Dati completi della Figura professionale

Figura: 179 - responsabile della sicurezza di reti informatiche e della protezione di dati


Torna all'Elenco


apri/chiudi Figura professionale
Codice 179
Denominazione Figura responsabile della sicurezza di reti informatiche e della protezione di dati
Denominazione Sintetica responsabile sicurezza sistemi informativi (Security manager)
Settori di riferimento informatica
Ambito di attività produzione di beni e servizi
Livello di complessità gruppo-livello C
Descrizione Pianifica, mette in atto e verifica tutte le misure necessarie a garantire ad un sistema informativo un livello di sicurezza adeguato alle caratteristiche dei dati e delle applicazioni in esso contenuti e conforme alle previsioni normative vigenti.
Si occupa della progettazione e dell'implementazione delle misure atte ad assicurare la sicurezza fisica della rete informatica e la protezione dei dati, organizzando le procedure di backup e predisponendo i piani di disaster recovery dei sistemi informatici.
Pianifica ed implementa le misure per la sicurezza logica, definendo le policy per le autorizzazioni ed il controllo degli accessi alla rete informatica e predisponendo gli audit per la verifica del livello effettivo di sicurezza e di protezione dei dati.
Assicura il rispetto delle previsioni normative in materia di privacy e tutela dei dati personali, verificando la corretta adozione delle misure di sicurezza previste dal D. Lgs 196/2003 e predisponendo il DPS (Documento Programmatico per la Sicurezza).
Coordina le procedure organizzative per prevenire e reagire ad un eventuale attacco informatico e gestisce le situazioni di crisi conseguenti ad una violazione del sistema informativo ripristinandone il corretto funzionamento, individuando i dati violati ed identificando, se possibile, gli autori dell'attacco.
Propone infine al responsabile dei sistemi informativi gli aggiornamenti e le modifiche alle componenti hardware e software ed alle procedure organizzative necessarie per garantire il mantenimento di un adeguato livello di sicurezza del sistema.
Tipologia Rapporti di lavoro La tipologia contrattuale più frequente è il rapporto di lavoro dipendente, a tempo indeterminato o più raramente determinato, in software house o aziende di dimensione medio-grande dotate di un proprio sistema informativo. E' possibile, anche se non molto frequente, trovare figure che lavorano con rapporto di lavoro autonomo o di collaborazione, in particolare se svolgono funzioni di auditing o di supporto esterno alla struttura interna.
Collocazione contrattuale Nel caso di rapporto di lavoro dipendente, trova collocazione come impiegato di livello medio o medio-alto: può anche diventare quadro o dirigente in aziende di dimensione media o grande, nel caso in cui gestisca la sicurezza di sistemi informativi critici o molto complessi. I Contratti di lavoro più applicati sono, nel caso di impiego presso aziende specializzate nella information security, quelli del settore Metalmeccanico o del Commercio; nel caso di aziende che gestiscono in proprio i sistemi informativi può essere quello relativo al settore in cui opera l'azienda.
Collocazione organizzativa Lavora con un ampio margine di autonomia e importanti responsabilità operative nell'ambito delle politiche di gestione della sicurezza definite dalla direzione Sistemi informativi. In genere risponde direttamente al Responsabile dei Sistemi Informativi o al Responsabile dell'Organizzazione, coordinando il personale tecnico di supporto e curando i rapporti con i fornitori esterni di hardware e software per la sicurezza.
Opportunità sul mercato del lavoro Il grande sviluppo di Internet, la costruzione di reti di sempre maggiore complessità e l'aumento esponenziale degli attacchi informatici comporta ottime prospettive occupazionali. La figura è una delle più richieste e non ha difficoltà a trovare lavoro se in possesso delle necessarie competenze tecniche ed organizzative.
Percorsi formativi Dati i forti contenuti tecnici del profilo è indicato il possesso di una laurea in Informatica o in Ingegneria Informatica, oppure di un'altra laurea, preferibilmente scientifica, integrata da corsi di formazione e/o specializzazione sulla sicurezza dei sistemi informativi. Sono molto importanti anche l'esperienza sul campo e il training on the job, per acquisire la capacità di reagire efficacemente alle situazioni di crisi prendendo decisioni critiche con la necessaria rapidità.
