UNI 10459:2017
SECURITY MANAGER

INTRODUZIONE

CONTESTO

1. SCOPO E CAMPO DI APPLICAZIONE

la norma definisce i requisiti relativi all'attività professionale coinvolta nel processo di security, ossia la persona le cui conoscenze, abilità e competenze sono tali da garantire la gestione complessiva del processo o di rilevanti sotto- processi

2. RIFERIMENTI NORMATIVI

la presente norma rimanda, mediante riferimenti datati e non, a disposizioni contenute in altre pubblicazioni

3. TERMINI E DEFINIZIONI

QUALIFICA

4. COMPITI E ATTIVITÀ SPECIFICHE DEL PROFESSIONISTA DELLA SECURITY

aree di responsabilità che rientrano nella funzione del professionista della security

5. CONOSCENZE, ABILITÀ E COMPETENZE DEL "PROFESSIONISTA DELLA SECURITY" (PROFILO DI RIFERIMENTO)

5.1. GENERALITA'

6. ELEMENTI PER LA VALUTAZIONE E CONVALIDA DEI RISULTATI DELL'APPRENDIMENTO

per la valutazione dei risultati dell'apprendimento non formale e informale è necessario tener presente che devono essere valutate, in modo oggettivo e direttamente le conoscenze, abilità e competenze

APPENDICE A -
CONOSCENZE, ABILITÀ E COMPETENZE DEL PROFESSIONISTA DELLA SECURITY

A.0. ASPETTI GENERALI

APPENDICE B -
REQUISITI PER L'ACCESSO Al LIVELLI PROFESSIONALI DEL PROFESSIONISTA DELLA SECURITY

B.1. REQUISITI DI ACCESSO PER SECURITY EXPERT, SECURITY MANAGER E SENIOR SECURITY MANAGER

APPENDICE C -
ASPETTI ETICI E DEONTOLOGICI

principi deontologici consistono in:

APPENDICE D -
ASPETTI COMPORTAMENTALI

il Professionista della Security adotta schemi comportamentali che richiamino e rispettino i principi integrità professionale

APPENDICE E -
DEFINIZIONI DI "APPRENDIMENTO"

Terminology of European education and training policy

APPENDICE F -
RIFERIMENTI LEGISLATIVI APPLICABILI

elenco dei riferimenti normativi

attività Professionista della Security possono intrecciarsi con quelle di professionisti specializzati in altri ambiti relativi alla sicurezza

INTRODUZIONE ALLA NORMA E RELATIVO APPROCCIO METODOLOGICO

sono stati osservati i principi e le indicazioni di cui alla Raccomandazione 2008/C111 /01 (EQF) e della Raccomandazione 2009/C 155/02 (ECVET)

5.2. COMPETENZE

5.3. CONOSCENZE

5.4. ABILITA'

A.1. COMPITI DEL SECURITY EXPERT

A.4. CONOSCENZE

A.5. ABILITA'

sicurezza delle informazioni (UNI 11621)

protezione dei dati personali

salute e sicurezza sul lavoro

antifrode

tutela dei marchi e dei brevetti

la norma delinea tre livelli del profilo di professionista della security in funzione dei contesti organizzativi di diversa complessità

1) Professionista della Security di primo livello (operativo - Security Expert EQF 5): orientato a una "media' complessità di security

2) Professionista della Security di secondo livello (manageriale - Security Manager EQF 6): orientato a una "medio- alta" complessità di security

3) Professionista della Security di terzo livello (alto manageriale - Senior Security Manager EQF 7): orientato alla "massima' complessità di security

detti requisiti sono specificati, a partire dai compiti e dalle attività specifiche identificate, in termini di conoscenza, abilità e competenza in conformità al Quadro Europeo delle Qualifiche (European Qualifications Framework- EQF)

nella descrizione dell'attività professionale (EQF 5-6-7) è considerata la variabilità di numerosi e differenti aspetti, tra i quali:

modalità e criteri di esecuzione della prestazione

competenze specifiche

aspettative e richieste del cliente

percorsi di formazione e apprendimento

valore aggiunto riconosciuto alla prestazione

RISULTATI DELL'APPRENDIMENTO

VALUTAZIONE DEI RISULTATI DELL'APPRENDIMENTO

CONVALIDA DEI RISULTATI DELL'APPRENDIMENTO

CONOSCENZA

ABILITA'

