Tecnico della sicurezza informatica/digitale

SEP
14. Servizi digitali
REPERTORIO
Marche

Descrizione

Il Tecnico della sicurezza informatica/digitale si occupa di analizzare i rischi per la sicurezza del sistema informativo, cerca soluzioni per evitare intrusioni e attacchi informatici, verifica le criticità rilevate attraverso test e auditing di controllo al fine di implementare le procedure interne di sicurezza informatica, quando necessario. Svolge la propria attività in contesti organizzativi strutturati (in forma di dipendente o come collaboratore) o in forma autonoma cooperando con colleghi, rapportandosi con responsabili e con soggetti terzi ed utenti.

ADA associate alla qualificazione

ADA.14.01.22Gestione della Sicurezza dell'Informazione

Competenze

Gestione in sicurezza di mansioni che richiedano l'uso prolungato del videoterminale
Mostra abilità e conoscenze
Conoscenze
  • Concetti generali in tema di prevenzione e sicurezza sul lavoro (rischio, danno, prevenzione, protezione, organizzazione della prevenzione aziendale, diritti e doveri dei vari soggetti aziendali, organi di vigilanza, controllo, assistenza)
  • Rischi caratteristici del settore o comparto di appartenenza dell'azienda e specifici riferiti alla mansione (ad es. derivanti da eccessivo carico di lavoro, scarsa autonomia, risorse disponibili insufficienti, conflitti e comportamenti negativi, posizione nella organizzazione non gratificante ed insufficiente gestione del cambiamento, ecc.) e conseguenti modalità di lavorazione in sicurezza, misure e procedure di prevenzione e protezione, antincendio, esodo e primo soccorso
  • Uso e manutenzione dei dispositivi di protezione individuale (DPI)
Abilità
  • Adoperarsi direttamente per eliminare o ridurre emergenze o pericoli che possono verificarsi all'interno dell'azienda
  • Utilizzare in modo adeguato e secondo le prescrizioni, le attrezzature e i macchinari da lavoro, le sostanze tossiche, i mezzi di movimentazione e trasporto e i dispositivi di sicurezza e quelli di protezione individuale
  • Operare applicando tecniche adeguate ad eseguire in condizioni di sicurezza le mansioni che richiedano l'uso prolungato del videoterminale
  • Contribuire a eliminare o ridurre emergenze o pericoli che possono verificarsi all'interno del contesto di lavoro
Analisi dei rischi per la sicurezza e privacy del sistema informatico
Mostra abilità e conoscenzeMostra attività
Conoscenze
  • Normativa di riferimento in ambito privacy e sicurezza informatica
  • Tipologie di incidenti di sicurezza
  • Caratteristiche e tipologie di applicazioni informatiche
  • Caratteristiche e tipologie di architetture di rete
  • Caratteristiche e tipologie degli standard di riferimento per le tecniche privacy-preserving (ISO, IETF)
  • Principali tipologie di vulnerabilità e tecniche di attacco dei sistemi informatici
  • Caratteristiche e funzionamento dei protocolli applicativi per lo scambio di informazioni
  • Caratteristiche e funzionamento degli strumenti tecnologici per la verifica tecnica delle vulnerabilità e degli attacchi di rete
  • Caratteristiche e tipologie di standard e protocolli di crittografia
  • Strumenti e metodi di analisi per la sicurezza informatica
  • Terminologia tecnica specifica, anche in lingua Inglese, del settore informatico
  • Caratteristiche e tipologie di standard e principali tecnologie utilizzate in sistemi cloud
Abilità
  • Analizzare l'architettura delle applicazioni informatiche
  • Analizzare l'architettura delle architetture di rete
  • Individuare eventuali dati sensibili presenti all'interno del sistema informatico
  • Identificare punti di vulnerabilità ed eventuali criticità del sistema informatico
  • Reperire le informazioni relative a bug noti di sicurezza informatica
  • Eseguire una incident analysis del sistema informatico e compilare il relativo report
ADA
ADA.14.01.22 - Gestione della Sicurezza dell'Informazione

RA1: Applicare protocolli di controllo e affrontamento di criticità relative alla sicurezza del sistema informativo, dando corso all’esecuzione di piani di ripristino in caso di crisi

Controllo sistematico degli ambienti per individuare e registrare minacce , debolezze, non conformità
Analisi degli asset critici dell’azienda per individuare vulnerabilità rispetto a intrusioni o attacchi
Applicazione di misure di affrontamento di violazioni della sicurezza secondo i protocolli
Esecuzione del piano di ripristino in caso di crisi

RA2: Implementare politiche di sicurezza informativa e tendere al loro miglioramento nel tempo anche effettuando analisi comparative e realizzando audit, test e simulazioni