Fonti documentarie Repertorio Regionale delle Figure Professionali della Regione Toscana
Indice di Occupabilità Nessun indice specificato per la figura selezionata.

apri/chiudi Classificazioni
Repertorio ISCO 1988
213 - Computing professionals
214 - Architects, engineers and related professionals
ISTAT Professioni
2.1.1.4 - Informatici e telematici
2.2.1.4 - Ingegneri elettronici e in telecomunicazioni
ATECO 2007
62.02.00 - Consulenza nel settore delle tecnologie dell'informatica
62.03.00 - Gestione di strutture e apparecchiature informatiche hardware - housing (esclusa la riparazione)
63.11.30 - Hosting e fornitura di servizi applicativi (ASP)

apri/chiudi Unità di Competenze
Codice UC - 1140
Denominazione AdAanalisi dei rischi per la sicurezza del sistema informativo
Descrizione della performanceanalizzare i rischi per la sicurezza del sistema informativo nel suo complesso e di tutte le sue componenti, per individuare i possibili punti di attacco al sistema e le contromisure che possono essere adottate per eliminare o ridurre le probabilità di successo degli attacchi
Capacità/Abilità
  • analizzare i requisiti richiesti al sistema informativo dalle previsioni normative vigenti in materia di privacy e sicurezza informatica
  • analizzare l'architettura del sistema informativo per individuare i possibili punti di attacco al sistema o alle informazioni in esso contenute
  • elaborare un documento con la valutazione dei rischi per la sicurezza del sistema informativo, contenente l'analisi delle minacce e delle vulnerabilità individuate e delle possibili contromisure
  • individuare le vulnerabilità dell'architettura, delle apparecchiature hardware, del software e dei processi di gestione del sistema informativo, per individuare quelle che possono essere sfruttate per portare con successo un attacco informatico
  • interagire in maniera efficace con i responsabili dei vari livelli decisionali, comunicando in maniera rapida e chiara gli elementi decisivi per le scelte strategiche in materia di sicurezza dei sistemi informativi
Conoscenze
  • architettura hardware e software dei sistemi di elaborazione elettronica, con particolare riferimento ai punti di forza e di debolezza in relazione alle esigenze di sicurezza e protezione dei dati
  • fondamenti teorici della sicurezza dei sistemi informativi, per operare una corretta valutazione dei rischi legati alle componenti hardware e software del sistema
  • metodologie di analisi dei rischi per la sicurezza di un sistema informativo, per quantificare la probabilità che una minaccia sfrutti una vulnerabilità per portare un attacco al sistema
  • protocolli, connessioni e apparecchiature di rete, per analizzare i rischi per la sicurezza legati alle componenti del sistema informativo dedicate al networking
  • tipologia delle potenziali minacce all'integrità, riservatezza e disponibilità delle informazioni e delle risorse di un sistema informativo o di una rete, per analizzare i relativi rischi
Codice UC - 1141
Denominazione AdAprogettazione ed implementazione delle misure tecniche per la sicurezza del sistema informativo
Descrizione della performanceprogettare ed implementare tutte le misure tecniche, relative sia alle componenti hardware che software, necessarie per assicurare al sistema informativo un livello di sicurezza informatica che consenta di ridurre il rischio entro limiti ritenuti accettabili
Capacità/Abilità
  • definire le credenziali di autenticazione per l'identificazione degli utenti autorizzati ad accedere al sistema informativo, prevedendo l'utilizzo delle tecniche più appropriate (user-id, password, smart card, sistemi biometrici, ecc...)