COMPETENZA

APPRENDIMENTO FORMALE

APPRENDIMENTO NON FORMALE

APPRENDIMENTO INFORMALE

PONDERAZIONE DEL RISCHIO

PREVENZIONE

PROCESSO DI SECURITY

PROFESSIONISTA DELLA SECURITY

PROTEZIONE DAL RISCHIO (RISK PROTECTION - RISK MITIGATION)

SECURITY

SICUREZZA DELLE INFORMAZIONI

TRATTAMENTO DEL RISCHIO

VALUTAZIONE DEL RISCHIO (RISK ASSESSMENT)

VALUTAZIONE DEL RISCHIO RELATIVO ALLA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY ASSESSMENT)

VALUTAZIONE DELLA SECURITY FISICA (PHYSICAL SECURITY ASSESSMENT)

VALUTAZIONE DI VULNERABILITA' (VULNERABILITY ASSESSMENT)

risultato formale di un processo di valutazione e convalida, acquisito quando un ente/istituzione competente e imparziale stabilisce che i risultati dell'apprendimento di una persona corrispondono a norme tecniche definite

descrizione di ciò che una persona conosce, capisce ed è in grado di fare al termine di un processo di apprendimento

i risultati sono descritti in termini di conoscenze, abilità e competenze

i risultati dell'apprendimento possono derivare da apprendimenti formali, non formali o informali

metodi e processi utilizzati per definire la
misura in cui una persona ha effettivamente conseguito una particolare conoscenza, abilità o competenza

processo di conferma che determinati risultati
dell'apprendimento valutati, ottenuti da una persona, corrispondono ai risultati specificati
richiesti per una qualifica o per parte di essa

la certificazione, in conformità alla UNI GEI EN 1S0/IEC 17024, è un processo di valutazione e convalida

il riconoscimento dei risultati dell'apprendimento, secondo regole definite, da parte di soggetti o di altre organizzazioni preposte, è altresì un processo di valutazione e convalida

risultato dell'assimilazione di informazioni attraverso l'apprendimento

le informazioni comprendono, ma non sono limitate a: fatti, principi, teorie, pratiche ed esperienze relative ad un settore di lavoro o di studio

nel contesto dello EQF le conoscenze sono descritte come teoriche e/o pratiche

definizione adattata dallo EQF, Allegato I, definizione g)

capacità di applicare conoscenze per portare a termine compiti e risolvere problemi

nel contesto dello EQF le abilità sono descritte come cognitive (comprendenti l'uso del pensiero logico, intuitivo e creativo) o pratiche (comprendenti l'abilità manuale e l'uso di metodi, materiali, strumenti)

definizione adattata dallo EQF, Allegato I, definizione h)

comprovata capacità di utilizzare conoscenze, abilità e capacità personali in situazioni di lavoro o di studio e nello sviluppo professionale e personale, esercitabile con un determinato grado di autonomia e responsabilità

adattata dallo EQF, Allegato I, definizione i)

le capacità personali comprendono, in particolare, aspetti sociali e/o metodologici

apprendimento derivante da attività formative, intenzionali e strutturate, realizzate da enti/istituzioni d'istruzione e formazione riconosciuti da un'autorità competente; comporta il rilascio di titoli aventi valore legale

vedere l'appendice E per altre definizioni dello stesso termine

apprendimento derivante da attività formative, intenzionali e strutturate, realizzate in qualsiasi ambito diverso da quello formale; non dà luogo al rilascio di titoli aventi valore legale

vedere l'appendice E per altre definizioni dello stesso termine

apprendimento derivante da esperienze lavorative, da quelle di vita famigliare ed anche dal tempo libero; non è un'attività volutamente strutturata e, alcune volte, l'apprendimento non è intenzionale

vedere l'appendice E per altre definizioni dello stesso termine

processo di comparazione dei risultati dell'analisi del rischio rispetto ai criteri di rischio per determinare se il rischio e la sua espressione quantitativa siano accettabili o tollerabili

