DATI DI COPERTINA E PREMESSA DEL PROGETTO Attività professionali non regolamentate Professionista della Security Requisiti di conoscenza, abilità e competenza Non-regulated professions Professionals operating in the field security Definition of knowledge, skill and competence requirements ORGANO COMPETENTE Sicurezza della società e del cittadino CO-AUTORE SOMMARIO La norma definisce i requisiti relativi all attività professionale coinvolta nel processo di security, ossia la persona le cui conoscenze, abilità e competenze sono tali da garantire la gestione complessiva del processo. UNI - Milano. Riproduzione vietata. codice progetto: Tutti i diritti sono riservati. Nessuna parte di questo documento può essere riprodotta o diffusa con un mezzo qualsiasi, fotocopie, microfilm o altro, senza il consenso scritto di UNI.
DATI DI COPERTINA E PREMESSA DEL PROGETTO Questo testo NON è una norma UNI, ma è un progetto di norma sottoposto alla fase di inchiesta pubblica, da utilizzare solo ed esclusivamente per fini informativi e per la formulazione di commenti. Il processo di elaborazione delle norme UNI prevede che i progetti vengano sottoposti all'inchiesta pubblica per raccogliere i commenti degli operatori: la norma UNI definitiva potrebbe quindi presentare differenze -anche sostanziali- rispetto al documento messo in inchiesta. Questo documento perde qualsiasi valore al termine dell'inchiesta pubblica, cioè il: 30-08-14 UNI non è responsabile delle conseguenze che possono derivare dall'uso improprio del testo dei progetti in inchiesta pubblica. RELAZIONI NAZIONALI La presente norma sostituisce la UNI 10459:1995. RELAZIONI INTERN.LI PREMESSA La presente norma è stata elaborata sotto la competenza della Commissione Tecnica UNI@ Sicurezza della società e del cittadino@ @ La Commissione Centrale Tecnica dell'uni ha dato la sua approvazione il giorno mese anno. @ @ UNI - Milano. Riproduzione vietata. codice progetto: Tutti i diritti sono riservati. Nessuna parte di questo documento può essere riprodotta o diffusa con un mezzo qualsiasi, fotocopie, microfilm o altro, senza il consenso scritto di UNI.
Premessa Varianti rispetto all edizione precedente: - completamente rivista nell impostazione: la prima edizione della UNI 10459 è stata pubblicata il 15/05/1995. La presente edizione è stata maggiormente articolata per renderla adeguata all attuale contesto sociale ed economico; - aggiunte considerazioni sul contesto attuale (Legge 4/2013); - allineata allo schema delle norme sulle professioni non regolamentate, conformemente alle linee guida di indirizzo per le attività di normazione sulla qualifica delle professioni non regolamentate, che l UNI ha definito nell Aprile 2011; - il profilo si articola su tre livelli secondo la Raccomandazione EQF. 1
Introduzione 0.1. Il contesto Le regole generali, individuate da UNI, relative al metodo e alla struttura di tutte le norme relative alle attività professionali non regolamentate possono essere così sintetizzate: assicurare, nella fase pre-normativa, un costante monitoraggio del contesto legislativo pertinente, nazionale ed internazionale, procedendo ad una revisione triennale delle norme elaborate (in deroga alla tipica durata quinquennale delle norme tecniche); assicurare la coerenza con il Quadro Europeo delle Qualifiche (EQF), con particolare attenzione alla terminologia, alle modalità di espressione delle qualifiche e all applicazione del principio secondo il quale sono determinanti i risultati dell apprendimento e non il percorso effettuato per consentire la trasferibilità fra ambiti formali, informali e non formali. Pertanto, in genere, non vanno specificati requisiti vincolanti relativi alla formazione o all esperienza; garantire, per quanto possibile, il coinvolgimento di tutte le parti interessate, ai vari livelli pertinenti (per esempio: Regioni e Ministeri, Confederazioni nazionali delle imprese, organizzazioni rappresentanti delle PMI e dei Sindacati dei lavoratori, organizzazioni dei consumatori, organizzazioni rappresentative dei datori di lavoro, Albi professionali interessati, associazioni professionali, organismi di valutazione della conformità, organizzazioni non governative, Università ed Enti di ricerca, associazioni culturali, ecc); fornire specifiche indicazioni per i processi di valutazione e di convalida delle conoscenze, abilità e competenze. Il corpus normativo sulle attività professionali s inserisce inoltre nel contesto dell Unione Europea, come strumento utile alla mobilità delle persone e all abbattimento delle barriere alla libera circolazione del capitale umano. Nel caso del Professionista della Security occorre considerare quanto segue. Fattori di natura sia economico-competitiva sia socio-politica determinano dinamismi e complessità sempre crescenti alimentati dal convergere e dall'intrecciarsi di fenomeni quali l'instabilità sociale, i mutamenti politici ed economici, il rapido ed incessante sviluppo tecnologico, i continui processi di ristrutturazione, la progressiva dematerializzazione delle attività dell Organizzazione, la crescente apertura geografica alla competitività, l'intensificarsi dei rapporti internazionali ed il continuo proliferare di norme e leggi a livello locale, nazionale ed internazionale. La conseguenza è il costante moltiplicarsi dei fronti verso cui le organizzazioni sono costrette ad impegnarsi al fine di conservare la competitività e di mantenere integra nel tempo la capacità di ottenere soddisfacenti risultati economici. In particolare si è acquisita la consapevolezza che, indipendentemente dall'ambito di attività, l'equilibrio gestionale può essere alterato, se non addirittura definitivamente compromesso, da una serie di eventi di diversa natura. Ogni tipo di Organizzazione è costantemente esposta a minacce di natura dolosa, colposa o accidentale; ciò in relazione ai processi produttivi, alle azioni dei dipendenti, ai rapporti con l'esterno e, più in generale all'essere parte di un mondo globalizzato caratterizzato dall'incertezza e dalla conflittualità. Accanto, quindi, all'efficace gestione delle variabili competitive tradizionali, le organizzazioni hanno come obiettivo la tutela del patrimonio tangibile e intangibile, inteso nell'accezione più vasta del termine e quindi anche, e non in modo secondario, delle persone sia dell Organizzazione sia di quelle che con questa interagiscono, che si pone alla base dei processi di creazione del valore, assicurando così il mantenimento della capacità reddituale nel tempo. 2
Questa attività si realizza anche attraverso il ricorso alle tecniche di gestione per la qualità, per il contributo che esse possono dare sia alla riduzione dei costi, sia alla qualità di prodotti e servizi. 0.2. Approccio metodologico Alla luce di quanto sopra delineato, nello sviluppo della presente norma - così come di tutte le altre norme afferenti all ambito delle attività professionali non regolamentate - sono stati in primo luogo osservati i principi e le indicazioni di cui alla Raccomandazione 2008/C111/01 (EQF) e della Raccomandazione 2009/C 155/02 (ECVET). Dal punto di vista metodologico, si è stabilito in particolare che: - i termini e le definizioni di base adottate (ossia qualifica, conoscenza, abilità, competenza, apprendimento formale, apprendimento non-formale, apprendimento informale) sono in massima parte ripresi dall Allegato I dell EQF e dalla terminologia pertinente in vigore in ambito comunitario; - ai fini della declinazione dei requisiti di conoscenza, abilità e competenza delle specifiche figure professionali è necessario partire da una preliminare identificazione dei compiti e delle attività specifiche della figura professionale; - i requisiti delle specifiche figure professionali sono definiti in termini di conoscenza, abilità e competenza e sono stati inoltre identificati, per quanto applicabili, i comportamenti personali attesi (i.e. desired personal behaviours). È fornita inoltre una indicazione dei livelli associabili alla specifica attività professionale in accordo al Quadro Europeo delle Qualifiche (EQF); - sono definiti gli elementi utili circa le modalità di valutazione applicabili. Tali elementi sono stati sviluppati tenendo in debita considerazione quanto già consolidato nell articolato ambito della normazione tecnica volontaria, anche con riferimento al corpus normativo riguardante la valutazione della conformità (serie UNI CEI EN ISO/IEC 17000); - in Appendice A sono contenuti i prospetti che sviluppano i diversi livelli professionali del Professionista della Security dell Organizzazione; - in Appendice B è contenuto il prospetto che indica i requisiti per l accesso ai tre livelli professionali del Professionista della Security dell Organizzazione; - in Appendice C sono contenute le indicazioni relative agli aspetti etici e deontologici pertinenti; - in Appendice D sono contenute le indicazioni relative ai comportamenti personali; - in Appendice E sono contenute indicazioni su riferimenti legislativi applicabili. Sono state inoltre seguite, per quanto ritenuto pertinente, le linee guida specificate nella Guida CEN 14. 3