  • definire profili di accesso selettivi, individuali o per gruppi omogenei, basati su effettive necessità operative o su autorizzazioni preventivamente approvate
  • installare e configurare sistemi di autenticazione, autorizzazione e controllo degli accessi che garantiscano la sicurezza del sistema informativo senza creare difficoltà agli utenti autorizzati
  • installare e configurare un efficace ed efficiente software antivirus per l'individuazione e la rimozione dei programmi informatici finalizzati alla violazione o al danneggiamento del sistema informativo
  • installare e configurare un proxy, per garantire la sicurezza, la riservatezza e l'integrità delle connessioni tra client e server
  • rafforzare l'architettura della rete con la creazione di zone demilitarizzate (dmz), per la protezione della rete informatica e del sistema informativo dai tentativi di attacco e violazione provenienti dall'esterno
  • utilizzare programmi di crittografia e cifratura per la protezione dei dati contenuti nel sistema informativo e delle comunicazioni con l'esterno
Conoscenze
  • caratteristiche e funzionalità dei firewall, per controllare il traffico fra due o più reti, permettendo solo quello autorizzato e rilevando e segnalando eventuali tentativi di violazione delle politiche di sicurezza definite
  • caratteristiche e funzionalità dei programmi informatici di network scanning ed intrusion detection, per individuare e neutralizzare i tentativi di accesso non autorizzato al sistema informativo
  • caratteristiche e funzionalità dei proxy, per controllare le connessioni e il traffico tcp/ip da client a server in modo da impedire intrusioni e violazioni del sistema informativo
  • sistemi di autorizzazione degli accessi al sistema informativo, per assicurare l'accesso degli utenti autenticati soltanto ad aree predefinite del sistema
  • tipologie e caratteristiche degli attacchi al sistema informativo a livello di ip, tcp/udp, protocollo applicativo, applicazione, utente, per operare una corretta configurazione del sistema di protezione e del firewall, in modo da prevenire e controllare le violazioni del sistema informativo
  • tipologie e logiche di funzionamento dei programmi informatici creati per la violazione o il danneggiamento dei sistemi informativi (virus, worm, trojan, malware, ecc...)
Codice UC - 1142
Denominazione AdAdefinizione ed adozione delle misure organizzative per la sicurezza del sistema informativo
Descrizione della performancedefinire ed adottare tutte le misure organizzative, relative sia al personale che alle infrastrutture, necessarie per garantire al sistema informativo un livello di sicurezza che consenta di ridurre il rischio entro limiti ritenuti accettabili
Capacità/Abilità
  • definire gli strumenti, l'organizzazione, i ruoli e le responsabilità per garantire una corretta gestione della sicurezza del sistema informativo
  • elaborare i piani di disaster recovery e business continuity che, in caso di incidente grave o interruzione per cause non controllabili, consentano il mantenimento o il ripristino nel più breve tempo possibile della corretta funzionalità del sistema informativo
  • organizzare le procedure per il controllo dei log, degli accessi e del traffico verso l'esterno del sistema informativo
  • organizzare una gestione efficace delle emergenze, con una chiara definizione dei ruoli e delle procedure ed una corretta attribuzione delle responsabilità in caso di incidente o attacco informatico
  • programmare un piano di audit e controlli sulla sicurezza, per verificare l'effettivo livello di protezione del sistema informativo
Conoscenze
  • metodologie per l'organizzazione di un sistema di internal auditing, per verificare l'effettivo livello di sicurezza dei sistemi informativi
  • strumenti e tecnologie per la protezione fisica delle strutture, per assicurare la sicurezza dei locali e delle componenti del sistema informativo dai rischi ambientali connessi ad interruzioni dell'alimentazione, incidenti, danneggiamenti, calamità naturali, ecc...
  • tecniche di analisi dei costi e dei benefici dell'adozione di modelli organizzativi finalizzati all'incremento del livello di sicurezza dei sistemi informativi
  • tecniche di backup e di restore dei sistemi informativi, per creare copie di sicurezza dalle quali recuperare i dati e ripristinare la funzionalità dei programmi in caso di incidente (per guasti, malfunzionamenti, errori, manomissioni, etc.)
