PROFILI PROFESSIONALI RELATIVI ALLA SICUREZZA INFORMATICA Security Summit Roma 2013 Autore Fabio Guasconi
Relatore Fabio Guasconi Direttivo CLUSIT Direttivo di UNINFO Presidente del ISO/IEC JTC1 SC27 di UNINFO CISA, CISM, PCI-QSA, ITIL, ISFS, Lead Auditor 27001 & 9001 Socio ISACA Roma Co-founder Bl4ckswan S.r.l. Profili professionali relativi alla sicurezza informatica - Guasconi 2
Introduzione Le competenze professionali nel settore ICT sono in corso di definizione da lungo tempo ma esistono i primi framework condivisi a livello europeo (CEN Workshop Agreements): CWA 15983 - European e-competence Framework (e-cf) 2.0 CWA 16458 - European ICT Professional Profiles E le prime iniziative legislative, in Italia, che ne permettono l'adozione: Legge n 4, 14 gennaio 2013 D.lgs n 13, 16 gennaio 2013 Profili professionali relativi alla sicurezza informatica - Guasconi 3
e-cf 2.0 Dimensione 1 5 aree di competenza collegate ai processi di business ICT (PLAN, BUILD, RUN, ENABLE, MANAGE) Dimensione 2 36 e-competences Dimensione 3 5 livelli di abilità (allineati a EQF) per ogni e-competence Dimensione 4 esempi di conoscenze e capacità per ogni e-competence Profili professionali relativi alla sicurezza informatica - Guasconi 4
Profili professionali relativi alla sicurezza informatica - Guasconi 5
e-cf 2.0 Profili professionali relativi alla sicurezza informatica - Guasconi 6
e-cf 2.0 Profili professionali relativi alla sicurezza informatica - Guasconi 7
e-cf 2.0 Profili professionali relativi alla sicurezza informatica - Guasconi 8
CWA 16458 Profili professionali relativi alla sicurezza informatica - Guasconi 9
CWA 16458 Profili professionali relativi alla sicurezza informatica - Guasconi 10
CWA 16458 Profili professionali relativi alla sicurezza informatica - Guasconi 11
CWA 16458 Profili professionali relativi alla sicurezza informatica - Guasconi 12
UNI NORMA TECNICA UNI Attività professionali non regolamentate. Figure professionali operanti nel settore ICT Definizione dei requisiti di conoscenza, abilità e competenze Attualmente in fase di consultazione pubblica, riprende e traduce in italiano l'e-cf 2.0 ed elementi costitutivi della CWA 16458 Profili professionali relativi alla sicurezza informatica - Guasconi 13
Legge n 4, 14 gennaio 2013 Disposizioni in materia di professioni non organizzate 6.2 La qualificazione della prestazione professionale si basa sulla conformità della medesima a norme tecniche UNI ISO, UNI EN ISO, UNI EN e UNI, di seguito denominate «normativa tecnica UNI», di cui alla direttiva 98/34/CE del Parlamento europeo e del Consiglio, del 22 giugno 1998, e sulla base delle linee guida CEN 14 del 2010 6.3 I requisiti, le competenze, le modalità di esercizio dell'attività' e le modalità di comunicazione verso l'utente individuate dalla normativa tecnica UNI costituiscono principi e criteri generali che disciplinano l'esercizio autoregolamentato della singola attività professionale e ne assicurano la qualificazione. 9.1. Le associazioni professionali di cui all'art. 2 e le forme aggregative di cui all'art. 3 collaborano all'elaborazione della normativa tecnica UNI relativa alle singole attività professionali, attraverso la partecipazione ai lavori degli specifici organi tecnici o inviando all'ente di normazione i propri contributi nella fase dell'inchiesta pubblica, al fine di garantire la massima consensuali', democraticità e trasparenza. Le medesime associazioni possono promuovere la costituzione di organismi di certificazione della conformità per i settori di competenza, nel rispetto dei requisiti di indipendenza, imparzialità e professionalità previsti per tali organismi dalla normativa vigente e garantiti dall'accreditamento di cui al comma 2. Profili professionali relativi alla sicurezza informatica - Guasconi 14
D.lgs n 13, 16 gennaio 2013 Certificazione delle competenze 1.2 Al fine di promuovere la crescita e la valorizzazione del patrimonio culturale e professionale acquisito dalla persona nella sua storia di vita, di studio e di lavoro, garantendone il riconoscimento, la trasparenza e la spendibilità, il presente decreto legislativo definisce le norme generali e i livelli essenziali delle prestazioni per l individuazione e validazione degli apprendimenti non formali e informali e gli standard minimi di servizio del sistema nazionale di certificazione delle competenze Profili professionali relativi alla sicurezza informatica - Guasconi 15
Nuova iniziativa UNINFO Interazioni già predisposte CWA 16458 Generation 1: SIX FAMILIES e-cf 2.0 E.8 INFOSEC Management D.1 INFOSEC Strategy Development Generation 2: 23 EUROPEAN ICT PROFILES ICT Security Manager ICT Security Specialist e-cf 2.0 Skills Knowledge (parziali) Generation 3: CONTEXT SPECIFIC PROFILES Qualifications Certifications Attitudes Hierarchy Profili professionali relativi alla sicurezza informatica - Guasconi 16