1 Scopo e campo di applicazione La norma definisce i requisiti relativi all attività professionale coinvolta nel processo di security, ossia la persona le cui conoscenze, abilità e competenze sono tali da garantire la gestione complessiva del processo o di rilevanti sotto-processi. In particolare la presente norma delinea tre livelli del profilo di professionista della security in funzione dei contesti organizzativi di diversa complessità e/o di attività nei quali opera, costituendo un utile supporto per le organizzazioni, che possono meglio orientare le scelte sul professionista con il livello più adatto alle proprie esigenze, così come per tutte le altre parti interessate. La norma prevede i seguenti livelli specialistici: 1. Professionista della Security dell Organizzazione di livello operativo (Security Expert): competente per una media complessità di security, considerata l Organizzazione e/o le attività svolte. 2. Professionista della Security dell Organizzazione di livello manageriale (Security Manager): competente per una medio-alta complessità di security, considerata l Organizzazione e/o le attività svolte. 3. Professionista della Security dell Organizzazione di alto livello manageriale (Senior Security Manager): competente per la massima complessità di security, considerata l Organizzazione e/o le attività svolte. In appendice A (normativa) è sviluppato un prospetto contenente i requisiti richiesti ai singoli livelli. Detti requisiti sono specificati, a partire dai compiti e dalle attività specifiche identificate, in termini di conoscenza, abilità e competenza in conformità al Quadro Europeo delle Qualifiche (European Qualifications Framework - EQF) e sono espressi in maniera tale da agevolare i processi di valutazione e convalida dei risultati dell apprendimento. Nota La certificazione delle persone in conformità alla UNI CEI EN ISO/IEC 17024 può essere un processo di valutazione e convalida. È inoltre riportato il livello dell attività professionale in conformità a quanto previsto dall EQF. Nella descrizione dell attività professionale è considerata la variabilità (anche molto marcata) di numerosi e differenti aspetti, tra i quali si segnalano: modalità e criteri di esecuzione della prestazione; competenze specifiche; aspettative e richieste del cliente; percorsi di formazione e apprendimento; valore aggiunto riconosciuto alla prestazione. In particolare, l eterogeneità delle aziende/organizzazioni italiane, in termini sia di dimensione (per esempio in termini di fatturato, numero di dipendenti, numero e tipologia di sedi, ecc.) sia di tipologia di attività, comporta diverse necessità di security, e quindi diversi livelli professionali e relative funzioni dell Organizzazione. 4
2 Riferimenti normativi La presente norma rimanda, mediante riferimenti datati e non, a disposizioni contenute in altre pubblicazioni. Tali riferimenti normativi sono citati nei punti appropriati del testo e sono di seguito elencati. Per quanto riguarda i riferimenti datati, successive modifiche o revisioni apportate a dette pubblicazioni valgono unicamente se introdotte nella presente norma come aggiornamento o revisione. Per i riferimenti non datati vale l'ultima edizione della pubblicazione alla quale si fa riferimento (compresi gli aggiornamenti). UNI CEI EN ISO IEC 17024:2012 Valutazione della conformità - Requisiti generali per organismi che eseguono la certificazione di persone 3 Termini e definizioni Ai fini del presente documento si applicano i termini e le definizioni seguenti: 3.1 qualifica: Risultato formale di un processo di valutazione e convalida, acquisito quando un ente/istituzione competente stabilisce che i risultati dell'apprendimento di una persona corrispondono a requisiti definiti in documenti normativi specificati. NOTA Adattata dall EQF, Allegato I, definizione a). 3.2 risultati dell apprendimento: Descrizione di ciò che una persona conosce, comprende ed è in grado di fare al termine di un processo di apprendimento. NOTA 1 I risultati sono descritti in termini di conoscenze, abilità e competenze. NOTA 2 I risultati dell apprendimento possono derivare da apprendimenti formali, non formali o informali. 3.3 valutazione dei risultati dell apprendimento: Metodi e processi utilizzati per definire la misura in cui una persona ha effettivamente conseguito una particolare conoscenza, abilità o competenza. 3.4 convalida dei risultati dell apprendimento: Processo di conferma che determinati risultati dell apprendimento valutati, ottenuti da una persona, corrispondono ai risultati specificati richiesti per una qualifica o per parte di essa. NOTA 1 La certificazione, in conformità alla UNI CEI EN ISO/IEC 17024, può essere un processo di valutazione e convalida. NOTA 2 Il riconoscimento di una qualifica da parte di un datore di lavoro o di altri enti/istituzioni preposte, secondo regole definite, può costituire processo di valutazione e convalida. 3.5 conoscenza: Risultato dell'assimilazione di informazioni attraverso l'apprendimento. NOTA 1 Le informazioni comprendono, ma non sono limitate a: fatti, principi, teorie, pratiche ed esperienze relative ad un settore di lavoro o di studio. NOTA 2 Nel contesto del Quadro europeo delle qualifiche (EQF) le conoscenze sono descritte come teoriche e/o pratiche. NOTA 3 Adattata dall EQF, Allegato I, definizione g). L apprendimento è dimostrato con il possesso dei requisiti formativi formali, non-formali e informali. 3. abilità: Capacità di applicare conoscenze per portare a termine compiti e risolvere problemi. NOTA 1 Nel contesto del Quadro europeo delle qualifiche (EQF) le abilità sono descritte come cognitive (comprendenti l'uso del pensiero logico, intuitivo e creativo) o pratiche (comprendenti l'abilità manuale e l'uso di metodi, materiali, strumenti). NOTA 2 Definizione adattata dall EQF, Allegato I, definizione h). 3.7 competenza: Comprovata capacità di utilizzare conoscenze, abilità e comportamenti personali in situazioni di lavoro o di studio e nello sviluppo professionale e personale, esercitabile con un determinato grado di autonomia e responsabilità. NOTA 1 Adattata dall EQF, Allegato I, definizione i). 5
NOTA 2 I comportamenti personali comprendono, in particolare, aspetti sociali e/o metodologici. 3.8 apprendimento formale: Apprendimento acquisito tramite formazione erogata da istituti scolastici o di formazione-addestramento riconosciuti da un autorità competente, con obiettivi, tempi e supporti di apprendimento strutturati. NOTA L apprendimento formale è posto in atto con la volontaria intenzione di attuare un processo formativo da parte dell allievo e porta alla certificazione del titolo di studio. 3.9 apprendimento non-formale: Apprendimento acquisito tramite formazione erogata da istituti di formazione-addestramento, non riconosciuti da un autorità competente, con obiettivi, tempi e supporti di apprendimento strutturati. NOTA L apprendimento non-formale è posto in atto con la volontaria intenzione di attuare un processo formativo da parte dell allievo e non porta tipicamente alla certificazione del titolo di studio. 3.10 apprendimento informale: Apprendimento acquisito tramite attività consuete relative al lavoro ed all ambito professionale, ma anche alle attività personali ed al tempo libero. NOTA L apprendimento informale non è strutturato e non porta alla certificazione del titolo di studio e, nella maggior parte dei casi, non è posto in atto con la volontaria intenzione di attuare un processo formativo. 3.11 ponderazione del rischio: Processo di comparazione dei risultati dell analisi del rischio rispetto ai criteri di rischio per determinare se il rischio e/o la sua espressione quantitativa sia accettabile o tollerabile. NOTA La ponderazione del rischio agevola la decisione circa il trattamento del rischio. [UNI ISO 31000, definizione 2.24 - Guida ISO 73:2009, definizione 3.7.1] 3.12 prevenzione: Insieme di misure organizzative, tecniche e tecnologiche volte a prevenire o quantomeno a ridurre le probabilità di accadimento di un evento sfavorevole. NOTA Adattata dalla definizione della UNI 11230 3.4.5. 3.13 processo di security: Complesso delle attività di valutazione, gestione, mitigazione, controllo e riesame del rischio security, gestite dal Professionista della Security. 