Connect.gt

Condividiamo idee e conoscenza dal 2003...
...dopo 17 anni una Nuova Storia è nata
Scopri di più

Web Security Expert

Riferimenti Ufficiali

  • Scheda profilo: WSP-G3-016
  • Qualifica: Web Security Expert
  • Versione: G3 Web Skills Profiles - versione 1.0
  • Generation 3 European ICT Professional Profiles

Allegata alla specifica ufficiale del 14 febbraio 2013

Versione attuale:

Versione precedente:

  • nessuna

Ultima versione:

Editor:

  • Pasquale Popolizio (Coordinatore Gruppo IWA Italy - Web Skills Profiles) [WSPG3-01]
  • Roberto Scano (Presidente IWA Italy - International Webmasters Association Italia) [WSPG3-02]

Copyright

I contenuti del presente documento sono tutelati dalla licenza Creative Commons [CC-01] “Attribuzione - Non opere derivate - 3.0 Italia” (CC BY-ND 3.0 IT). I nomi, marchi e loghi citati all’interno del documento quali, a titolo di esempio, CEN, il nome e marchio dell’associazione IWA Italy e il marchio Certified Web Professional (CWP) sono tutelati dalle vigenti normative in materia. Tutti i marchi riportati appartengono pertanto ai legittimi proprietari; marchi di terzi, nomi di prodotti, nomi commerciali, nomi corporativi e società citati possono essere marchi di proprietà dei rispettivi titolari o marchi registrati d’altre società e sono stati utilizzati a puro scopo esplicativo ed a beneficio del possessore, senza alcun fine di violazione dei diritti di copyright vigenti.

Profilo WSP-G3-016. Web Security Expert

Questa sezione è normativa. La scheda profilo, di seguito riportata e descritta nell’allegato B, è parte integrante del documento “G3 Web Skills Profiles - versione 1.0 - Generation 3 European ICT Professional Profiles”, specifica ufficiale del 14 febbraio 2013” [WSPG3-03].

Definizione sintetica

Figura professionale che analizza il contesto IT di riferimento, valuta e propone l’opportuna politica di sicurezza in accordo con le policy aziendali e il contesto specifico. E’ responsabile della verifica periodica della sicurezza del sistema e dell’esecuzione degli opportuni test (es. Penetration Test). Cura, inoltre, gli aspetti di formazione e sensibilizzazione sui temi della sicurezza.

Missione

Il Web Security Expert analizza il contesto di riferimento, valuta e propone l’adeguata politica di sicurezza da implementare in accordo con le policy aziendali per proteggere le applicazioni, i server Web, i dati e i processi correlati. Analizza gli scenari di possibili attacchi e definisce i requisiti tecnici di sicurezza. E’ responsabile delle verifiche di sicurezza durante le varie fasi di realizzazione di un progetto Web e/o delle verifiche periodiche dopo il rilascio. Può occuparsi personalmente di implementare le strategie di Security eseguendo azioni dirette sui vari oggetti che necessitano di protezione come architetture, reti, sistemi o applicazioni.

Documentazione prodotta

Responsabile (Accountable)

  • Report periodici con i risultati dei test sulla sicurezza

Referente (Responsible)

  • Proposte di manutenzione evolutiva e Change Request che richiedono l’integrazione di nuovi controlli di sicurezza

Collaboratore (Contributor)

  • Redazione della Politica di gestione dei rischi in ambito security
  • Redazione del Piano gestione dei rischi
  • Redazione del Piano Disaster Recovery
  • Redazione della Politica di sicurezza delle informazioni digitali

Compiti principali

  • Analizzare periodicamente l’insorgere di potenziali rischi relativi alla sicurezza dell’infrastruttura IT e dei dati: valutare le vulnerabilità tecniche, analizzare l’impatto e all’occorrenza proporre soluzioni
  • Definire il Piano di Rientro per la gestione di vulnerabilità tecniche e dei rischi di sicurezza, pianificare, supportare e verificarle attività di rientro
  • Collaborare alla redazione del piano di Disaster Recovery per la parte relativa alla sicurezza tecnica, in modo da garantire la sicurezza e la continuità operativa in caso di disastro.
  • Monitorare la sicurezza dell’infrastruttura IT e dei dati: supervisionare il team di sicurezza (se è presente), eseguire periodicamente test di sicurezza (es. mediante Penetration Test o attacchi a negazione di servizio) e redigere i relativi Report
  • Formare / sensibilizzare / aggiornare i membri dell’organizazzione sui temi di sicurezza

Competenze e-CF assegnate

  • C.2. Supporto al cambiamento: Livello e-3
  • C.3. Erogazione del servizio: Livello e-3
  • D.9. Sviluppo del Personale: Livello e-3
  • D.10. Gestione dell’Informazione e della Conoscenza: Livello e-4
  • E.8. Gestione della Sicurezza dell’Informazione: Livello e-4

Capacità, conoscenze

Tecniche

  • Conoscenza di standard di sicurezza internazionali (es. ISO 27001, ISO 22301)
  • Conoscenza di normative nazionali sulla protezione dei dati (es. D.Lgs. 196/2003) e regolamentazioni di settore relative al contesto di applicazione (es: PCI-DSS)
  • Conoscenza dei temi relativi alla sicurezza delle reti informatiche (es. antivirus e

firewall)

