Riferimenti Ufficiali
- Scheda profilo: WSP-G3-016
- Qualifica: Web Security Expert
- Versione: G3 Web Skills Profiles - versione 1.0
- Generation 3 European ICT Professional Profiles
Allegata alla specifica ufficiale del 14 febbraio 2013
Versione attuale:
Versione precedente:
Ultima versione:
Editor:
- Pasquale Popolizio (Coordinatore Gruppo IWA Italy - Web Skills Profiles) [WSPG3-01]
- Roberto Scano (Presidente IWA Italy - International Webmasters Association Italia) [WSPG3-02]
Copyright
I contenuti del presente documento sono tutelati dalla licenza Creative Commons [CC-01]
“Attribuzione - Non opere derivate - 3.0 Italia” (CC BY-ND 3.0 IT).
I nomi, marchi e loghi citati all’interno del documento quali, a titolo di esempio, CEN, il nome e
marchio dell’associazione IWA Italy e il marchio Certified Web Professional (CWP) sono tutelati
dalle vigenti normative in materia. Tutti i marchi riportati appartengono pertanto ai legittimi
proprietari; marchi di terzi, nomi di prodotti, nomi commerciali, nomi corporativi e società citati
possono essere marchi di proprietà dei rispettivi titolari o marchi registrati d’altre società e
sono stati utilizzati a puro scopo esplicativo ed a beneficio del possessore, senza alcun fine di
violazione dei diritti di copyright vigenti.
Profilo WSP-G3-016. Web Security Expert
Questa sezione è normativa.
La scheda profilo, di seguito riportata e descritta nell’allegato B, è parte integrante del
documento “G3 Web Skills Profiles - versione 1.0 - Generation 3 European ICT Professional
Profiles”, specifica ufficiale del 14 febbraio 2013” [WSPG3-03].
Definizione sintetica
Figura professionale che analizza il contesto IT di riferimento, valuta e propone l’opportuna
politica di sicurezza in accordo con le policy aziendali e il contesto specifico. E’ responsabile
della verifica periodica della sicurezza del sistema e dell’esecuzione degli opportuni test (es.
Penetration Test). Cura, inoltre, gli aspetti di formazione e sensibilizzazione sui temi della
sicurezza.
Missione
Il Web Security Expert analizza il contesto di riferimento, valuta e propone l’adeguata politica di
sicurezza da implementare in accordo con le policy aziendali per proteggere le applicazioni, i
server Web, i dati e i processi correlati. Analizza gli scenari di possibili attacchi e definisce i
requisiti tecnici di sicurezza. E’ responsabile delle verifiche di sicurezza durante le varie fasi di
realizzazione di un progetto Web e/o delle verifiche periodiche dopo il rilascio. Può occuparsi
personalmente di implementare le strategie di Security eseguendo azioni dirette sui vari oggetti
che necessitano di protezione come architetture, reti, sistemi o applicazioni.
Documentazione prodotta
Responsabile (Accountable)
- Report periodici con i risultati dei test sulla sicurezza
Referente (Responsible)
- Proposte di manutenzione evolutiva e Change Request che richiedono l’integrazione di nuovi controlli di sicurezza
Collaboratore (Contributor)
- Redazione della Politica di gestione dei rischi in ambito security
- Redazione del Piano gestione dei rischi
- Redazione del Piano Disaster Recovery
- Redazione della Politica di sicurezza delle informazioni digitali
Compiti principali
- Analizzare periodicamente l’insorgere di potenziali rischi relativi alla sicurezza dell’infrastruttura IT e dei dati: valutare le vulnerabilità tecniche, analizzare l’impatto e all’occorrenza proporre soluzioni
- Definire il Piano di Rientro per la gestione di vulnerabilità tecniche e dei rischi di sicurezza, pianificare, supportare e verificarle attività di rientro
- Collaborare alla redazione del piano di Disaster Recovery per la parte relativa alla sicurezza tecnica, in modo da garantire la sicurezza e la continuità operativa in caso di disastro.
