L’ICT Security Manager: ruolo, programma di formazione e certificazione

1. Certificazioni del personale e certificazionidei sistemi di gestione della sicurezza delle informazioni L’ICT Security Manager: ruolo, programma di formazione e certificazione Smau 2002 28 ottobre 2002

2. From  “Effective Security Management” by Charles A. Sennewald. quote “ ..... The Security Director  should be a person who is:   1.A leader, who does not directly manage, but provides leadership 2.A Company Executive, who must be business oriented, and should not be viewed too narrowly, as only a security person 3.Highly visible, should be sought after and available 4.An executive with broad profile, and one who contributes to other areas of the company's business 5.An innovator , who is always looking for a better way to do things 6.A counsellor and adviser, to help solve employee’s problems 7.A trainer in security issues 8.A target and goal setter, must be the person to set security objectives and targets. Someone who does not leave the task, to be done, to other management people " ....... unquote Alessandro Lega alessandro_lega@tin.it

3. Da “Effective Security Management” di Charles A. Sennewald. quote “ ..... Il Security Manager dovrebbe essere una persona in grado di operare come:   1.Un leader, che non gestisce direttamente, ma opera con leadership 2.Un executive aziendale che deve essere orientato al business e non dovrebbe esser visto in modo troppo limitato come una persona solo security 3.Altamente visibile, dovrebbe apparire costantemente dedicato e disponibile 4.Un executive con un profilo ampio e che contribuisce anche alle altre aree di business dell’azienda 5.Un innovatore , sempre alla ricerca del modo migliore di operare 6.Un “consigliere” ed anche un “consulente” per aiutare a risolvere problemi 7.Un “allenatore” in materia di sicurezza 8.Uno che definisce cosa raggiungere,che imposta gli obiettivi ed i target di security. Qualcuno che non lascia ad altri manager ciò che lui deve fare " ....... unquote Alessandro Lega alessandro_lega@tin.it

4. Certificazione ? Ma di quale certificazione stiamo parlando ? “La certificazione delle professionalità attesta che una determinata persona, valutata da una terza parte indipendente, secondo regole prestabilite, possiede i requisiti necessari e sufficienti per operare con competenza e professionalità in un determinato settore di attività” Fonte: SINCERT Alessandro Lega alessandro_lega@tin.it

5. Certificazione dell’attività di ICT Security Manager Requisiti per la certificazione • Profilo • Titolo di studio • Esperienza lavorativa • Caratteristiche personali Percorso di formazione • Area Tecnologica • Area Manageriale • Area Legale Alessandro Lega alessandro_lega@tin.it

6. Certificazione dell’attività di ICT Security Manager • Certificazione • Tramite partecipazione ad uno specifico corso di formazione ritenuto adeguato dall’ente certificatore e superamento del relativo esame di valutazione. • Mantenimento • Per mantenere la certificazione valida nel tempo è necessario accumulare periodicamente un punteggio di “crediti” ottenibili con corsi di aggiornamento, partecipazione a seminari o altre forme che siano riconosciute dall’ente certificatore. • I crediti dovranno riferirsi a tutte le 3 aree indicate nel percorso formativo. Alessandro Lega alessandro_lega@tin.it

7. Area Tecnologica • Il percorso di formazione dovrà includere: • Elementi base dell’ICT, dei concetti di sistema e della rete • Introduzione sui fondamentali della Security • Tecniche di controllo accesso fisico e logico • Principali protocolli per il trasferimento dei dati in rete • Modalità di protezione delle informazioni e tecniche di crittografia • Firma digitale ed algoritmi • Sicurezza soluzione Wireless • Intranet, VPN, LAN • Antivirus, Firewall, tecniche di contrasto • Business Continuity e Disaster Recovery • Vulnerability Analysis e ICT Auditing Alessandro Lega alessandro_lega@tin.it

8. Area Management • La formazione manageriale di base dovrebbe includere aspetti che vanno dalla comunicazione efficace alla gestione del budget, dal problem solving ad aspetti strategici. Questi sono normalmente trattati nei corsi di formazione manageriale. • In particolare per la formazione dell’ICT Security Manager si dovranno includere: • Aspetti organizzativi dell’Information Tecnology • Gestione delle problematiche complesse • Organizzazione della struttura di ICT Security • Risk Analysis e Risk Assessment • Sistemi di misurazione per analisi Costi/Benefici • Definizione di Company Policy • Definizione delle strategie dell’ICT Security Alessandro Lega alessandro_lega@tin.it

9. Area Legale • Gli aspetti giuridico-legali del percorso di formazione per ICT Security Manager devono includere: • Riferimenti legislativi in essere (DLGS 29/12/92 N° 518, Legge 23/12/93 N° 547, Legge 21/12/96 N° 675, DPR 1997/513, DLGS 467/01) • Misure minime di sicurezza (DPR 318/99, Legge 03/11/00 N°325) • Standard di riferimento nazionali ed internazionali ( ISO, BS, etc) • Responsabilità Civili e Penali per violazione alle norme • Iniziative di tipo giuridico a protezione del patrimonio informatico aziendale • Aspetti relativi alla Proprietà Intellettuale • Aspetti contrattuali relativi all’Outsourcing Alessandro Lega alessandro_lega@tin.it

10. Conclusioni • Profilo personale • Contenuti manageriali • Contenuti professionali • Contenuti etici • Processo di formazione • Percorso di certificazione • Modalità di mantenimento Alessandro Lega alessandro_lega@tin.it

11. Grazie per l’attenzione Alessandro Lega alessandro_lega@tin.it