Security manager: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 16:41, 11 feb 2012 modifica 151.27.39.167 (discussione) Nessun oggetto della modifica ← Differenza precedente		Versione attuale delle 18:50, 3 set 2024 modifica annulla 87.4.209.83 (discussione) Corretto: "informazioni"
(43 versioni intermedie di 17 utenti non mostrate)
Riga 1: Il '''Security manager''' è la figura di riferimento per l'organizzazione, la gestione e l'assunzione di [[responsabilità]] della [[sicurezza]] di un'[[azienda]]. ==Descrizione== In questa ottica la moderna figura del ''Security manager'' nel rispetto della dottrina della [[scienza della sicurezza]] deve essere in grado di presidiare rischi e minacce a tutto campo in relazione agli scenari sempre in evoluzione nel campo tecnico, economico, informatico, economico, finanziario, ecc. in un contesto sempre più globalizzato ed interconnesso con le realtà più disparate <ref> L’esperto della sicurezza (o security manager) deve avere competenze necessarie indubbiamente vaste e di natura eterogenea tra loro anche dal punto di vista tecnico-specialistico. In genere, possiede una laurea in ingegneria elettronica, informatica o delle comunicazioni ma può aver conseguito anche solo un diploma ad indirizzo tecnico. Il security manager deve comunque possedere:competenze tecniche, conoscenze giuridico-legali e di criminologia con riferimento specifico ai crimini informatici e alla tutela delle informazioni, nozioni sul rischio e sulla protezione aziendale, sulla tutela di marchi e brevetti e infine conoscenze per l’analisi delle frodi aziendali, competenza per quel che riguarda Internet e tutte le problematiche inerenti a server, reti e periferiche, competenze su piattaforme hardware e software e le modalità del commercio elettronico, familiarità con i più diffusi protocolli di comunicazione e con linguaggi come Java e Html e Xml, conoscenza di sistemi di algoritmi crittografici, protocolli di autenticazione e gestione delle chiavi, padronanza della lingua inglese e capacità di lavorare in team e alla disponibilità ad orari flessibili. E’ ritenuto fondamentale, inoltre, un orientamento al problem ''solving'' e la capacità di imporre i necessari provvedimenti di sicurezza elaborati. Spesso, infatti, è proprio il cliente del security manager ad ostacolarne il lavoro, magari inconsapevolmente, per ignoranza sull’argomento o semplice trascuratezza (così Isfol - elaborazione editoriale - il 27.07.2010) </ref> . In quest'ottica la moderna figura del ''Security manager'' nel rispetto della dottrina della [[scienza della sicurezza]] deve essere in grado di presidiare rischi e minacce a tutto campo in relazione agli scenari sempre in evoluzione nel campo tecnico, informatico, economico, finanziario, ecc. in un contesto sempre più globalizzato ed interconnesso con le realtà più disparate<ref> L’esperto della sicurezza (o security manager) deve avere competenze necessarie indubbiamente vaste e di natura eterogenea tra loro anche dal punto di vista tecnico-specialistico. In genere, possiede una laurea in [[ingegneria elettronica]], [[ingneria informatica\|informatica]] o delle comunicazioni, ma può aver conseguito anche solo un diploma ad indirizzo tecnico. Il security manager deve comunque possedere: competenze tecniche, conoscenze giuridico-legali e di [[criminologia]] con riferimento specifico ai crimini informatici e alla tutela delle informazioni, nozioni sul rischio e sulla protezione aziendale, sulla tutela di [[marchio\|marchi]] e [[brevetto\|brevetti]] e infine conoscenze per l’analisi delle frodi aziendali, competenza per quel