- Monitorare la sicurezza dell’infrastruttura IT e dei dati: supervisionare il team di sicurezza (se è presente), eseguire periodicamente test di sicurezza (es. mediante Penetration Test o attacchi a negazione di servizio) e redigere i relativi Report
- Formare / sensibilizzare / aggiornare i membri dell’organizazzione sui temi di sicurezza
Competenze e-CF assegnate
- C.2. Supporto al cambiamento: Livello e-3
- C.3. Erogazione del servizio: Livello e-3
- D.9. Sviluppo del Personale: Livello e-3
- D.10. Gestione dell’Informazione e della Conoscenza: Livello e-4
- E.8. Gestione della Sicurezza dell’Informazione: Livello e-4
Capacità, conoscenze
Tecniche
- Conoscenza di standard di sicurezza internazionali (es. ISO 27001, ISO 22301)
- Conoscenza di normative nazionali sulla protezione dei dati (es. D.Lgs. 196/2003) e regolamentazioni di settore relative al contesto di applicazione (es: PCI-DSS)
- Conoscenza dei temi relativi alla sicurezza delle reti informatiche (es. antivirus e
firewall)
- Conoscenza dei temi relativi alla segretezza, cifratura, autenticazione, non disconoscimento e integrità dei dati (es. utilizzo di applicativi per l’autenticazione sicura, politica sicura per la scelta delle password)
- Conoscenza delle metodologie di Valutazione delle vulnerabilità (es. ISECOM OSSTMM, OWASP)
Informatiche
- Capacità di hardening di processi, architetture, reti, sistemi e applicazioni
- Capacità di utilizzo di Tecniche e strumenti per il Vulnerability Assessment e Penetration Test
Di Potenziamento
- Gestione dei Team
- Training
Area di applicazione dei KPI
- Efficacia delle policy di Sicurezza
- Rapporto costi/rischi
- Impatto finale degli incidenti di sicurezza
Qualifiche e certificazioni
- European ICT Professional Profiles “ICT Security Specialist”
- ISECOM OPST/OPSA/OPSE
- OSCP
- eCCPT
- Certificazione “CIW (Certified Internet Web Professional) - Security Specialist”
- Certificazione “CIW (Certified Internet Web Professional) - Security Professional”
Attitudini personali
Relazionali e Organizzative
- Problem Solving
- Lavorare per obiettivi
- Comunicazione efficace
- Team Leading
Linguistiche
- Buona conoscenza della lingua italiana o della lingua utilizzata dal gruppo di lavoro -livello minimo C1 QCER
- Buona conoscenza della lingua inglese - livello minimo A2 QCER
Relazioni e linee di riporto
(questa sezione è informativa)
Interagisce con
- Business Analyst
- DB Administrator
- Frontend Web Developer
- Server Side Web Developer
- Web Server Administrator
- Mobile Application Developer
Riporta a
Allegati
Allegato A. Glossario
informativo
per finalità informative e non richiesto per la conformità.
Nota: Il contenuto richiesto per la conformità è riferito come "normativo".
normativo
richiesto per ottenere la conformità.
Nota: Il contenuto indicato come "informativo" o "non normativo" non è mai necessario
per la conformità.
Allegato B. Struttura scheda profilo
La scheda del profilo professionale per il Web è identificata da un codice univoco ed èstrutturata con riferimento al paragrafo 4.2 del documento di riferimento ufficiale CEN “European e-Competence Framework version 2.0 - CWA Part II: User guidelines for the application of the European e-Competence Framework 2.0” [CWA-01].
- Titolo del Profilo. Nome - comprensivo di codice di identificazione - del profilo professionale per il Web così come catalogato in modo univoco in ambito internazionale da IWA/HWG.
- Definizione sintetica. Indica lo scopo principale del profilo. Lo scopo è presentare a tutti gli stakeholder ed utenti una breve, concisa descrizione del profilo professionale per il Web specificato, redatto in forma comprensibile dai professionisti ICT, dai manager e dal personale delle Risorse Umane.
- Missione. Descrive la ragione fondamentale del profilo. Lo scopo è di specificare il ruolo lavorativo definito nel Profilo professionale per il Web.
- Documentazione prodotta. Descrive ciò che viene prodotto dalla figura professionale come responsabile (garanzia), referente (supporto) e collaboratore (contributo).
- Compiti principali. Fornisce una lista dei tipici task svolti dal profilo. Un task è un’azione intrapresa per raggiungere un risultato in un contesto largamente definito e contribuisce alla definizione del profilo.
- Competenze e-CF assegnate. Fornisce una lista delle competenze necessarie (tratte dai riferimenti e-CF) per svolgere la missione. Una competenza è conseguenza della precedente definizione del Profilo ed aiuta a differenziare i profili.
- Capacità, conoscenze. Una lista dei capacità e conoscenze necessarie alla definizione del profilo, suddivise in capacità tecniche, informatiche e di potenziamento (rafforzative del profilo).
- Area di applicazione dei KPI. Basata sui KPI (Key Performance Indicators) l’area di applicazione dei KPI è un indicatore più generico, congruente con il livello di granularità del profilo complessivo. Si applica per aggiungere profondità alla missione.
- Qualifiche e certificazioni. Sono le qualifiche e le certificazioni consigliate, non necessarie per lo svolgimento delle attività correlate al profilo. Tali qualifiche e certificazioni possono essere pertanto utili al potenziamento della conoscenza di particolari competenze contenute nel profilo.
- Attitudini personali. Una lista di attitudini a supporto delle capacità e conoscenze, suddivise in relazionali/organizzative e linguistiche. In questa sezione sono riportati dei riferimenti al QCER [CE-01], i quali vanno intesi come puramente indicativi, ovvero senza necessitàdi specifiche certificazioni linguistiche.
- Relazioni e linee di riporto. Un elenco di figure professionali per il Web e non con cui il profilo dialoga (relazioni) o riferisce (linee di riporto). Questa sezione è informativa.
Allegato C. Riferimenti