3.14 professionista della Security: Professionista in possesso delle conoscenze, abilità e competenze nel campo della security tali da garantire la gestione complessiva del processo di security o di rilevanti sottoprocessi, in funzione del grado di complessità dell Organizzazione nella quale opera. Nota La figura si articola nei livelli indicati nello scopo e campo di applicazione: Security Expert, Security Manager, Senior Security Manager. 3.15 protezione dal rischio (risk protection - risk mitigation): Insieme di misure volte alla riduzione dell'entità delle conseguenze di un evento sfavorevole [gravità]. [UNI 11230:2007, definizione 3.4.] 3.1 security: Attività volta a prevenire, fronteggiare e superare gli eventi che possono verificarsi a seguito di azioni in prevalenza illecite e che espongono le persone e i beni (materiali e immateriali) dell Organizzazione a potenziali effetti lesivi e/o dannosi. NOTA Nell accezione del presente documento per azione illecita si intende non solo un comportamento antigiuridico (doloso e/o colposo), ma anche qualsiasi attività operata in contrasto con le procedure interne all Organizzazione. 3.17 trattamento del rischio: Processo per modificare il rischio. NOTA 1 Il trattamento del rischio può implicare: evitare il rischio decidendo di non iniziare o non continuare l attività che da origine ad esso; assumere o aumentare l esposizione al rischio al fine di cogliere un opportunità; rimuovere la fonte di rischio; modificare la verosimiglianza; modificare le conseguenze;
condividere il rischio con altra(e) parte(i) (compresi contratti e finanziamento del rischio); ritenere il rischio con una decisione informata, aumentando il livello delle misure di prevenzione e protezione. NOTA 2 I trattamenti del rischio che affrontano conseguenze negative sono talvolta denominati protezione dal rischio ( risk mitigation ), eliminazione del rischio, prevenzione del rischio, e riduzione del rischio. NOTA 3 Il trattamento del rischio può generare nuovi rischi o modificare rischi esistenti. [UNI ISO 31000, definizione 2.25 - Guida ISO 73:2009, definizione 3.8.1] 3.18 valutazione del rischio (risk assessment): Processo complessivo di identificazione del rischio, analisi del rischio e ponderazione del rischio che include la valutazione della minaccia. [adattata dalla UNI ISO 31000, definizione 2.14] 3.19 valutazione della security delle informazioni (information security assessment): Valutazione dei rischi di manipolazione e distruzione dei dati e delle relative contromisure necessarie. NOTA 1 Ciò include le contromisure fisse, per esempio firewall, antivirus, IDS e simili, come pure contromisure di tipo operativo e procedurale (per esempio, scadenza periodica e riemissione dei privilegi di accesso, verifica periodica dell adeguatezza dei soggetti depositari). NOTA 2 Una valutazione di security delle informazioni di solito include dei suggerimenti per migliorare le contromisure esistenti; questo miglioramento può essere necessario per ridurre il rischio. Sovente, una valutazione di security delle informazioni comprende una serie di standard minimi, da utilizzare come guida per valutare le condizioni esistenti ed elaborare delle raccomandazioni migliorative. 3.20 valutazione della security fisica (physical security assessment): Valutazione dei rischi di illecita intrusione e di effrazione a fini criminali e delle relative contromisure da attuare nel sito da proteggere. NOTA 1 In questa analisi sono comprese le contromisure di natura fissa, per esempio serrature, porte blindate, dissuasori, vetri stratificati e simili, come pure le contromisure di tipo tecnologico, operativo e procedurale. Una valutazione di security fisica normalmente include suggerimenti per il miglioramento delle contromisure esistenti, che potrebbe essere richiesto per ridurre il rischio. NOTA 2 Sovente, una valutazione di security fisica comprende riferimenti a serie di standard minimi, da utilizzare come guida per valutare le condizioni esistenti ed elaborare delle raccomandazioni migliorative. 3.21 valutazione di vulnerabilità (vulnerability assessment): Valutazione che fornisce un valore quantitativo all'impatto sul sito in esame del verificarsi di uno specifico scenario di minaccia, sulla base di condizioni esistenti o prevedibili. NOTA La valutazione di vulnerabilità valuta il danno potenziale ed il danno alle persone, che possono derivare dalla perpetrazione di ogni singolo scenario di attacco. Questa attività offre una base di riferimento per determinare i benefici potenziali che potrebbero essere ottenuti dal miglioramento di misure di security, anche di tipo strutturale. 4 Compiti e attività specifiche del Professionista della Security L articolazione e lo sviluppo della funzione dipendono in via principale dalla tipologia dell Organizzazione. Il tipo di attività, business, processi, il numero di sedi, personale impiegato, fatturato, risorse economiche, la dimensione territoriale, influiscono sulle necessità dell Organizzazione e, quindi, sulla funzione di security di cui questa vorrà dotarsi. Si possono identificare le seguenti aree di responsabilità che rientrano nella funzione del professionista della security: analisi dei rischi di security; antifrode; antintrusione; attività formativa/informativa al personale dell Organizzazione sui rischi di security; audit tecnico di security; 7
business/competitive intelligence; conformità alle prescrizioni legali e alle altre prescrizioni sottoscritte che riguardano la security; coordinamento dei sistemi integrati di sicurezza delle strutture; coordinamento della continuità operativa (Business Continuity e Disaster Recovery); coordinamento delle risorse umane ed economiche di security; gestione della vigilanza privata; gestione delle crisi (Crisis Management); gestione delle investigazioni private affidate a terzi; gestione e protezione dei dati sensibili; gestione e protezione delle informazioni classificate; investigazioni; monitoraggio e reporting di security; protezione da spionaggio industriale; protezione di Infrastrutture critiche; protezione e tutela del management dell Organizzazione; rapporti con le Forze di polizia e Forze armate, agenzie e istituzioni pubbliche; sicurezza informatica (ICT Security); supervisione della gestione di contratti di security; supporto al datore di lavoro per la tutela dei lavoratori dai rischi di origine criminosa. Un Professionista della Security potrebbe essere coinvolto, a vario titolo, nella gestione (strategica, tattica o operativa) di ognuna di queste aree singolarmente, di loro combinazioni o di tutte insieme. Ne consegue che: il processo di security, pur mantenendo una struttura di base uniforme, si può comporre in maniera variabile delle aree di interesse sopra esposte, in relazione all Organizzazione in cui viene sviluppato; il coinvolgimento del Professionista della Security può avvenire a livelli diversi; pertanto i requisiti di competenza, abilità e conoscenza dovrebbero essere adattati a tali livelli. 5 Conoscenze, abilità e competenze del Professionista della Security (profilo di riferimento) 5.1 Generalità Il Professionista della Security deve sviluppare le strategie di security in linea con le politiche stabilite dal vertice dell Organizzazione e deve garantire la loro messa in atto. Il professionista deve inoltre tutelare le persone e le risorse, sia materiali sia immateriali, dell Organizzazione, analizzando e valutando i rischi di pertinenza e predisponendo, attuando e controllando i piani e le politiche di security condivise con il suo vertice. Egli deve contribuire allo sviluppo e all attuazione del sistema gestionale e assicurare la continuità delle attività dell Organizzazione anche in situazioni straordinarie o di crisi. 8
