Tecnico della sicurezza dei sistemi informatici
Descrizione
Il Tecnico della sicurezza dei sistemi informatici assicura l’implementazione della politica di sicurezza aziendale e l’uso appropriato delle risorse ICT, proponendo ed implementando soluzioni hardware e software, interfacciandosi come referente con gli altri attori del sistema e svolgendo attività di formazione, monitoraggio e controllo.
ADA associate alla qualificazione
ADA.14.01.18Sviluppo della Strategia per la Sicurezza Informatica (D1)
ADA.14.01.22Gestione della Sicurezza dell'Informazione
Competenze
Interagire con le altre risorse professionali operative sul luogo di lavoro
Mostra abilità e conoscenze
Mostra abilità e conoscenze
Conoscenze
- Concetti di gruppo, posizione, ruolo, comportamenti individuali e collettivi, dinamiche di gruppo, clima organizzativo.
- Comportamenti spontanei in situazione di stress e loro modalità di indirizzo e governo.
Abilità
- COORDINARSI CON LE ALTRE RISORSE PROFESSIONALI COINVOLTE NELL'ATTIVITÀ Coordinarsi con i propri colleghi e lavorare in gruppo in un contesto organizzativo. Recepire le indicazioni operative fornite dal proprio responsabile in merito alla modalità di realizzazione delle attività programmate, assumendo un atteggiamento collaborativo e propositivo. Interagire con risorse professionali interne alla struttura e impiegate in ruoli di responsabilità, dimostrando disponibilità a fornire ogni eventuale informazioni in possesso rispetto allo stato delle attività. Interagire con le risorse professionali esterne, che a vario titolo accedono al luogo di lavoro, in ragione del raggiungimento del comune obiettivo di servizio verso il cliente/beneficiario.
Valutare la qualità del proprio operato nell'ambito dell'erogazione di un servizio
Mostra abilità e conoscenze
Mostra abilità e conoscenze
Conoscenze
- Modalità operative di valutazione della qualità di un servizio.
- Aspetti di gestione della qualità di un processo di erogazione di servizi.
- Concetti di qualità promessa, erogata, attesa e percepita.
Abilità
- Valutare la qualità del servizio erogato Comprendere e applicare le procedure di qualità interne all'azienda; Percepire il grado di soddisfazione del cliente interno/esterno; Individuare le criticità e proporre interventi di miglioramento.
Lavorare in sicurezza in laboratorio e presso il cliente
Mostra abilità e conoscenze
Mostra abilità e conoscenze
Conoscenze
- Normative vigenti in materia di sicurezza, prevenzione infortuni, prevenzione incendi e igiene del lavoro, anche con riferimento agli obblighi previsti dal T.U.81/08 Fattori di rischio professionale ed ambientale, e successive disposizioni integrative e c
Abilità
- PREVENIRE E RIDURRE IL RISCHIO PROFESSIONALE, AMBIENTALE E DEL BENEFICIARIO Adottare stili e comportamenti idonei alla prevenzione e riduzione del rischio professionale ed ambientale. Adottare comportamenti per la prevenzione del rischio elettrico. Adottare comportamenti per la prevenzione degli incendi.
Gestire le relazioni tecniche e di servizio con il sistema cliente
Mostra abilità e conoscenze
Mostra abilità e conoscenze
Conoscenze
- Elementi di psicologia della comunicazione nell'erogazione di un servizio presso la sede del cliente.
- Elementi di comunicazione.
- Principi e modalità di realizzazione dell'ascolto attivo.
- Princìpi e modalità di trasmissione di conoscenze e competenze agli utilizzatori finali.
- Princìpi e modalità di prevenzione e gestione dei conflitti.
Abilità
- COMUNICARE IN MANIERA EFFICACE CON LE DIVERSE TIPOLOGIE DI CLIENTI/UTILIZZATORI Utilizzare codici e modalità di interazione diversi a seconda della tipologia dei clienti/utilizzatori, al fine di comprendere le problematiche, acquisire informazioni diagnostiche, trasmettere corretti protocolli d'uso e valorizzare il servizio svolto. Costruire relazioni di fiducia con il cliente, in modo tale che le proprie proposte risultino convincenti e vengano accolte con partecipazione. Adottare, nel caso in cui si rilevino malfunzionamenti dovuti ad errori d'uso da parte del cliente, atteggiamenti caratterizzati da tatto e persuasione, al fine non urtarne la sensibilità e favorire i processi di apprendimento. Adottare stili di comportamento improntati alla cordialità e alla cortesia e, in caso di eventi imprevisti e reclami, mantenere un atteggiamento caratterizzato da autocontrollo ed assunzione di responsabilità. Gestire in modo trasparente e positivo le eventuali criticità nell'erogazione del servizio.
