocolli di comunicazione IP
Sistemi operativi
Comunicazioni IP
Applicare criteri di valutazione e prevenzione del rischio informatico
Analisi e gestione del rischio informatico
Applicare metodologie di sviluppo di servizi on line
Applicazioni web
Applicare tecniche di soluzione dei problemi di un sistema operativo
Essere in grado di valutare il grado di sicurezza informatica del sistema sviluppato
Per metter in atto la competenza occorre sapere come…
‐ Partecipare, in un contesto di progetto di sviluppo, alla fase di verifica finale del sistema prima della sua messa in funzione
‐ Rivedere le caratteristiche di sicurezza di un sistema in tutti i suoi componenti: software applicativo, basi di dati, sistemi operativi, infrastrutture di rete ‐ Confrontare le caratteristiche rilevate con le specifiche preesistenti e redigere relazioni che evidenzino qualsiasi debolezza, vulnerabilità o inefficacia del sistema ‐ Analizzare la vulnerabilità di una applicazione che accede a contenuti in rete
‐ Assicurare la robustezza del sistema
‐ Definire modelli di accesso ai dati
‐ Impostare i parametri di sicurezza di un sistema operativo
‐ Analizzare e impostare il livello di sicurezza di una rete senza fili
Conoscenze Abilità Sicurezza delle basi di dati
Applicare i principi di programmazione sicura
Principi di programmazione sicura
Applicare procedure di sicurezza per reti senza fili
Sicurezza dei sistemi operativi
Utilizzare strumenti di controllo degli accessi alle basi di dati
Sicurezza delle applicazioni web
Sicurezza delle reti senza fili
Utilizzare strumenti di controllo degli accessi e di aggiornamento automatico di un sistema operativo
Applicare tecniche di protezione crittografica
Essere in grado di effettuare la revisione delle prestazioni del sistema IT in uso
Per metter in atto la competenza occorre sapere come…
‐ Assistere i clienti e gli utilizzatori sia nella definizione dei livelli di servizio che nella definizione di test di approvazione dei sistemi automatizzati, assumere le responsabilità di effettuare valutazioni pertinenti relative alla qualità ‐ Valutare i costi e i benefici di una politica di sicurezza informatica
‐ Prevenire gli attacchi di rete
Conoscenze Abilità Sicurezza informatica Applicare procedure per la sicurezza dei dati
Sistemi di prevenzione degli attacchi alla rete
Applicare tecniche per lʹanalisi ʺcosto‐beneficioʺ
Applicare metodi di rilevazione e prevenzione delle intrusioni nella rete