la ponderazione del rischio agevola la decisione circa il trattamento del rischio (UNI ISO 31000:2010, definizione 2.24 - Guida ISO 73:2009, definizione 3. 7.1)

insieme di misure organizzative, tecniche e tecnologiche volte a prevenire o quantomeno a ridurre le probabilità di accadimento di un evento sfavorevole

adattata dalla definizione della UNI 11230:2007, 3.4.5

complesso delle attività di valutazione, gestione, mitigazione, controllo e riesame del rischio security, gestite dal Professionista della Security

professionista in possesso delle conoscenze, abilità e competenze nel campo della security tali da garantire la gestione complessiva del processo di security o di rilevanti sotto-processi

la figura si articola nei tre livelli indicati nello scopo e campo di applicazione: Security Expert, Security Manager, Senior Security Manager

insieme di misure volte alla riduzione dell'entità delle conseguenze di un evento sfavorevole [gravità] (UNI 11230:2007, definizione 3.4.6)

attività volta a prevenire, fronteggiare e superare gli eventi che possono verificarsi a seguito di azioni in prevalenza illecite e che espongono le persone e i beni (materiali e immateriali) dell'Organizzazione a potenziali effetti lesivi e/o dannosi

nell'accezione del presente documento per azione illecita si intende non solo un comportamento antigiuridico (doloso e/o colposo), ma anche qualsiasi attività operata in contrasto con le procedure interne all'Organizzazione

preservazione della riservatezza, dell'integrità e della disponibilità delle informazioni (ISO/IEC 27000:2016, definizione 2.33)

processo per modificare il rischio

il trattamento del rischio può implicare:

i trattamenti del rischio che affrontano conseguenze negative sono talvolta denominati "protezione dal rischio" ("risk mitigation"), "eliminazione del rischio", "prevenzione del rischio", e "riduzione del rischio"

il trattamento del rischio può generare nuovi rischi o modificare rischi esistenti (UNI ISO 31000, definizione 2.25 - Guida ISO 73:2009, definizione 3.8.1)

evitare il rischio decidendo di non iniziare o non continuare l'attività che da origine ad esso

assumere o aumentare l'esposizione al rischio al fine di cogliere un'opportunità

rimuovere la fonte di rischio

modificare la verosimiglianza

modificare le conseguenze

condividere il rischio con altra(e) parte(i) (compresi contratti e finanziamento del rischio)

ritenere il rischio con una decisione informata, aumentando il livello delle misure di prevenzione e protezione

processo complessivo di identificazione del
rischio, analisi del rischio e ponderazione del rischio che include la valutazione della minaccia
(adattata dalla UNI ISO 31000, definizione 2.14)

valutazione dei rischi associati alla possibilità che le minacce possano sfruttare le vulnerabilità di un assetto di un gruppo di asset informativi e perciò causare danni ad un'organizzazione

valutazione dei rischi di illecita intrusione e di effrazione a fini criminali e delle relative contromisure da attuare nel sito da proteggere

in questa analisi sono comprese le contromisure di natura fissa, per esempio serrature, porte blindate, dissuasori, vetri stratificati e simili, come pure le contromisure di tipo tecnologico, operativo e procedurale. Una valutazione di security fisica normalmente include suggerimenti per il miglioramento delle contromisure esistenti, che potrebbe essere richiesto per ridurre il rischio

sovente, una valutazione di security fisica comprende riferimenti a serie di standard minimi, da utilizzare come guida per valutare le condizioni esistenti ed elaborare del le raccomandazioni migliorative

valutazione che fornisce un valore quantitativo all'impatto sul sito in esame del verificarsi di uno specifico scenario di minaccia, sulla base di condizioni esistenti o prevedibili

la valutazione di vulnerabilità valuta il danno potenziale ed il danno alle persone, che possono derivare dalla perpetrazione di ogni singolo scenario di attacco. Questa attività offre una base di riferimento per determinare i benefici potenziali che potrebbero essere ottenuti dal miglioramento di misure di security, anche di tipo strutturale

analisi di scenario e del contesto esterno e interno (settore, attività, processi e risorse critiche)