Esercitare la professione nell'ambito dello European e-Competence Framework 3.0
Mostra abilità e conoscenze
Mostra abilità e conoscenze
Conoscenze
- Risorse informative a supporto della autovalutazione dei bisogni di sviluppo professionale
- Tipiche condizioni di esercizio della professione nell'ambito delle ICT
- Posizione delle professioni ICT nell'ambito dei CCNL
- European e-competence framework 3.0 e standard professionali (quale p.e. EUCIP) di riferimento
Abilità
- Conoscere e comprendere le caratteristiche del sistema professionale dell'informatica, sulla base dello European e-Competence Framework 3.0 Analizzare e comprendere la struttura professionale del settore ICT, utilizzando il Quadro Europeo delle competenze digitali. Posizionarsi nella struttura professionale, con attenzione alle sue specificità ed alle relazioni con gli altri profili in esso presenti. Utilizzare le risorse informative nazionali ed europee per comprendere le possibili evoluzioni ed i relativi fabbisogni di sviluppo.
- Definire le condizioni della prestazione professionale Comprendere le caratteristiche contrattuali tipiche dell'ambito professionale delle ICT. Negoziare le condizioni della prestazione professionale, a partire dal sistema contrattuale applicabile e dagli incentivi economici a disposizione del committente.
Definire le misure rivolte a garantire la sicurezza del sistema informatico
Mostra abilità e conoscenzeMostra attività
Mostra abilità e conoscenzeMostra attività
Conoscenze
- Fonti utilizzabili per aggiornamento delle conoscenze tecniche e giuridiche in materia di sicurezza del sistema informatico.
- Principali forme di crimini informatici: furto di dispositivi, phishing, cracking, furto d'identità. Istituzioni a cui rivolgersi in presenza di violazioni.
- Differenza fra siti web HTTP e HTTPS. Firewall e proxy.
- Principali requisiti legali relativi alla protezione dei dati personali. Direttiva Europea 95/46. Legislazione italiana. Garante per la protezione dei dati personali. Problematiche etiche legate al tracciamento sui luoghi di lavoro.
- Sicurezza di rete. Principali tipologie di attacco allo stack TCP/IP. Problemi di sicurezza di reti wireless.
- Impieghi illeciti e contraffazione dei dati. Rischi legati all'utilizzo fraudolento di DNS.
- Scopi, funzionamento e limitazione dei programmi antivirus.
- Tipologie di attacchi esterni basati su codice maligno: vulnerabilità, sfruttamento (trojan, virus, worm, ...), payload (adware, spyware, ...) Metodi di propagazione.
- Protezione dei dati e delle transazioni: cifratura simmetrica ed asimmetrica; crittografia, firme digitali, smart card, sistemi di autenticazione, chiavi pubbliche e private.
- Rischi relativi alla perdita dei dati: backup, soluzioni di disaster recovery e business continuity
- Traffico e intercettazione di dati: accesso abusivo, phishing e altre forme.
- Aspetti fondamentali della sicurezza delle informazioni: confidenzialità, integrità e disponibilità.
Abilità
- Definire le misure rivolte a garantire la sicurezza del sistema informatico Definire e sottoporre alla Direzione aziendale ipotesi di policy di sicurezza, procedure e conseguenti programmi di intervento. Definire ed applicare test di valutazione dell'efficacia delle soluzioni adottate a difesa del sistema informatico.
- Analizzare lo stato in essere del sistema informatico rispetto alle diverse dimensioni della sicurezza Aggiornare le proprie conoscenze sullo stato dell'arte tecnologico e normativo relativo alle diverse dimensioni della sicurezza. Analizzare le caratteristiche tecniche (risorse, configurazione, modalità di disaster recovery e business continuity) ed i comportamenti d'uso del sistema informatico rispetto agli aspetti di confidenzialità, integrità e disponibilità dei dati. Valutare i rischi di perdita della integrità dei dati, le minacce alla sicurezza ed i possibili usi fraudolenti o di violazione della privacy delle risorse informatiche, interne e da parte di terzi. Esprimere gli esiti della valutazione e del monitoraggio in termini di possibili impatti economici e giuridici.