Deve inoltre supportare anche con informazioni ( intelligence ) le decisioni strategiche del vertice dell Organizzazione e organizzare e tutelare le informazioni in possesso della stessa. Al fine di garantire un efficace azione di security, il professionista deve essere designato o incaricato dal vertice dell Organizzazione cui risponde e riferire ad esso. Deve agire nei confronti degli interlocutori in base alle deleghe ricevute e nel rispetto della normativa e della legislazione vigente. Nell ambito della partnership tra pubblico e privato, il Professionista della Security deve interfacciarsi con gli enti della security nazionale preposti all intelligence economica e industriale. Il professionista dovrebbe ricorrere, ove appropriato, alle tecniche di gestione per la qualità, per il contributo che esse possono dare sia alla riduzione dei costi, sia alla qualità di prodotti e servizi. Tali compiti e attività devono essere mantenuti aggiornati in relazione all evoluzione dei requisiti cogenti, modificate e integrate sulla base di leggi o regolamenti vigenti specifici. NOTA L efficacia del processo di security, intesa come capacità di raggiungere i relativi obiettivi, dipende dalla competenza delle persone che sono coinvolte nel processo stesso, in particolare per quanto riguarda il suo responsabile. La competenza del professionista dovrebbe essere valutata attraverso un processo che tenga conto del comportamento personale e della capacità di applicare le conoscenze e le abilità acquisite attraverso l'istruzione, l'esperienza lavorativa, la formazione-addestramento e l'esperienza specifiche nelle attività proprie del processo di security. Il Professionista della Security deve avere un alto livello di maturità emozionale e abilità nel facilitare, con tranquillità, l appropriata soluzione di situazioni di crisi e di complessità. Deve avere l abilità di analizzare, comprendere, ed esporre il valore d iniziative di security al vertice dell Organizzazione. Le interazioni con il vertice dell Organizzazione richiedono anche che il Professionista della Security dell Organizzazione sia in grado di condurre presentazioni, rispondere a quesiti e critiche che si riferiscono a proposte e raccomandazioni presentate. Con riferimento ai compiti e le attività specifiche, Il Professionista della Security può essere responsabile del processo di security, di suoi rilevanti sotto-processi o di aree di attività specialistiche di security. Egli deve essere in grado di assumere la responsabilità di gestire lo sviluppo professionale di persone e gruppi e di verificarne le prestazioni. In particolare Il professionista deve saper svolgere i compiti descritti nell appendice A. 5.2 Competenze Le competenze sono date dalla combinazione dei requisiti di conoscenza e di abilità, citati nei prospetti da A.1 ad A.3, e dei comportamenti personali, citati nell Appendice D. 5.3 Conoscenze Il Professionista della Security, in quanto responsabile del processo di security o di rilevanti sottoprocessi e/o di aree specialistiche, deve avere conoscenze multi disciplinari in grado di permettergli di dialogare con le diverse funzioni che compongono l Organizzazione. Pur concentrando la sua attenzione principalmente sugli aspetti relativi al processo security, egli deve saper affrontare e deve collaborare su temi normalmente di competenza di altre figure responsabili. Le conoscenze richieste al Professionista della Security e i relativi livelli sono elencati nell appendice A. 9
5.4 Abilità Le abilità richieste al Professionista della Security e i relativi livelli sono elencati nell appendice A. Elementi per la valutazione e convalida dei risultati dell apprendimento Nell apprendimento formale, le metodologie e i soggetti che effettuano la valutazione sono stabiliti per via legislativa (per esempio esami di Stato, esami di maturità), ciò non avviene in ambito non formale e informale. Per la valutazione dei risultati dell'apprendimento non formale e informale, oggetto del presente schema, è necessario tener presente che devono essere valutate, in modo oggettivo e direttamente: le conoscenze; le abilità; le competenze; così come descritte al precedente punto 5 del presente schema. A tal fine, per garantire l efficacia della valutazione occorre indicare una combinazione di più metodi di valutazione, scelti fra quelli di seguito elencati, tenendo comunque presente che ne potrebbero essere considerati anche altri in relazione alla specificità del tipo di attività professionale..1 Esempi di metodi di valutazione 1) analisi del "curriculum vitae" integrato da documentazioni comprovanti le attività lavorative e formative dichiarate dal candidato; 2) esame scritto per la valutazione delle conoscenze. Tale prova di esame può consistere in: una prova con domande a risposta chiusa; per ogni domanda vengono proposte almeno 3 risposte delle quali 1 sola è corretta (da escludere quelle del tipo vero/falso), e/o una prova con domande a risposta aperta; per ciascuna domanda il candidato dovrà fornire una risposta appropriata. 3) esame scritto su casi di studio : al candidato viene proposta una situazione reale attinente alla specifica attività professionale. Egli dovrà fornire una risposta appropriata. Tale prova, integrata, se opportuna, da simulazioni (role play), può consentire di valutare le abilità; 4) esame orale: necessario per approfondire eventuali incertezze riscontrate nelle prove scritte e/o per approfondire il livello delle conoscenze acquisite dal candidato. 5) simulazioni di situazioni reali operative (role play): per valutare oltre alle abilità e alle competenze, anche le capacità relazionali (comportamenti attesi); ) analisi e valutazione di lavori effettuati: tale metodo comprende anche un confronto, in presenza del candidato, per approfondire la valutazione delle abilità, delle conoscenze e delle capacità relazionali. NOTA 1 Va precisato che la scelta della combinazione dei metodi di valutazione deve considerare la tipologia dell attività professionale e la necessità di rendere la valutazione delle conoscenze, abilità e competenze, più completa e oggettiva possibile, per limitarne la discrezionalità. 10
NOTA 2 In alcuni specifici casi e settori, si possono inoltre prevedere modalità di valutazione ex post, successivamente alla valutazione finale, anche sulla base delle segnalazioni dei fruitori dell attività professionale..2 Valutazione e convalida dei risultati Apprendimento formale: si accetta il documento rilasciato dall Ente riconosciuto (per esempio diploma di maturità). Apprendimento non formale: si accetta il documento rilasciato dall Ente non riconosciuto (attestato di frequenza e/o superamento d esame). Apprendimento informale: si accettano dichiarazioni rilasciate da persone fisiche e/o giuridiche specificatamente qualificate (per esempio Enti, Istituzioni, associazioni, ecc.) che abbiano nel corso del tempo supervisionato l operato della figura professionale..3 Titolo di studio L accesso ai livelli del Professionista della Security dell Organizzazione è subordinato al possesso dei titoli di studio indicati in appendice B..4 Percorso formativo di accesso, aggiornamento e mantenimento.4.1 Accesso Fermo restando quanto previsto in.3, devono essere seguiti i percorsi di accesso non alternativi tra loro indicati in appendice B (per i tre livelli del Professionista della Security dell Organizzazione)..4.2 Aggiornamento permanente e mantenimento Il Professionista della Security, conforme al profilo professionale illustrato da questa norma, deve conformarsi ad un percorso di aggiornamento permanente, per mantenere tale conformità, dimostrando, con idonea documentazione: di aver partecipato, ogni anno, ad almeno due convegni afferenti a temi di security; oppure di aver seguito un corso di aggiornamento sui temi afferenti alla security della durata minima di 8 ore, impartito da ente accreditato presso le Regioni e validato da un Istituto di livello universitario; - oppure di avere svolto attività di docenza o pubblicazioni in tema di security. 11
.4.3 Organizzazione che effettua la valutazione e/o la convalida L Organizzazione che effettua la valutazione e/o la convalida dei risultati dell apprendimento deve: avere i requisiti di indipendenza, imparzialità, trasparenza, competenza e assenza di conflitti di interesse; assicurare l omogeneità delle valutazioni; assicurare la verifica dell aggiornamento professionale; definire, adottare e rispettare un proprio sistema qualità documentato e un proprio codice deontologico. NOTA 1 Tali requisiti si intendono assolti dagli organismi di certificazione delle persone operanti in conformità alla UNI CEI EN ISO/IEC 17024 e, per fornire ulteriore garanzia al mercato, accreditati secondo il Regolamento Europeo 75/08. NOTA 2 La valutazione e convalida, nel rispetto dei requisiti sopraindicati, può essere effettuata da organizzazioni che hanno un interesse da utilizzatori, diretti, indiretti o mediati, dei risultati dell apprendimento conseguiti dalle persone. Hanno un interesse diretto, per esempio, le organizzazioni che valutano i risultati dell apprendimento delle persone al fine di un inserimento lavorativo, di un riconoscimento di qualifica, ecc. Hanno un interesse indiretto, ad esempio, le organizzazioni che finanziano (in tutto o in parte) i servizi di apprendimento e hanno interesse alla verifica dei risultati di apprendimento conseguiti, quali Regioni, Province, Fondi interprofessionali e simili. Hanno un interesse mediato, ad esempio, le organizzazioni che rappresentano le principali parti interessate del mondo del lavoro quali enti bilaterali, organismi paritetici e simili. NOTA 3 I requisiti contenuti al presente punto.2, qualora siano riportati sulla norma, devono essere condivisi con la Commissione UNI/CEI Valutazione della Conformità". 7 Validazione dell apprendimento Esempi di criteri di validazione sono: certificazione rilasciate da Enti accreditati e/o Universitari e/o Pubbliche Autorità; superamento di esami specifici; certificazione di parte terza, in conformità alla UNI CEI EN ISO/IEC 17024. 12