  • tecniche di progettazione dell'organizzazione per la sicurezza, per definire una corretta divisione delle responsabilità ed una chiara definizione delle funzioni con l'eliminazione delle possibili sovrapposizioni
  • tipologie dei possibili attacchi al sistema informativo, per predisporre per ognuna di esse le adeguate contromisure sul piano organizzativo
Codice UC - 1143
Denominazione AdAgestione della sicurezza e manutenzione del sistema
Descrizione della performancegestire le procedure e svolgere le operazioni necessarie per una corretta gestione della sicurezza del sistema informativo, garantendo una costante verifica ed un continuo aggiornamento delle misure adottate, ai fini del contenimento dei rischi entro limiti definiti accettabili
Capacità/Abilità
  • controllare e bloccare il traffico interno ed esterno che costituisca una potenziale minaccia alla sicurezza del sistema informativo
  • gestire efficacemente le situazioni di crisi e di violazione del sistema informativo, riportando il sistema ad un corretto funzionamento, individuando i dati violati ed identificando se possibile gli autori della violazione
  • installare le patch di aggiornamento del sistema operativo e dei vari software di protezione del sistema informativo, dopo averne verificato l'autenticità e l'integrità
  • ripristinare rapidamente l'integrità, il corretto funzionamento ed il necessario livello di sicurezza in seguito ad una violazione tentata o riuscita della sicurezza del sistema informativo
  • testare periodicamente il funzionamento dei piani di business continuity e disaster recovery anche attraverso simulazioni di incidenti ed attacchi al sistema informativo, per valutarne la reale efficacia ed efficienza in caso di necessità
  • verificare l'aggiornamento, l'efficacia e l'efficienza del software antivirus installato per la protezione del sistema informativo
  • verificare l'effettivo rispetto di tutte le misure di sicurezza tecniche ed organizzative definite da parte di tutte le funzioni aziendali interessate
Conoscenze
  • metodologie e strumenti per l'effettuazione di penetration test, per individuare le vulnerabilità del sistema informativo prima che siano sfruttate da utenti malintenzionati
  • strumenti di rafforzamento (hardening) dei servizi e dei protocolli di rete, per incrementarne la robustezza in relazione a tentativi di violazione effettivi o possibili
  • sviluppo dei sistemi e delle nuove tecnologie per la sicurezza dei sistemi informativi, per valutare i possibili aggiornamenti delle misure di protezione in relazione all'evoluzione tecnologica
  • tecniche di attacco e metodologie di difesa dei sistemi informativi, per ridurre le probabilità di successo dei tentativi di violazione del sistema informativo
  • tecniche di risk management, per una corretta gestione dei rischi legati alla sicurezza del sistema informativo
  • tecniche di social engineering, per individuare preventivamente le vulnerabilità del sistema informativo ad attacchi che si basino sulle debolezze del fattore umano
Codice UC - 1144
Denominazione AdAgestione degli aspetti legali ed amministrativi legati alla sicurezza dei sistemi informativi
Descrizione della performancegarantire il rispetto degli adempimenti previsti dalle leggi vigenti, con particolare riferimento alle norme in materia di privacy e sicurezza informatica, per minimizzare i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme ai sensi del d. lgs. 196/2003 e successive modificazioni
Capacità/Abilità
  • definire procedure tecniche conformi alle normative vigenti per consentire l'accesso ai dati da parte del titolare o del responsabile del trattamento anche in assenza degli incaricati
  • definire un piano di formazione ed addestramento in materia di sicurezza informatica e di privacy per gli incaricati del trattamento dei dati personali, gli amministratori e gli utenti del sistema informativo
  • elaborare e tenere aggiornato il documento programmatico sulla sicurezza (dps) secondo le scadenze previste dal d.lgs. 196/2003 (codice sulla privacy)
  • minimizzare i rischi di distruzione o perdita (anche accidentale) dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme ai sensi della vigente normativa su privacy e tutela dei dati, secondo quanto stabilito dal d. lgs. 196/2003 e successive modificazioni
  • pianificare e svolgere attività di internal auditing e verifica dell'adeguatezza delle misure di sicurezza adottate per ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati, accesso non autorizzato e trattamento non consentito o non conforme alle finalità della raccolta
  • verificare in caso di outsourcing di parti del sistema informativo il rispetto delle norme vigenti in relazione al trattamento dei dati personali da parte dell'outsourcer
Conoscenze
  • misure di sicurezza obbligatorie previste dalle vigenti normative in materia di privacy, tutela dei dati personali e sicurezza informatica, per assicurare il rispetto della legge e ridurre i rischi di sanzioni penali ed amministrative
  • normativa in materia di privacy e sicurezza dei dati personali (d. lgs 196/2003 e successive modificazioni), per aver un quadro completo degli obblighi e delle sanzioni previsti
  • normative in materia di copyright, diritto d'autore e tutela del software, per assicurarne il rispetto nella gestione del sistema informativo
  • responsabilità civili e penali connesse alla violazione della sicurezza informatica, per valutare concretamente i rischi di sanzioni penali o amministrative legate alla gestione del sistema informativo
  • tipologie di dati personali comuni e sensibili, per valutare correttamente gli obblighi previsti dalla normativa in relazione alla tipologia di dati presenti nelle varie aree del sistema informativo

apri/chiudi Format Attestati e Verbali d'Esame