che riguarda Internet e tutte le problematiche inerenti a server, reti e periferiche, competenze su piattaforme hardware e software e le modalità del commercio elettronico, familiarità con i più diffusi protocolli di comunicazione e con linguaggi come [[linguaggio Java\|Java]] e [[Html]] e [[Xml]], conoscenza di sistemi di [[algoritmo\|algoritmi]] [[crittografia\|crittografici]], [[protocollo di rete\|protocolli]] di [[autenticazione]] e gestione delle [[chiave (crittografia)\|chiavi]], padronanza della [[lingua inglese]] e capacità di lavorare in team e alla disponibilità ad orari flessibili. È ritenuto fondamentale, inoltre, un orientamento al ''[[problem solving]]'' e la capacità di imporre i necessari provvedimenti di sicurezza elaborati. Spesso, infatti, è proprio il cliente del security manager ad ostacolarne il lavoro, magari inconsapevolmente, per ignoranza sull’argomento o semplice trascuratezza (così Isfol - elaborazione editoriale - il 27.07.2010) </ref>. [[File:U.S. Navy Cyber Defense Operations Command monitor.jpg\|thumb\|''Navy Cyber Defense Operations Command'', unità che controlla le attività non autorizzate nei sistemi informativi della [[United States Navy]]]] Così, il ''Security manager'' dovrà possedere una buona padronanza del ''[[business]]'', delle tecniche per garantire la ''sicurezza fisica'', la ''[[privacy]]'' e la ''[[governance]]'' ed essere quindi un soggetto di riferimento in grado di operare nell'azienda in modo trasversale fornendo rilevanti capacità di supporto e di comunicazione verso i terzi. Importantissima per quest'ultima, la capacità di gestire un partenariato pubblico-privato a tutto campo<ref> La problematica molto attuale della sicurezza ha visto nascere in Italia, corsi universitari e non, ideati appositamente per affrontare un tema che sta divenendo sempre di maggiore rilievo. L’[[Università di Bologna]], all’interno della [[Facoltà di Scienze Politiche]] e in convenzione con AssoSicurezza di Milano, come l'[[Università di Roma Tor Vergata]], all'interno della Facoltà di Giurisprudenza, hanno istituito un ''Corso di Perfezionamento'', rivolto a laureati, in ''Security Management'' e ''Security Manager'' </ref>. Il concetto contemporaneo di ''sicurezza'' che chiama in causa il ''Security manager'' abbraccia un contesto molto ampio che va dalla sicurezza fisica dell'infrastruttura, al controllo della protezione delle strategie produttive dell'impresa, alla sicurezza delle [[infrastrutture critiche]], alla sicurezza nazionale, alla [[sicurezza informatica]], alla [[sicurezza sul lavoro]], della fedeltà dei dipendenti, della rete di informazione-comunicazione, dell'introito merci, del trasporto protetto e sicuro dei prodotti, della privacy, ecc.<ref> Negli [[Stati Uniti d'America]] e nel nord dell’Europa il ruolo e l’importanza nella strategia dell’azienda dell’esperto della sicurezza sono da tempo riconosciuti e sfruttati; in [[Italia]], al momento, le società che offrono un servizio di sicurezza online sono ancora poche, ma il mercato sembra essere in espansione. Probabilmente anche per questo, oltre che per la crescente richiesta sul mercato, sono sorti vari corsi di studio legati a tale figura professionale sia legati ad atenei statali che ad enti privati. Ad ogni modo, l’esperto della sicurezza può operare come consulente all’interno di un’azienda, come libero professionista, o far parte di un’impresa che si occupa proprio di garantire questo tipo di servizio. Il continuo ingresso di aziende nel web e le transazioni ad esso connesse hanno reso il problema della sicurezza delle informazioni una questione centrale