Appendice A Livelli di conoscenze, abilità e competenze del Professionista della Security (normativa) La presente appendice indica le conoscenze, abilità e competenze del Professionista della Security responsabile del processo di security in contesti organizzativi di diversa complessità e/o di attività e costituisce utile supporto sia per le organizzazioni, che possono meglio orientare le scelte sul professionista con il profilo più adatto alle proprie esigenze, sia per gli enti di formazione e certificazione, per indirizzare le proprie attività istituzionali. Il prospetto A.1 individua il livello del Security Expert (Professionista della Security dell Organizzazione di livello operativo) e le relative competenze che vanno valutate integrando conoscenze, abilità e comportamenti personali (appendice D). Il prospetto A.2 individua il livello del Security Manager (Professionista della Security dell Organizzazione di livello manageriale) e le relative competenze che vanno valutate integrando conoscenze, abilità e comportamenti personali (appendice D). Il prospetto A.3 individua il livello del Senior Security Manager (Professionista della Security dell Organizzazione di alto livello manageriale) e le relative competenze che vanno valutate integrando conoscenze, abilità e comportamenti personali (appendice D). Le competenze sono date dalla combinazione dei requisiti di conoscenza, di abilità, citati nei prospetti da A1 ad A3, e dei comportamenti personali, citati nell Appendice D. 13
Prospetto A.1 Compiti, conoscenze e abilità richieste al Security Expert Compiti Attuare le politiche, le strategie e i programmi di security definiti dal vertice aziendale/organizzazione al fine di raggiungere gli obiettivi prefissati Mettere in atto sistemi di controllo e di audit per verificare l efficacia e l efficienza dei programmi di security Condurre le investigazioni aziendali attivate dal management e/o da responsabili superiori Condurre regolari e periodiche valutazioni dei rischi e fornire assistenza ai livelli superiori per il riesame (previsto dal ciclo PDCA) Attuare programmi di informazione e di formazione in security, delle persone coinvolte nell Organizzazione Condurre e gestire la Security fisica (protezione delle persone, degli edifici, delle proprietà, dei beni, degli strumenti operativi dell Organizzazione) Condurre e gestire la protezione del segreto industriale: Protezione delle conoscenze, delle informazioni e dei dati appartenenti all Organizzazione, ai propri clienti e ad altri soggetti portatori di interesse Fornire supporto alla security delle informazioni: protezione delle conoscenze, delle informazioni e dei dati appartenenti all Organizzazione, ai propri clienti ed altri soggetti collegati portatori di interesse Fornire supporto alla security delle tecnologie e delle strutture IT: Protezione delle tecnologie, delle strutture informatiche dell Organizzazione Condurre e gestire il contrasto agli illeciti e alle frodi interne ed esterne: truffe e sabotaggi Condurre e gestire la security delle persone: protezione dell integrità fisica dei dipendenti e dei soggetti esterni che hanno rapporti contrattuali con l Organizzazione Gestire le emergenze, le crisi e la continuità operativa Condurre e gestire la security di manifestazioni/convegni tenuti dall Organizzazione: protezione delle sedi permanenti o provvisorie in cui siano organizzati eventi d interesse dell Organizzazione Gestire gli adempimenti di security previsti da requisiti cogenti: requisiti derivanti da leggi, regolamenti, direttive e prescrizioni obbligatorie in genere a livello locale, nazionale, europeo e internazionale Condurre e gestire le Investigazioni e gli accadimenti afferenti alla security: attività di analisi, indagine preventiva e investigazione degli eventi dannosi interni ed esterni in collaborazione con le Autorità preposte e con i soggetti privati autorizzati Porre in essere tutte le attività necessarie alla raccolta, elaborazione e gestione delle informazioni a supporto delle decisioni strategiche del business, supportando l analisi dei contesti geopolitici: situazioni paesi, scenari per la security macroeconomici generali (sistema economico, variabili economiche e loro interdipendenze) di settore e di mercato ( business intelligence, competitive intelligence ) Interagire con le strutture interne ed esterne all Organizzazione che si occupano di conformità alle normative nazionali e internazionali ( compliance ) Interagire con le strutture interne ed esterne all Organizzazione che si occupano di Interazione tra security e salute sul lavoro Interagire con le strutture interne ed esterne all Organizzazione che si occupano di interazione tra security e protezione ambientale Interagire con le strutture interne ed esterne all Organizzazione che si occupano di Interazione tra security e responsabilità sociale Interagire con le strutture interne ed esterne all Organizzazione che si occupano di security e privacy Interagire con le strutture interne ed esterne all Organizzazione che si occupano di gestione dei rischi di origine criminosa Interagire con le strutture interne ed esterne all Organizzazione che si occupano di Interazione con tecnologie informatiche per la gestione del disaster recovery interagire con coloro che si occupano di business continuity nell Organizzazione Interagire con le strutture interne ed esterne all Organizzazione che si occupano di vigilanza Interagire con le strutture interne ed esterne all Organizzazione che si occupano di investigazioni Interagire con le strutture interne ed esterne all Organizzazione che si occupano di rapporti con le autorità istituzionali, Forze dell ordine ed Enti governativi, ecc. Interagire con le strutture interne ed esterne all Organizzazione che si occupano della produzione Conoscenze EQF Sistema organizzativo, dei processi, delle politiche, delle linee guida e delle normative interne dell Organizzazione 5 Principi di sostenibilità, di responsabilità sociale e di diritti umani 5 Legislazione di riferimento 5 Materie giuridiche 5 Problematiche di security delle Infrastrutture critiche e relativa legislazione 5 Norme tecniche di security risk management 5 Criteri di classificazione delle informazioni e di tutela delle informazioni classificate 5 Disciplina giuridica in materia di crimine informatico e di protezione dei dati 5 Metodologie di identificazione dei pericoli, di quantificazione e valutazione dei rischi di origine criminosa, di definizione dei criteri di accettabilità, di identificazione delle misure di mitigazione 5 Procedure, linee guida, norme tecniche per la gestione del rischio nel proprio ambito operativo 5 Metodologie per la valutazione del grado di security nel territorio e nelle comunità ospitanti Identificazione del rischio prevalente nell area 7 Strumenti per valutare l impatto delle attività di security sul contesto sociale ed economico di riferimento 5 Tecniche di identificazione delle sorgenti informative, integrazione delle informazioni, categorizzazione e analisi dell informazione 5 L Organizzazione e le sue strutture fisiche 7 Modelli e tipologie di organizzazione e gestione della security 5 Principi di prevenzione dei rischi di origine criminosa attraverso la progettazione ambientale e urbanistica 5 14
Tecnologie di prevenzione e protezione di security Gestione dei servizi integrati di sicurezza 5 Problematiche di indagine difensiva all interno dell Organizzazione e relativa legislazione e possibili soluzioni Elementi di coordinamento della continuità operativa ( business continuity e disaster recovery ) 5 Elementi di coordinamento della gestione della crisi ( crisis management ) 5 Elementi di psicologia delle masse 5 Modalità di predisposizione di piani di security Processi di investigazione ( intelligence e due diligence ) 5 Sistemi e tecniche di monitoraggio e reporting 5 Modalità di gestione dei contratti di security 5 Procedure di security dell Organizzazione e modalità di rilevamento di eventuali non conformità rispetto alle esigenze della stessa Organizzazione 5 Tecniche e strumenti di comunicazione (relazione con istituzioni, autorità, Forze dell ordine, enti locali e stampa) 5 Strumenti e metodi di pianificazione, programmazione e controllo aziendale 5 Abilità EQF Comunicazione 5 Lavorare in gruppo 5 Accuratezza Analisi 5 Autogestione e controllo dello stress 5 Autosviluppo 5 Controllo Convincimento 5 Coordinamento e gestione dei collaboratori 5 Decisione 5 Flessibilità 5 Gestione dei conflitti 5 Gestione del gruppo 5 Iniziativa 5 Negoziazione 5 Organizzazione 5 Orientamento ai risultati Orientamento al cliente 5 Pensiero prospettico 5 Pianificazione e programmazione 5 Propensione al nuovo 5 Sintesi 5 Soluzione dei problemi Tenacia 5 15