| ADA |
|---|
ADA.14.01.18 - Sviluppo della Strategia per la Sicurezza Informatica (D1)RA1: Definire e rimodulare la strategie e le politiche aziendali di Information Security, a partire dalla individuazione di standard e requisiti legali di riferimento, curando anche gli aspetti organizzativi relativi alla sua implementazione Individuazione/definizione di standard, best practice e requisiti legali relativamente all’Information Security Interpretazione dati di security analytics Definizione della strategia aziendale sull’Information Security Definizione/aggiornamento e implementazione di politiche aziendali di Information Security Identificazione dei ruoli e delle responsabilità per la gestione dell’Information Security |
Effettuare interventi di prevenzione, difesa e ripristino delle condizioni di sicurezza
Mostra abilità e conoscenzeMostra attività
Mostra abilità e conoscenzeMostra attività
Conoscenze
- Centri di competenza esperti.
- Regole di comportamento da parte delle diverse tipologie di utilizzatori del sistema informatico.
- Modalità di valutazione degli impatti degli interventi, rivolte alla ricerca di soluzioni ottimali nel rapporto fra tempi, costi, risolutività ed impatti sull'operatività del business.
- Metodi e strumenti tecnici di prevenzione e di intervento.
Abilità
- Monitorare sistematicamente lo stato del sistema informatico rispetto alle diverse tipologie di rischi e minacce Applicare con sistematicità protocolli di analisi della vulnerabilità e dell'efficienza del sistema informatico, in termini di uso delle risorse, accessi, malfunzionamenti ed attacchi. Validare tecnica dei tool di sicurezza. Verificare il rispetto delle policy e delle procedure di uso appropriato del sistema informatico da parte degli utenti.
- Gestire le componenti critiche del sistema informatico ai fini della prevenzione, della difesa e del ripristino delle condizioni di sicurezza Applicare le policy di creazione e gestione degli account. Installare, configurare e manutenere le componenti hardware e software relative alla sicurezza, interagendo con le altre risorse con responsabilità di amministrazione del sistema. Svolgere la diagnosi delle criticità insorte. Mettere in sicurezza il sistema ed eseguire i primi interventi correttivi e di ripristino. Valutare l'eventuale bisogno di assistenza esperta, a fronte di problematiche complesse e/o di grande impatto sull'integrità e la vulnerabilità del sistema. Comunicare tempestivamente e con chiarezza i comportamenti necessari al fine di miminizzare gki impatti di eventuali attacchi alla sicurezza o criticità insorte.
| ADA |
|---|
ADA.14.01.22 - Gestione della Sicurezza dell'InformazioneRA1: Applicare protocolli di controllo e affrontamento di criticità relative alla sicurezza del sistema informativo, dando corso all’esecuzione di piani di ripristino in caso di crisi Controllo sistematico degli ambienti per individuare e registrare minacce , debolezze, non conformità Analisi degli asset critici dell’azienda per individuare vulnerabilità rispetto a intrusioni o attacchi Applicazione di misure di affrontamento di violazioni della sicurezza secondo i protocolli Esecuzione del piano di ripristino in caso di crisi RA2: Implementare politiche di sicurezza informativa e tendere al loro miglioramento nel tempo anche effettuando analisi comparative e realizzando audit, test e simulazioni Realizzazione auditing di sicurezza Definizione di piani di ripristino Analisi di benchmarking per il miglioramento delle procedure di gestione della sicurezza Predisposizione e utilizzo di un risk inventory Realizzazione di test della resilienza, anche di tipo simulativo |
Formare le risorse aziendali alla gestione della sicurezza
Mostra abilità e conoscenze
Mostra abilità e conoscenze
Conoscenze
- Fattori di blocco dell'apprendimento e modalità di loro superamento.
- Modalità di rilevazione dei fabbisogni di conoscenza e corretto comportamento d'uso delle tecnologie ICT.
- Modalità di valutazione di percepiti ed impatti della formazione.
- Principi e metodi di trasmissione di conoscenze e schemi di comportamento ad adulti.
Abilità
- Trasmettere conoscenze e schemi di comportamento in materia di sicurezza informatica Definire, per ogni ruolo, i possibili problemi legati alla sicurezza del sistema informatico, nei suoi diversi aspetti. Analizzare i fabbisogni di informazione, qualificazione ed aggiornamento dei comportamenti operativi verso le risorse informatiche, tenendo conto delle conoscenze generale sulle tecnologie digitali già in essere. Progettare interventi formativi mirati, ottimizzando l'impegno delle risorse. Erogare interventi collettivi ed individuali, anche secondo modalità digitali e valutarne gli esiti.
