Consulente per la sicurezza informatica [ Classificazioni ] ________________________________________________________________________ Classificazione Nazionale delle Professioni ISTAT 2001 2.1.1.4 ‐ INFORMATICI E TELEMATICI Attività Economiche ATECO K ‐72.10 ‐ Consulenza per installazione di sistemi informatici Classificazione Internazionale delle Professioni ISCO‐88 2131 ‐ Progettisti e analisti di sistemi informatici [ Descrittivo ]___________________________________________________________________________ Finalità Nell’ambito di una organizzazione cliente identifica i rischi legati all’utilizzo di servizi informatici e propone soluzioni volte ad garantire un livello di sicurezza complessivo per il sistema informativo che risulti adeguato alle specifiche esigenze. Fornisce supporto per l’applicazione di tali soluzioni e la definizione di procedure organizzative che permettano la piena efficacia dei sistemi di sicurezza realizzati. Elementi di contesto CONTESTI LAVORATIVI: Ambito/i di riferimento: Può operare all’interno di aziende di medio‐grandi dimensioni appartenenti a qualsiasi settore interessate ad assicurare un adeguato livello di sicurezza nell’impiego dei propri sistemi ICT. Può operare anche in proprio o all’interno di aziende fornitrici di servizi informatici o di consulenza in progetti presso aziende clienti. Collocazione/i organizzativa/e: Opera generalmente a supporto della Direzione ICT / Organizzazione e Sistemi nelle aziende utenti e come consulente nelle aziende fornitrici di sistemi informativi. Modalità di esercizio del lavoro: Caratterizzato da orari di lavoro flessibili e non standard, in relazione alle esigenze ed alle disponibilità dei vari attori con i quali interagisce durante lo svolgimento della propria attività professionale. Può operare come dipendente o come libero professionista con incarichi di consulenza Requisiti preferenziali Formativi: E’ preferibile una laurea in informatica o Ingegneria Informatica Esperenziali: Esperienza di almeno 36 mesi Requisiti obbligatori Per potersi qualificare come Consulente per la sicurezza informatica/Security Adviser occorre superare i test EUCIP previsti per questa figura ed è inoltre necessario il possesso della certificazione EUCIP livello “Core” ____________________________________________________________ [ Comportamenti Organizzativi ] Orientamento al cliente o allʹutente (interno/esterno) Pensiero analitico Pensiero concettuale Comunicazione e Ascolto Gestione delle relazioni e Negoziazione Lavoro di gruppo e Cooperazione [ Competenze ]_________________________________________________________________________ Essere in grado di analizzare i processi di gestione dell’infrastruttura informatica Per metter in atto la competenza occorre sapere come… ‐ Effettuare un’analisi generale dei processi aziendali, dell’impiego di sistemi informatici e del trattamento dei dati ‐ Specificare i processi di controllo dell’infrastruttura informatica e degli accessi ai dati ‐ Organizzare i sistemi e i servizi informatici in modo da garantirne la continuità ‐ Disegnare processi di controllo dellʹinfrastruttura informatica ‐ Valutare e definire modelli di controllo degli accessi Conoscenze Metodologie di controllo della qualità Pianificazione della continuità operativa dei sistemi e servizi informatici Tecniche di analisi e valutazione del rischio Sistemi e procedure di controllo dellʹinfrastruttura informatica Politiche, modelli e meccanismi di controllo degli accessi Abilità Applicare metodologie di analisi e miglioramento delle prestazioni di un sistema informatico in termini di disponibilità Applicare metodi di verifica dellʹimpatto dellʹinfrastruttura informatica Applicare tecniche di controllo degli accessi a un sistema informatico Essere in grado di definire i requisiti di sicurezza del sistema IT Per metter in atto la competenza occorre sapere come… ‐ Prendendo in considerazione i diversi livelli di un sistema (connessioni di rete, sistemi operativi e software applicativi) e le esigenze d’uso da parte dell’organizzazione definire i requisiti di sicurezza del sistema in generale e dei suoi componenti ‐ Produrre documenti di alta qualità e report scritti, descrivendo argomenti tecnici ed organizzativi in maniera chiara e concisa ‐ Quantificare i rischi e identificare contromisure ‐ Sfruttare le caratteristiche del sistema operativo ‐ Analizzare il funzionamento di un sistema di comunicazione basato su IP ‐ Analizzare le piattaforme tecnologiche e le caratteristiche specifiche di applicazioni web Conoscenze Abilità Normativa sulle comunicazioni elettroniche Applicare protocolli di comunicazione IP Sistemi operativi Comunicazioni IP Applicare criteri di valutazione e prevenzione del rischio informatico Analisi e gestione del rischio informatico Applicare metodologie di sviluppo di servizi on line Applicazioni web Applicare tecniche di soluzione dei problemi di un sistema operativo Essere in grado di valutare il grado di sicurezza informatica del sistema sviluppato Per metter in atto la competenza occorre sapere come… ‐ Partecipare, in un contesto di progetto di sviluppo, alla fase di verifica finale del sistema prima della sua messa in funzione ‐ Rivedere le caratteristiche di sicurezza di un sistema in tutti i suoi componenti: software applicativo, basi di dati, sistemi operativi, infrastrutture di rete ‐ Confrontare le caratteristiche rilevate con le specifiche preesistenti e redigere relazioni che evidenzino qualsiasi debolezza, vulnerabilità o inefficacia del sistema ‐ Analizzare la vulnerabilità di una applicazione che accede a contenuti in rete ‐ Assicurare la robustezza del sistema ‐ Definire modelli di accesso ai dati ‐ Impostare i parametri di sicurezza di un sistema operativo ‐ Analizzare e impostare il livello di sicurezza di una rete senza fili Conoscenze Abilità Sicurezza delle basi di dati Applicare i principi di programmazione sicura Principi di programmazione sicura Applicare procedure di sicurezza per reti senza fili Sicurezza dei sistemi operativi Utilizzare strumenti di controllo degli accessi alle basi di dati Sicurezza delle applicazioni web Sicurezza delle reti senza fili Utilizzare strumenti di controllo degli accessi e di aggiornamento automatico di un sistema operativo Applicare tecniche di protezione crittografica Essere in grado di effettuare la revisione delle prestazioni del sistema IT in uso Per metter in atto la competenza occorre sapere come… ‐ Assistere i clienti e gli utilizzatori sia nella definizione dei livelli di servizio che nella definizione di test di approvazione dei sistemi automatizzati, assumere le responsabilità di effettuare valutazioni pertinenti relative alla qualità ‐ Valutare i costi e i benefici di una politica di sicurezza informatica ‐ Prevenire gli attacchi di rete Conoscenze Abilità Sicurezza informatica Applicare procedure per la sicurezza dei dati Sistemi di prevenzione degli attacchi alla rete Applicare tecniche per lʹanalisi ʺcosto‐beneficioʺ Applicare metodi di rilevazione e prevenzione delle intrusioni nella rete