che non è possibile trascurare ulteriormente: qualsiasi azienda che decida di affacciarsi in rete non può evitare di fare i conti con il problema della sicurezza. Le previsioni sembrano dunque positive rispetto alle tendenze occupazionali future per gli esperti di sicurezza: attualmente i pochi professionisti della ''security'' sono contesi da numerose imprese ed è indubbio un ulteriore aumento di interesse attorno ad essi. In Italia, attualmente, le società che offrono consulenza e servizi in questo campo sono ancora poche ma esistono: Polytecna, Inet, Security Lab di Intesis, Security-Net e Network Security sono i loro nomi (così Isfol -elaborazione editoriale- del 27.07.2010) </ref>. Il concetto sicurezza in senso lato generalmente si identifica nella safety, [[security]] ed [[emergency (sicurezza)\|emergency]]: * '''safety''': come incolumità della persona intesa non solo dai danni fisici, ma anche da quelli morali, spirituali e indiretti. Così, il ''Security manager'' dovrà possedere una buona padronanza del ''business'', delle tecniche per garantire la ''sicurezza fisica'', la ''privacy'' e la ''governance'' ed essere quindi un soggetto di riferimento in grado di operare nell'azienda in modo trasversale fornendo rilevanti capacità di supporto e di comunicazione verso i terzi. Importantissima per quest'ultima, la capacità di creare un partenariato pubblico-privato a tutto campo. * '''security''': come cultura, studio e gestione della sicurezza per la realizzazione di misure per la prevenzione, porre in essere misure per la sicurezza delle informazioni riservate/segrete. Il concetto contemporaneo di ''sicurezza'' che chiama in causa il ''Security manager'' abbraccia un contesto molto ampio che va dalla sicurezza fisica dell'infrastruttura, al controllo della protezione delle strategie produttive dell'impresa, alla sicurezza delle [[infrastrutture critiche]], alla [[sicurezza nazionale]], alla [[sicurezza informatica]], alla [[sicurezza sul lavoro]], della fedeltà dei dipendenti, della rete di informazione-comunicazione, dell'introito merci, del trasporto protetto e sicuro dei prodotti, della privacy, ecc. * '''emergency''': riguarda la protezione e il contenimento del pericolo. Strutture che operano per fare "sicurezza" in senso di ''emergency'' (soccorso) sono la [[polizia]], i [[vigile del fuoco\|vigili del fuoco]], il [[pronto soccorso]] e la protezione civile<ref> così nella voce in Wikipedia [[scienza della sicurezza]] </ref>. ~~Il concetto sicurezza in senso lato generalmente si identifica nella [[safety]], [[security]] ed [[emergency (sicurezza)\|emergency]]:~~ ===Il risk management=== * '''safety''': come incolumità della persona intesa non solo dai danni fisici ma anche da quelli morali, spirituali e indiretti. Il ''risk management'' è l'analisi del rischio globale e relativa gestione attraverso l'esame degli scenari del rischio, della strategia di gestione e controllo del rischio, dell'identificazione e valutazione del rischio, del rischio di ''compliance'', degli strumenti di controllo, dell'''enterprise risk management'' e della crisi di ''management''. ===Lo scenario di riferimento=== * '''security''': come cultura, studio e gestione della sicurezza per la realizzazione di misure per la prevenzione, porre in essere misure per la sicurezza delle informazione riservate/segrete. Attiene alla valutazione e presa in carico del rischio, nonché all'evoluzione del rischio: da quello fisico a quello strategico, l'esame dei riferimenti legislativi della ''security'', la strutturazione della funzione della ''security'' e le sue interrelazioni