Prospetto A.2 Compiti, conoscenze e abilità richieste al Security Manager Compiti Attuare le politiche, le strategie e i programmi di security definiti dal vertice aziendale/organizzazione al fine di raggiungere gli obiettivi prefissati Sviluppare una struttura organizzativa per la security che descriva i compiti e i relativi responsabili Mettere in atto sistemi di controllo e di audit per verificare l efficacia e l efficienza dei programmi di security Condurre le investigazioni aziendali attivate dal management e/o da responsabili superiori Condurre regolari e periodiche valutazioni dei rischi, fornire assistenza ai livelli superiori per il riesame (previsto dal ciclo PDCA) ed essere inserito nel processo decisionale dell Organizzazione per prenderne in considerazione gli aspetti critici e le loro evoluzioni Sviluppare e attuare programmi di informazione e di formazione in security, delle persone coinvolte nell Organizzazione Gestire la security fisica (protezione delle persone, degli edifici, delle proprietà, dei beni, degli strumenti operativi dell Organizzazione) Gestire la protezione del segreto industriale: Protezione delle conoscenze, delle informazioni e dei dati appartenenti all Organizzazione, ai propri clienti e ad altri soggetti portatori di interesse Gestire la security delle informazioni: protezione delle conoscenze, delle informazioni e dei dati appartenenti all Organizzazione, ai propri clienti ed altri soggetti collegati portatori di interesse Gestire il supporto alla security delle tecnologie e delle strutture IT: protezione delle tecnologie, delle strutture informatiche dell Organizzazione Gestire il contrasto agli illeciti e alle frodi interne ed esterne: truffe e sabotaggi Gestire il supporto alla security delle persone: protezione dell integrità fisica dei dipendenti e dei soggetti esterni che hanno rapporti contrattuali con l Organizzazione Coordinare la gestione delle emergenze, delle crisi e della continuità operativa Coordinare la gestione della security di manifestazioni/convegni tenuti dall Organizzazione: protezione delle sedi permanenti o provvisorie in cui siano organizzati eventi d interesse dell Organizzazione Coordinare gli adempimenti di security previsti da requisiti cogenti: requisiti derivanti da leggi, regolamenti, direttive e prescrizioni obbligatorie in genere a livello locale, nazionale, europeo e internazionale Coordinare le investigazioni e la gestione degli accadimenti afferenti alla security: attività di analisi, indagine preventiva e investigazione degli eventi dannosi interni ed esterni in collaborazione con le Autorità preposte e con i soggetti privati autorizzati Porre in essere tutte le attività necessarie alla raccolta, elaborazione e gestione delle informazioni a supporto delle decisioni strategiche del business, supportando l analisi dei contesti geopolitici: situazioni paesi, scenari per la security macroeconomici generali (sistema economico, variabili economiche e loro interdipendenze) di settore e di mercato ( business intelligence, competitive intelligence ) Interagire con le strutture interne ed esterne all Organizzazione che si occupano di conformità alle normative nazionali e internazionali ( compliance ) Interagire con le strutture interne ed esterne all Organizzazione che si occupano di security e salute sul lavoro Interagire con le strutture interne ed esterne all Organizzazione che si occupano di interazione tra security e protezione ambientale Interagire con le strutture interne ed esterne all Organizzazione che si occupano di Interazione tra security e responsabilità sociale Interagire con le strutture interne ed esterne all Organizzazione che si occupano di security e privacy 1
Interagire con le strutture interne ed esterne all Organizzazione che si occupano di gestione dei rischi di origine criminosa Interagire con le strutture interne ed esterne all Organizzazione che si occupano di Interazione con tecnologie informatiche per la gestione del disaster recovery interagire con coloro che si occupano di business continuity nell Organizzazione Interagire con le strutture interne ed esterne all Organizzazione che si occupano di vigilanza Interagire con le strutture interne ed esterne all Organizzazione che si occupano di Investigazioni Interagire con le strutture interne ed esterne all Organizzazione che si occupano di rapporti con le autorità istituzionali, Forze dell ordine ed Enti governativi, ecc. Interagire con le strutture interne ed esterne all Organizzazione che si occupano della produzione Conoscenze EQF Sistema organizzativo, dei processi, delle politiche, delle linee guida e delle normative interne dell Organizzazione Principi di sostenibilità, di responsabilità sociale e di diritti umani Legislazione di riferimento Materie giuridiche Problematiche di security delle Infrastrutture critiche e relativa legislazione 5 Norme tecniche di security risk management Criteri di classificazione delle informazioni e di tutela delle informazioni classificate Disciplina giuridica in materia di crimine informatico e di protezione dei dati Metodologie di identificazione dei pericoli, di quantificazione e valutazione dei rischi di origine criminosa, di definizione dei criteri di accettabilità, di identificazione delle misure di mitigazione 7 Procedure, linee guida, norme tecniche di gestione del rischio nel proprio ambito operativo 7 Metodologie per la valutazione del grado di security nel territorio e nelle comunità ospitanti 7 Identificazione del rischio prevalente nell area 7 Strumenti per valutare l impatto delle attività di security sul contesto sociale ed economico di riferimento Tecniche di identificazione delle sorgenti informative, integrazione delle informazioni, categorizzazione e analisi dell informazione L Organizzazione e le sue strutture fisiche 7 Modelli e tipologie di organizzazione e gestione della security Principi di prevenzione dei rischi di origine criminosa attraverso la progettazione ambientale e urbanistica Tecnologie di prevenzione e protezione di security 7 Gestione dei servizi integrati di sicurezza 5 Problematiche di indagine difensiva all interno dell Organizzazione e della relativa legislazione e possibili soluzioni 7 Elementi di coordinamento della continuità operativa ( business continuity, e disaster recovery ) 17
Elementi di coordinamento della gestione della crisi ( crisis management ) Elementi di psicologia delle masse 5 Modalità di predisposizione di piani di security 7 Processi di investigazione ( intelligence e due diligence ) Sistemi e tecniche di monitoraggio e reporting Modalità di gestione dei contratti di security Procedure di security dell Organizzazione e delle modalità di rilevamento di eventuali non conformità rispetto alle esigenze della stessa Organizzazione Tecniche e strumenti di comunicazione (relazione con istituzioni, autorità, Forze dell ordine, enti locali e stampa) Strumenti e metodi di pianificazione, programmazione e controllo aziendale Comunicazione Lavorare in gruppo Accuratezza Analisi Autogestione e controllo dello stress Autosviluppo Controllo Convincimento Coordinamento e gestione dei collaboratori Decisione Flessibilità Gestione dei conflitti Gestione del gruppo Iniziativa Negoziazione Organizzazione Orientamento ai risultati Orientamento al cliente Pensiero prospettico Pianificazione e programmazione Abilità 18 EQF 7 7 7 7 7