  • Conoscenza dei temi relativi alla segretezza, cifratura, autenticazione, non disconoscimento e integrità dei dati (es. utilizzo di applicativi per l’autenticazione sicura, politica sicura per la scelta delle password)
  • Conoscenza delle metodologie di Valutazione delle vulnerabilità (es. ISECOM OSSTMM, OWASP)

Informatiche

  • Capacità di hardening di processi, architetture, reti, sistemi e applicazioni
  • Capacità di utilizzo di Tecniche e strumenti per il Vulnerability Assessment e Penetration Test

Di Potenziamento

  • Gestione dei Team
  • Training

Area di applicazione dei KPI

  • Efficacia delle policy di Sicurezza
  • Rapporto costi/rischi
  • Impatto finale degli incidenti di sicurezza

Qualifiche e certificazioni

  • European ICT Professional Profiles “ICT Security Specialist”
  • ISECOM OPST/OPSA/OPSE
  • OSCP
  • eCCPT
  • Certificazione “CIW (Certified Internet Web Professional) - Security Specialist”
  • Certificazione “CIW (Certified Internet Web Professional) - Security Professional”

Attitudini personali

Relazionali e Organizzative

  • Problem Solving
  • Lavorare per obiettivi
  • Comunicazione efficace
  • Team Leading

Linguistiche

  • Buona conoscenza della lingua italiana o della lingua utilizzata dal gruppo di lavoro -livello minimo C1 QCER
  • Buona conoscenza della lingua inglese - livello minimo A2 QCER

Relazioni e linee di riporto

(questa sezione è informativa)

Interagisce con

  • Business Analyst
  • DB Administrator
  • Frontend Web Developer
  • Server Side Web Developer
  • Web Server Administrator
  • Mobile Application Developer

Riporta a

  • Web Project Manager

Allegati

Allegato A. Glossario

informativo

per finalità informative e non richiesto per la conformità.

Nota: Il contenuto richiesto per la conformità è riferito come "normativo".

normativo

richiesto per ottenere la conformità.

Nota: Il contenuto indicato come "informativo" o "non normativo" non è mai necessario per la conformità.

Allegato B. Struttura scheda profilo

La scheda del profilo professionale per il Web è identificata da un codice univoco ed èstrutturata con riferimento al paragrafo 4.2 del documento di riferimento ufficiale CEN “European e-Competence Framework version 2.0 - CWA Part II: User guidelines for the application of the European e-Competence Framework 2.0” [CWA-01].

  • Titolo del Profilo. Nome - comprensivo di codice di identificazione - del profilo professionale per il Web così come catalogato in modo univoco in ambito internazionale da IWA/HWG.
  • Definizione sintetica. Indica lo scopo principale del profilo. Lo scopo è presentare a tutti gli stakeholder ed utenti una breve, concisa descrizione del profilo professionale per il Web specificato, redatto in forma comprensibile dai professionisti ICT, dai manager e dal personale delle Risorse Umane.
  • Missione. Descrive la ragione fondamentale del profilo. Lo scopo è di specificare il ruolo lavorativo definito nel Profilo professionale per il Web.
  • Documentazione prodotta. Descrive ciò che viene prodotto dalla figura professionale come responsabile (garanzia), referente (supporto) e collaboratore (contributo).
  • Compiti principali. Fornisce una lista dei tipici task svolti dal profilo. Un task è un’azione intrapresa per raggiungere un risultato in un contesto largamente definito e contribuisce alla definizione del profilo.
  • Competenze e-CF assegnate. Fornisce una lista delle competenze necessarie (tratte dai riferimenti e-CF) per svolgere la missione. Una competenza è conseguenza della precedente definizione del Profilo ed aiuta a differenziare i profili.
  • Capacità, conoscenze. Una lista dei capacità e conoscenze necessarie alla definizione del profilo, suddivise in capacità tecniche, informatiche e di potenziamento (rafforzative del profilo).
  • Area di applicazione dei KPI. Basata sui KPI (Key Performance Indicators) l’area di applicazione dei KPI è un indicatore più generico, congruente con il livello di granularità del profilo complessivo. Si applica per aggiungere profondità alla missione.
  • Qualifiche e certificazioni. Sono le qualifiche e le certificazioni consigliate, non necessarie per lo svolgimento delle attività correlate al profilo. Tali qualifiche e certificazioni possono essere pertanto utili al potenziamento della conoscenza di particolari competenze contenute nel profilo.
  • Attitudini personali. Una lista di attitudini a supporto delle capacità e conoscenze, suddivise in relazionali/organizzative e linguistiche. In questa sezione sono riportati dei riferimenti al QCER [CE-01], i quali vanno intesi come puramente indicativi, ovvero senza necessitàdi specifiche certificazioni linguistiche.
  • Relazioni e linee di riporto. Un elenco di figure professionali per il Web e non con cui il profilo dialoga (relazioni) o riferisce (linee di riporto). Questa sezione è informativa.

Allegato C. Riferimenti

Estratto da "http://www.giorgiotave.it/wikigt/index.php?title=Web_Security_Expert&oldid=7039"
  • Questa pagina è stata modificata per l'ultima volta il 18 feb 2013 alle 19:54.
  • Questa pagina è stata letta 1 696 volte.