Realizzazione auditing di sicurezza
Definizione di piani di ripristino
Analisi di benchmarking per il miglioramento delle procedure di gestione della sicurezza
Predisposizione e utilizzo di un risk inventory
Realizzazione di test della resilienza, anche di tipo simulativo
Realizzazione di auditing interni di sicurezza informatica
Mostra abilità e conoscenzeMostra attività
Conoscenze
  • Caratteristiche e funzionamento degli strumenti tecnologici per la verifica tecnica delle vulnerabilità e degli attacchi di rete
  • Tipologie di incidenti di sicurezza
  • Tecniche di rilevazione di un attacco alla rete (es.: ricognizione, scansione, intrusione)
  • Normativa di riferimento in ambito privacy e sicurezza informatica
  • Strumenti e principi di auditing interno (es: OWASP)
  • Terminologia tecnica specifica, anche in lingua Inglese, del settore informatico
  • Caratteristiche e tipologie di strumenti di testing automatico (UI testing, API testing, penetration testing, ecc.)
  • Caratteristiche e metodi di compilazione di report tecnici
  • Caratteristiche e tipologie di standard e protocolli di crittografia
  • Principali tipologie di vulnerabilità e tecniche di attacco dei sistemi informatici
Abilità
  • Individuare strumenti di auditing in linea con la normativa e gli standard di riferimento sul mercato
  • Eseguire audit interni per monitorare la sicurezza del sistema informatico
  • Eseguire test di sicurezza interni per le verifica della funzionalità e sicurezza del sistema informatico
  • Effettuare malware analysis sul sistema informatico
  • Rilevare eventuali criticità del sistema informatico
  • Valutare gli impatti sul sistema informatico dovuti alle criticità individuate
  • Individuare attività correttive sulla base della criticità individuata
  • Compilare report tecnico sui risultati dei test di sicurezza effettuati
ADA
ADA.14.01.22 - Gestione della Sicurezza dell'Informazione

RA1: Applicare protocolli di controllo e affrontamento di criticità relative alla sicurezza del sistema informativo, dando corso all’esecuzione di piani di ripristino in caso di crisi

Controllo sistematico degli ambienti per individuare e registrare minacce , debolezze, non conformità
Analisi degli asset critici dell’azienda per individuare vulnerabilità rispetto a intrusioni o attacchi
Applicazione di misure di affrontamento di violazioni della sicurezza secondo i protocolli
Esecuzione del piano di ripristino in caso di crisi

RA2: Implementare politiche di sicurezza informativa e tendere al loro miglioramento nel tempo anche effettuando analisi comparative e realizzando audit, test e simulazioni

Realizzazione auditing di sicurezza
Definizione di piani di ripristino
Analisi di benchmarking per il miglioramento delle procedure di gestione della sicurezza
Predisposizione e utilizzo di un risk inventory
Realizzazione di test della resilienza, anche di tipo simulativo
Implementazione delle misure di protezione del sistema informatico
Mostra abilità e conoscenzeMostra attività
Conoscenze
  • Caratteristiche e tipologie di strumenti di protezione delle architetture di rete
  • Caratteristiche e tipologie di strumenti di protezione delle applicazioni
  • Caratteristiche e tipologie di standard e principali tecnologie utilizzate in sistemi cloud
  • Strumenti e metodi per la realizzazione di piani di escalation
  • Terminologia tecnica specifica, anche in lingua Inglese, del settore informatico
  • Principali tipologie di vulnerabilità e tecniche di attacco dei sistemi informatici
  • Caratteristiche e tipologie di standard e protocolli di crittografia
Abilità
  • Implementare strumenti di risk-mitigation conformi allo standard di mercato
  • Modificare il piano di protezione del sistema informatico in caso di criticità rilevate
  • Mettere in atto piani di escalation in caso di eventuale data-breach
  • Mettere in atto piani di escalation in caso di eventi esterni che infrangano le condizioni di sicurezza informatica minime
ADA
ADA.14.01.22 - Gestione della Sicurezza dell'Informazione

RA1: Applicare protocolli di controllo e affrontamento di criticità relative alla sicurezza del sistema informativo, dando corso all’esecuzione di piani di ripristino in caso di crisi

Controllo sistematico degli ambienti per individuare e registrare minacce , debolezze, non conformità
Analisi degli asset critici dell’azienda per individuare vulnerabilità rispetto a intrusioni o attacchi
Applicazione di misure di affrontamento di violazioni della sicurezza secondo i protocolli
Esecuzione del piano di ripristino in caso di crisi

RA2: Implementare politiche di sicurezza informativa e tendere al loro miglioramento nel tempo anche effettuando analisi comparative e realizzando audit, test e simulazioni

Realizzazione auditing di sicurezza
Definizione di piani di ripristino
Analisi di benchmarking per il miglioramento delle procedure di gestione della sicurezza
Predisposizione e utilizzo di un risk inventory
Realizzazione di test della resilienza, anche di tipo simulativo