Propensione al nuovo Sintesi Soluzione dei problemi Tenacia 7 Prospetto A.3 Compiti, conoscenze e abilità richieste al Senior Security Manager Compiti Sviluppare una strategia di security e una politica, in linea con le strategie dell Organizzazione, attraverso lo sviluppo e l attuazione di un programma di security Attuare le politiche, le strategie e i programmi di security definiti dal vertice aziendale/organizzazione al fine di raggiungere gli obiettivi prefissati Sviluppare una struttura organizzativa per la security che descriva i compiti e i relativi responsabili Definire sistemi di controllo e di audit per verificare l efficacia e l efficienza dei programmi di security Attivare investigazioni per verificare o per contrastare minacce interne e/o esterne Attivare le investigazioni aziendali richieste dal vertice dell Organizzazione Coordinare il processo di security, incluse le attività di riesame (previsto dal ciclo PDCA) Sviluppare programmi di informazione e di formazione in security, delle persone coinvolte nell Organizzazione Coordinare la gestione della Security fisica (protezione delle persone, degli edifici, delle proprietà, dei beni, degli strumenti operativi dell Organizzazione) Gestire la Protezione del segreto industriale: protezione delle conoscenze, delle informazioni e dei dati appartenenti all Organizzazione, ai propri clienti e ad altri soggetti portatori di interesse Gestire la security delle informazioni: protezione delle conoscenze, delle informazioni e dei dati appartenenti all Organizzazione, ai propri clienti ed altri soggetti collegati portatori di interesse Attivare la security delle tecnologie e delle strutture IT: protezione delle tecnologie, delle strutture informatiche dell Organizzazione Coordinare il contrasto agli illeciti e alle frodi interne ed esterne: truffe e sabotaggi Coordinare la security delle persone: protezione dell integrità fisica dei dipendenti e dei soggetti esterni che hanno rapporti contrattuali con l Organizzazione Coordinare la gestione delle emergenze, delle crisi e della continuità operativa Coordinare la gestione della security di manifestazioni/convegni tenuti dall Organizzazione: protezione delle sedi permanenti o provvisorie in cui siano organizzati eventi d interesse dell Organizzazione Coordinare gli adempimenti di security previsti da requisiti cogenti: requisiti derivanti da leggi, regolamenti, direttive e prescrizioni obbligatorie in genere a livello locale, nazionale, europeo e internazionale Coordinare le investigazioni e la gestione degli accadimenti afferenti alla security: attività di analisi, indagine preventiva e investigazione degli eventi dannosi interni ed esterni in collaborazione con le Autorità preposte e con i soggetti privati autorizzati 19
Coordinare tutte le attività necessarie alla raccolta, elaborazione e gestione delle informazioni a supporto delle decisioni strategiche del business, supportando l analisi dei contesti geopolitici: situazioni paesi, scenari per la security macroeconomici generali (sistema economico, variabili economiche e loro interdipendenze) di settore e di mercato (business intelligence, competitive intelligence) Interagire con le strutture interne ed esterne all Organizzazione che si occupano di conformità alle normative nazionali e internazionali ( compliance ) Interagire con le strutture interne ed esterne all Organizzazione che si occupano di Interazione tra security e salute sul lavoro Interagire con le strutture interne ed esterne all Organizzazione che si occupano di interazione tra security e protezione ambientale Interagire con le strutture interne ed esterne all Organizzazione che si occupano di Interazione tra security e responsabilità sociale Interagire con le strutture interne ed esterne all Organizzazione che si occupano di security e privacy Interagire con le strutture interne ed esterne all Organizzazione che si occupano di gestione dei rischi di origine criminosa Interagire con le strutture interne ed esterne all Organizzazione che si occupano di Interazione con tecnologie informatiche per la gestione del disaster recovery interazione con coloro che si occupano di business continuity, nel caso il coordinamento della business continuity sia posto in altra area (per esempio Organizzazione ) Interagire con le strutture interne ed esterne all Organizzazione che si occupano di vigilanza Interagire con le strutture interne ed esterne all Organizzazione che si occupano di investigazioni Interagire con le strutture interne ed esterne all Organizzazione che si occupano di rapporti con le autorità istituzionali, Forze dell ordine ed Enti governativi, ecc. Interagire con le strutture interne ed esterne all Organizzazione che si occupano della produzione Interfacciarsi con gli enti della security nazionale preposti all intelligence economica, alla sicurezza e ordine pubblico, nell ambito della partnership tra pubblico e privato Conoscenze EQF Sistema organizzativo, dei processi, delle politiche, delle linee guida e delle normative interne dell Organizzazione 7 Principi di sostenibilità, di responsabilità sociale e di diritti umani Legislazione di riferimento 7 Materie giuridiche 7 Problematiche di security delle Infrastrutture critiche e relativa legislazione 7 Norme tecniche di security risk management 7 Criteri di classificazione delle informazioni e di tutela delle informazioni classificate 7 Disciplina giuridica in materia di crimine informatico e di protezione dei dati 7 Metodologie di identificazione dei pericoli, di quantificazione e valutazione dei rischi di origine criminosa, di definizione dei criteri di accettabilità, di identificazione delle misure di mitigazione 7 Modalità di impostazione di procedure, linee guida, norme tecniche di gestione del rischio nel proprio ambito operativo 7 Metodologie per la valutazione del grado di security nel territorio e nelle comunità ospitanti 7 Identificazione del rischio prevalente nell area 7 20
Strumenti per valutare l impatto delle attività di security sul contesto sociale ed economico di riferimento 7 Tecniche di identificazione delle sorgenti informative, integrazione delle informazioni, categorizzazione e analisi dell informazione 7 L Organizzazione e le sue strutture fisiche 7 Modelli e tipologie di organizzazione e gestione della security Principi di prevenzione dei rischi di origine criminosa attraverso la progettazione ambientale e urbanistica 7 Tecnologie di prevenzione e protezione di security 7 Ingegneria di security Gestione dei servizi integrati di sicurezza 7 Problematiche di indagine difensiva all interno dell Organizzazione e della relativa legislazione e possibili soluzioni 7 Elementi di coordinamento della continuità operativa ( business continuity e disaster recovery ) 7 Elementi di coordinamento della gestione della crisi ( crisis management ) 7 Elementi di psicologia delle masse Modalità di predisposizione di piani di security 7 Processi di investigazione ( intelligence e due diligence ) 7 Sistemi e tecniche di monitoraggio e reporting 7 Modalità di gestione dei contratti di security 7 Procedure di security dell Organizzazione e delle modalità di rilevamento di eventuali non conformità rispetto alle esigenze della stessa Organizzazione 7 Tecniche e strumenti di comunicazione (relazione con istituzioni, enti locali e stampa) 7 Strumenti e metodi di pianificazione, programmazione e controllo aziendale 7 Abilità EQF Comunicazione 7 Lavorare in gruppo 7 Accuratezza 7 Analisi 7 Autogestione e controllo dello stress 7 Autosviluppo 7 Controllo 7 Convincimento 7 Coordinamento e gestione dei collaboratori 7 Decisione 7 21
Flessibilità 7 Gestione dei conflitti 7 Gestione del gruppo 7 Iniziativa 7 Negoziazione 7 Organizzazione 7 Orientamento ai risultati 7 Orientamento al cliente 7 Pensiero prospettico 7 Pianificazione e programmazione 7 Propensione al nuovo 7 Sintesi 7 Soluzione dei problemi 7 Tenacia 7 22
Appendice B Requisiti per l accesso ai livelli professionali del Professionista della Security (normativa) I percorsi di accesso, non alternativi tra loro, prevedono: a) Apprendimento formale (Titolo di Studio); b) Apprendimento non formale (Corsi di Formazione); c) Apprendimento informale (Esperienza Lavorativa). Il prospetto B.1 prevede i requisiti di accesso ai livelli professionali di Security Expert (Professionista della Security dell Organizzazione di livello operativo), Security Manager (Professionista della Security dell Organizzazione di livello manageriale) e Senior Security Manager (Professionista della Security dell Organizzazione di alto livello manageriale). Prospetto B.1 Requisiti di accesso per Security Expert, Security Manager e Senior Security Manager Security Expert Apprendimento formale Laurea di I livello di una classe che includa discipline almeno in parte afferenti alle conoscenze del Professionista della Security. Apprendimento non formale Un Master Universitario (0 crediti formativi) oppure un Corso di livello universitario di almeno 120 ore; entrambi aventi per argomento la gestione della security per materie afferenti alle competenze del profilo. Apprendimento informale Minimo 4 anni di esperienza professionale continuativa di security, nel privato, anche come consulente, e/o in organismi pubblici di sicurezza, di cui almeno 2 anni in incarichi