Nuova iniziativa UNINFO Collegamento previsto con le certificazioni professionali Profili professionali relativi alla sicurezza informatica - Guasconi 17
Nuova iniziativa UNINFO Prime bozze di ipotesi di nuovi profili Profili professionali relativi alla sicurezza informatica - Guasconi 18
Nuova iniziativa UNINFO: TOR Individuare e definire con un ulteriore dettaglio le figure professionali relative alla sicurezza informatica di ICT Security Manager e ICT Security Specialist ed eventuali ulteriori figura professionali rilevanti per il contesto di mercato nazionale e nel medesimo campo di cui dovesse emergere l'esigenza, coerentemente con quanto definito nel CWA 16458. Definire le conoscenze, abilità e competenze relative alla sicurezza informatica e aggiungerle alle figure professionali individuate dell ICT Security Manager e dell ICT Security Specialist, proponendone al contempo l inserimento nelle altre figure rilevanti. Individuare il grado di copertura delle competenze definite dall European E-Competence Framework mutuabile attraverso le principali qualifiche e certificazioni professionali attinenti la sicurezza informatica attualmente presenti sul mercato nazionale. Profili professionali relativi alla sicurezza informatica - Guasconi 19
Nuova iniziativa UNINFO: TOR Estendere l insieme di deliverables e di KPI collegati con le figure professionali relative alla sicurezza informatica e connetterle opportunamente al fine di offrire un riferimento certo e un adeguata garanzia di qualità al mercato; Individuare e impostare gli opportuni collegamenti con le norme internazionali e nazionali rilevanti; Individuare ulteriori elementi di approfondimento significativi finalizzati al completamento delle figure professionali relative alla sicurezza informatica. Fornire un utile strumento al legislatore, in un ottica di complementarità tra la normazione tecnica volontaria e il settore cogente. Profili professionali relativi alla sicurezza informatica - Guasconi 20
Nuova iniziativa UNINFO Se il lavoro riuscirà a raggiungere i suoi obiettivi avremo: una tassonomia delle principali figure professionali di dettaglio legate alla sicurezza informatica a cui il mercato dell'offerta e della richiesta potrà fare riferimento un sistema in cui le sempre più numerose certificazioni professionali e i titoli di studio attinenti potranno incastonarsi e costituire i mattoni costitutivi dei profili professionali definiti al punto precedente un elemento cardine per guidare il settore della sicurezza informatica e anche le iniziative formative ad esso legate a indirizzarsi verso delle esigenze di mercato condivise e codificate Profili professionali relativi alla sicurezza informatica - Guasconi 21
Nuova iniziativa UNINFO Meeting costitutivo del GdL a partecipazione aperta 17 Giugno 2013, h. 10.30 UNI, Via Sannio 2, Milano Profili professionali relativi alla sicurezza informatica - Guasconi 22
Quaderno CLUSIT Il Quaderno CLUSIT sulle Certificazioni Professionali in Sicurezza Informatica è stato pubblicato per la prima volta nel 2005 ad opera di Giorgio Giudice, costituendo per anni una guida di fondamentale importanza per i professionisti impegnati in quest'area. Profili professionali relativi alla sicurezza informatica - Guasconi 23
Nuovo Quaderno CLUSIT Il nuovo Quaderno CLUSIT sulle Certificazioni Professionali in Sicurezza Informatica è stato preparato da Fabio Guasconi e Cesare Gallotti: Mantenendo l'impostazione complessiva precedente Aggiornando le certificazioni cestite ed estendendole da 50 a 73 Aggiungendo suddivisioni per aree tematiche Richiamando il tema degli sviluppi sui profili professionali Il Quaderno (disponibile solo online) verrà d'ora innanzi aggiornato annualmente in base ai commenti degli utenti in modo da mantenerlo costantemente in linea con le novità del mercato Profili professionali relativi alla sicurezza informatica - Guasconi 24
Nuovo Quaderno CLUSIT Indice Introduzione Certificazioni per le competenze sull organizzazione della sicurezza delle informazioni (13) Certificazioni per competenze organizzative e tecnologiche (20) Certificazioni per competenze tecnologiche non legate a prodotti specifici (16) Certificazioni per le competenze tecnologiche legate a prodotti specifici (24) Profili professionali relativi alla sicurezza informatica - Guasconi 25
Nuovo Quaderno CLUSIT Profili professionali relativi alla sicurezza informatica - Guasconi 26
Nuovo Quaderno CLUSIT Profili professionali relativi alla sicurezza informatica - Guasconi 27
Riferimenti e contatti UNINFO http://www.uninfo.it Quaderni CLUSIT http://www.clusit.it/download/ CEN ICT Skills (CWA) http://www.cen.eu/cen/sectors/sectors/isss/cwadownload/pages/ict-skills.aspx fguasconi@clusit.it Profili professionali relativi alla sicurezza informatica - Guasconi 28