interne ed esterne, la collocazione organizzativa nonché la missione ed il ruolo della funzione di ''security''. Rientra in questo campo l'attività preliminare di ''intelligence'': analisi del territorio, dell'azienda, del contesto competitivo, delle vulnerabilità, delle tipologie di rischio di un approccio integrato di tutela ambientale, scelta delle opzioni di ''security'' nonché tecnologie di supporto dell'''homeland security''. * '''emergency''': riguarda la [[protezione]] e il contenimento del pericolo. Strutture che operano per fare "sicurezza" in senso di ''emergency'' (soccorso) sono la [[polizia]], i [[vigili del fuoco]], il [[pronto soccorso]] e la [[protezione civile]] <ref> così nella voce in Wikipedia [[scienza della sicurezza]] </ref>. ===Governo della security=== Ovvero, il governo della ''security'': impresa e qualità, certificazione dei sistemi e delle professionalità, le norme ISO 150 9000 e loro evoluzione, il sistema della gestione aziendale secondo UNI EN ISO 9004, la ''security'' nei contratti esterni, nella sicurezza privata, la selezione, l'utilizzo e la gestione dei servizi di sorveglianza, l'organizzazione della sicurezza pubblica e privata, la definizione di una ''security policy'', la sicurezza del ''top management'', la tutela del patrimonio informativo. ===Sicurezza delle informazioni=== [[File:Seal of the Central Intelligence Agency.svg\|thumb\| stemma della CIA (nello scudo brandito dall'aquila).<ref>{{Cita web \|url=http://www.americanheraldry.org/pages/index.php?n=DesignAward.CIA \|titolo=Simple Arms a Rarity in American Government Heraldry (Americanheraldry.org) \|accesso=12 febbraio 2012 \|urlarchivio=https://web.archive.org/web/20120322035042/http://www.americanheraldry.org/pages/index.php?n=DesignAward.CIA \|dataarchivio=22 marzo 2012 \|urlmorto=sì }}</ref>]] Riguarda la sicurezza dei sistemi di elaborazione dati, le tipologie di attacco, le tecniche di difesa HW e SW, la sicurezza dei sistemi di telecomunicazione, la tutela delle informazioni, la tutela dei dati personali in applicazione del D. Lgs. 196/2003 sulla ''privacy'', la sicurezza della base dei dati: autorizzazioni, piani di ''backup'' e procedure di ''disaster recovery'', meccanismi di ''tracing'' e di ''auditing'', ''firewall'' per l'interconnessione con la rete internet, ecc. ===Relazioni istituzionali=== È uno degli aspetti più delicati fra tutte le competenze del ''security manager'' cui è richiesta la capacità di alimentare costantemente un partenariato pubblico-privato. In tale ottica egli dovrà rapportarsi con le conseguenze dell'impatto dell'azienda sul territorio e sulla popolazione. A seconda dei casi dovrà relazionarsi e collaborare con le forze di polizia, gli istituti di vigilanza privata, uffici pubblici interconnessi con l'attività aziendale, organi di informazione (stampa, redazioni on-line e radio) e talora anche con [[storia dei servizi segreti italiani\|servizi di informazione e sicurezza]] italiani o stranieri, ufficialmente contattabili -questi ultimi- attraverso i canali [[ambasciata\|ambasciate]]-[[consolato (diplomazia)\|consolati]]. ~~==il risk management==~~ ~~==lo scenario di riferimento==~~ ~~==governo della security==~~ ~~==sicurezza delle informazioni==~~ ~~==organizzazione aziendale e risposte operative ai rischi==~~ ~~==relazioni istituzionali==~~ ==Note== <references/> == Bibliografia == * {{cita libro \| cognome= Saccone \| nome= Umberto\| titolo= Il ruolo del security manager\| editore= Rassegna dell'Arma dei Carabinieri \| città= Roma \| ed= \| anno= 2010 n. 1-2 \| id= \| cid= Saccone, ''Il ruolo del security