di livello non meramente esecutivo. Eccezioni Se in possesso di laurea di II livello: il periodo complessivo di esperienza professionale si riduce a 2 anni, in incarichi non meramente esecutivi. Se in possesso di Diploma di Scuola Media Superiore: minimo 8 anni di esperienza professionale continuativa di security, nel privato, anche come consulente, e/o in organismi pubblici di sicurezza, di cui almeno 4 anni in incarichi di livello non meramente esecutivo. Security Manager Senior Security manager Laurea di I livello di una classe che includa discipline almeno in parte afferenti alle conoscenze del Professionista della Security. Laurea di II livello di una classe che includa discipline almeno in parte afferenti alle conoscenze del Professionista della Security. Un Master Universitario (0 crediti formativi) oppure un Corso di livello universitario di almeno 120 ore; entrambi aventi per argomento la gestione della security per materie afferenti alle competenze del profilo. Un Master Universitario (0 crediti formativi) oppure un Corso di livello universitario di almeno 120 ore; entrambi aventi per argomento la gestione della security per materie afferenti alle competenze del profilo. Minimo 8 anni di esperienza professionale continuativa di security nel privato, anche come consulente, e/o in organismi pubblici di sicurezza di cui almeno 4 anni in incarichi di livello manageriale. Minimo 12 anni di esperienza professionale continuativa di security nel privato, anche come consulente, e/o in organismi pubblici di sicurezza di cui almeno anni in incarichi di livello manageriale. Se in possesso di laurea di II livello il periodo complessivo di esperienza professionale si riduce a 5 anni, di cui 3 anni in incarichi di livello manageriale. Se in possesso di Diploma di Scuola Media Superiore: minimo 12 anni di esperienza professionale continuativa di security nel privato, anche come consulente, e/o in organismi pubblici di sicurezza di cui almeno 4 anni in incarichi di livello manageriale. di security nel privato, anche come consulente, e/o in organismi pubblici di sicurezza di cui almeno 4 anni in incarichi di livello manageriale. Se in possesso di Laurea di I livello: minimo 18 anni di esperienza professionale continuativa di security nel privato, anche come consulente, e/o in organismi pubblici di sicurezza di cui almeno 8 anni in incarichi di livello manageriale. Se in possesso del diploma di scuola media superiore: minimo 20 anni di esperienza professionale continuativa di security nel privato, anche come consulente, e/o in organismi pubblici di sicurezza di cui almeno 8 anni in incarichi di livello manageriale. Tale esperienza deve essere stata maturata entro la data di pubblicazione della presente norma 23
Appendice C Aspetti etici e deontologici (normativa) Le caratteristiche psico attitudinali, di personalità e l integrità morale costituiscono elementi essenziali per ricoprire le funzioni svolte dalle figure professionali della security. Una condotta conforme alle norme etiche e in genere alla legge contribuisce a rendere vincente e quindi di successo le azioni svolte dalle figure professionali della security. Attraverso una condotta eticamente irreprensibile è più agevole fornire un servizio di qualità mantenendo altresì rapporti trasparenti con i propri interlocutori interni ed esterni all'organizzazione. Con l'introduzione nell'ordinamento italiano della disciplina prevista dal decreto legislativo 231/2001 ed alla luce della riforma del diritto societario, tutte le società operanti nel territorio nazionale sono tenute ad allinearsi agli standard più evoluti del governo societario (Corporate Governance) peraltro da tempo presenti in diversi Paesi europei e negli Stati Uniti. Il Codice Etico dell Organizzazione, ove esistente, è pertanto lo strumento attraverso il quale le figure professionali della security garantiscono la gestione trasparente ed efficace delle proprie attività e delle relazioni umane, sostenendo la reputazione dell Organizzazione e creando fiducia verso l'esterno. 24
Appendice D Aspetti comportamentali (normativa) Per attuare un comportamento adeguato agli standard etici e deontologici è necessario che le figure professionali della Security (Security Expert, Security Manager, Senior Security Manager) abbiano le seguenti caratteristiche personali: a) alta integrità morale; b) assenza di pregiudizi; c) equità, eguaglianza e imparzialità; d) tutela della persona; e) diligenza; f) trasparenza; g) riservatezza; h) controllo dell emotività; i) accuratezza nel riportare i fatti ed illustrare in modo chiaro concetti e idee sia verbalmente sia per iscritto; j) flessibilità e capacità di adattamento alle situazioni contingenti, adeguando con tempestività ed efficacia le proprie risposte; k) capacità di assumere rapidamente ed efficacemente decisioni afferenti ad emergenze o pericoli imminenti; l) capacità di interagire efficacemente con tutti i livelli dell Organizzazione e le istituzioni di riferimento; m) spirito di osservazione e perspicacia; n) atteggiamento aperto alle innovazioni. 25
Appendice E Riferimenti legislativi applicabili (informativa) Regio Decreto n. 773 del 18 giugno 1931 Approvazione del testo unico delle leggi di pubblica sicurezza (TULPS) e s.m.i. Regio Decreto n. 35 del maggio 1940 Regolamento per l esecuzione del testo unico 18 giugno 1931 n. 773, delle leggi delle leggi di pubblica sicurezza Legge n. 300 del 20 maggio 1970 Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e dell'attività' sindacale, nei luoghi di lavoro e norme sul collocamento Decreto Legislativo n. 231 dell 8 giugno 2001 Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300 Decreto Legislativo n. 19 del 30 giugno 2003 Codice in materia di protezione dei dati personali e s.m.i. General Assembly resolution 58/4 of 31 October 2003 United Nations Convention against Corruption- Convention on Combating Bribery of Foreign Public Officials in International Business Transactions Deliberazione del Garante per la protezione dei dati personali n. 53 del 23 novembre 200 Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati Deliberazione del Garante per la protezione dei dati personali n. 13 del 1 marzo 2007 Linee guida del Garante per posta elettronica e Internet Decreto Legislativo n. 81 del 9 aprile 2008 Attuazione dell'articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della security nei luoghi di lavoro (S.O.G.U. 30 aprile 2008, n. 108) e s.m.i. Provvedimento del Garante per la protezione dei dati personali in data 2 giugno 2008 Linee guida in materia di trattamento dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero Decreto del Presidente della Repubblica n. 153 del 4 agosto 2008 Regolamento recante modifiche al regio decreto maggio 1940, n. 35, per l'esecuzione del testo unico delle leggi di pubblica security, in materia di guardie particolari, istituti di vigilanza e investigazione privata Direttiva 2008/114/CE del Consiglio, dell 8 dicembre 2008 relativa all individuazione e alla designazione delle infrastrutture critiche europee e alla valutazione della necessità di migliorarne la protezione 2
Provvedimento del Garante per la protezione dei dati personali in materia di videosorveglianza dell 8 aprile 2010 Decreto del Ministero dell Interno n. 29 dell 1 dicembre 2010 Regolamento recante disciplina delle caratteristiche minime del progetto organizzativo e dei requisiti minimi di qualità degli istituti e dei servizi di cui agli articoli 25-bis e 257-bis del Regolamento di esecuzione del Testo unico delle leggi di pubblica sicurezza, nonché dei requisiti professionali e di capacità tecnica richiesti per la direzione dei medesimi istituti e per lo svolgimento di incarichi organizzativi nell'ambito degli stessi istituti Decreto Legislativo n. 1 dell 11 aprile 2011 Attuazione della Direttiva 2008/114/CE recante l individuazione e la designazione delle infrastrutture critiche europee e la valutazione delle necessita di migliorarne la protezione Legge n. 4 del 14 gennaio 2013 Disposizioni in materia di professioni non organizzate Decreto Legislativo 1 gennaio 2013, n. 13 Definizione delle norme generali e dei livelli essenziali delle prestazioni per l'individuazione e validazione degli apprendimenti non formali e informali e degli standard minimi di servizio del sistema nazionale di certificazione delle competenze, a norma dell'articolo 4, commi 58 e 8, della legge 28 giugno 2012, n.92 Copyright Riproduzione vietata. Tutti i diritti sono riservati. Nessuna parte del presente documento può essere riprodotta o diffusa con un mezzo qualsiasi, fotocopie, microfilm o altro, senza il consenso scritto dell UNI. 27