manager''\| url= }} * {{cita libro \| cognome= Saccone \| nome= Umberto\| titolo= La Security aziendale nell'ordinamento italiano \| editore= Gruppo 24ore \| città= Roma \| ed= \| anno= 2010 \| id= \| cid= Saccone, ''La Security aziendale nell'ordinamento italiano''\| url= }} * {{cita libro \| cognome= Brolis \| nome= Renzo\| titolo= Salute e sicurezza negli ambienti di lavoro \| editore= Giunti \| città= Firenze \| ed= \| anno= 1996 \| id= \| cid= Brolis, ''Salute e sicurezza negli ambienti di lavoro'' \| url= }} * {{cita libro \| cognome= Brolis \| nome= Renzo \| titolo= La sicurezza nei luoghi di lavoro: formazione e prevenzione \| editore= La Scuola \| città= Brescia \| ed= \| anno= 2006 \| id= \| cid= Brolis, ''La sicurezza nei luoghi di lavoro: formazione e prevenzione'' \| url= }} Riga 36 ⟶ 54: == Voci correlate == * [[Sicurezza]] * [[Dispositivi di protezione individuale]] * [[Ingegneria della sicurezza]] * [[Scienza della sicurezza]] {{portale\|lavoro}} * [[Sicurezza informatica]] * [[Sicurezza sul lavoro]] ~~{{multiCol}}~~ ~~;Concetti generali~~ [[Sicurezza]] [[Valutazione del rischio]] [[Infortunio]] [[Incidente]] [[Valutazione dell'esposizione]] [[Compensazione dei rischi]] [[Gestione del rischio]] [[Igiene]] [[Misure di sicurezza]] ~~;Sottodiscipline~~ [[Sicurezza alimentare]] [[Sicurezza ambientale]] [[Sicurezza antincendio]] [[Sicurezza bancaria]] [[Sicurezza domestica]] [[Sicurezza elettrica]] [[Sicurezza finanziaria]] [[Sicurezza globale]] [[Sicurezza informatica]] [[Sicurezza legale]] [[Sicurezza personale]] [[Sicurezza sanitaria]] [[Sicurezza sociale]] [[Sicurezza urbana]] [[Security Management]] [[Difesa personale]] [[Disaster recovery]] ~~;Legislazione, normativa e standard sulla sicurezza~~ [[Legge 626]] [[Decreto 494\|Sicurezza del cantiere (494)]] [[Normativa elettrica]] [[Standard ISO 27001:2005]] [[OHSAS 18001]] ~~;Pronto soccorso~~ [[Pronto soccorso]] [[Rianimazione cardiopolmonare\|Basic Life Support]] ~~{{ColBreak}}~~ ~~;Sicurezza dei trasporti~~ [[Sicurezza dei trasporti]] (aerea, navale, ferroviaria, etc.) [[Agenzia Nazionale per la Sicurezza del Volo\|Agenzia nazionale per la sicurezza del volo]] [[Sicurezza stradale]] [[Sicurezza automobilistica]] [[Cintura di sicurezza]] [[Incidente stradale]] [[Incidenti stradali in Europa]] ~~;Sicurezza sul lavoro~~ [[Sicurezza sul lavoro]] [[Antinfortunistica]] [[Assicurazione]] [[Assicurazione sanitaria]] [[Chiamata di emergenza]] [[Dispositivi di protezione individuale]] [[Imbragatura]] [[Medicina del lavoro]] [[Spesal]] [[Tecniche della Prevenzione nell'ambiente e nei luoghi di lavoro]] [[ISPESL]] ~~;Sicurezza industriale~~ [[Etichette di pericolo delle sostanze chimiche]] [[Ingegneria della sicurezza]] [[Tensione ammissibile]] ~~;Sicurezza pubblica~~ [[Difesa civile]] [[Sicurezza civile]] [[Sicurezza pubblica]] [[Comitato provinciale per l'ordine e la sicurezza pubblica]] [[Consiglio di Sicurezza delle Nazioni Unite]] [[Nucleo Operativo Centrale di Sicurezza]] [[Polizia di Stato\|La Polizia di Stato]] [[Sicurezza nazionale]] [[Pubblica sicurezza]] [[Vigili del Fuoco]] [[Protezione civile]] ~~;Altre~~ [[Igiene ambientale]] [[Medicina preventiva]] [[Screening]] *[[Protezionistica]] ~~{{EndMultiCol}}~~ ~~==Altri progetti==~~ ~~{{interprogetto\|etichetta=sicurezza\|commons=Category:Security\|commons_preposizione=sulla\|q\|q_preposizione=sulla\|wikt=sicurezza}}~~ ~~{{portale\|sicurezza informatica}}~~ ~~[[Categoria:Sicurezza informatica\| ]]~~ ~~[[Categoria:Attività di polizia]]~~ ~~[[Categoria:Analisi del rischio]]~~ [[Categoria:Sicurezza]] ~~[[categoria:sicurezza\| ]]~~ ~~[[Categoria:Ergonomia]]~~