analisi e gestione dei rischi di security

elaborazione e attuazione piano di security

elaborazione struttura organizzativa e budget di funzione

attività formativa/informativa al personale dell'Organizzazione sui rischi di security

antifrode e antintrusione

conformità alle prescrizioni legali e alle altre prescrizioni sottoscritte che riguardano la security

coordinamento dei sistemi integrati di sicurezza delle strutture e della continuità operativa (Business Continuity e Disaster Recovery)

gestione e/o coordinamento delle risorse umane ed economiche di security

gestione della vigilanza privata e dei servizi di sicurezza privati, delle crisi (Crisis Management), delle investigazioni private affidate a terzi, della protezione delle informazioni, incluso il coordinamento e supporto alle attività relative alla sicurezza delle informazioni

investigazioni

business/competitive intelligence

audit tecnico di security e monitoraggio e "reporting" di security

tutela del know-how, segreto industriale e delle risorse immateriali e protezione da spionaggio industriale

protezione di infrastrutture critiche e tutela del management dell'Organizzazione

rapporti con le Forze di polizia e Forze armate, agenzie e istituzioni pubbliche

supervisione della gestione di contratti afferenti alla security

supporto al datore di lavoro per la tutela dei lavoratori dai rischi di origine criminosa

il coinvolgimento del Professionista della Security può avvenire a livelli diversi

è opportuno instaurare un rapporto di fattiva collaborazione con i soggetti e le unità organizzative preposte alla gestione della sicurezza

sicurezza delle informazioni, protezione dei dati personali, salute e sicurezza sul lavoro, antifrode, tutela dei marchi e dei brevetti

seguire percorso di aggiornamento permanente dimostrando annualmente con idonea documentazione

di aver partecipato ad almeno due convegni afferenti a temi di security

di aver superato un corso di aggiornamento sui temi afferenti alla security della durata minima di 8 ore

di avere svolto, in tema di security, attività di docenza oppure pubblicato articoli o testi afferenti alla security

oppure

oppure

il Professionista della Security deve sviluppare le strategie di security in linea con le politiche stabilite dal vertice dell'Organizzazione garantendo la loro messa in atto nel rispetto della normativa e della legislazione vigente

deve tutelare le persone e le risorse, sia materiali sia immateriali, dell'Organizzazione, analizzando e valutando i rischi di pertinenza e predisponendo, attuando e controllando i piani e le politiche di security condivise con il suo vertice

deve contribuire allo sviluppo e all'attuazione del sistema gestionale e assicurare la continuità delle attività dell'Organizzazione anche in situazioni straordinarie o di crisi

deve supportare anche con informazioni ("intelligence") le decisioni strategiche del vertice dell'Organizzazione e organizzare e tutelare le informazioni in possesso della stessa

nell'ambito della "partnership" tra pubblico e privato, deve interfacciarsi con gli enti della security nazionale preposti all'intelligence economica e industriale

deve ricorrere, ove appropriato, alle tecniche di gestione per la qualità, per il contributo che esse possono dare sia alla riduzione dei costi, sia alla qualità di prodotti e servizi

la competenza del professionista dovrebbe essere valutata attraverso un processo che
tenga conto del comportamento personale e della capacità di applicare le conoscenze e
le abilità acquisite attraverso l'istruzione, l'esperienza lavorativa, la formazione-addestramento e l'esperienza specifiche nelle attività proprie del processo di security

deve avere un alto livello di maturità emozionale e abilità nel facilitare, con tranquillità, l'appropriata soluzione di situazioni di crisi e di complessità

le interazioni con il vertice dell'Organizzazione richiedono anche che il Professionista
della Security sia in grado di condurre presentazioni, rispondere a quesiti e critiche che si riferiscono a proposte e raccomandazioni presentate

deve essere in grado di assumere la responsabilità di gestire lo sviluppo professionale di persone e gruppi e di verificarne le prestazioni

l'evidenza del possesso delle competenze richieste nell'ambito dei compiti attribuiti ai
Professionisti della Security, citati nei prospetti da A.1 ad A.3, è data dalla dimostrazione di essere in grado di applicare, in relazione ai compiti, i requisiti di conoscenza e di abilità e capacità personali, citati rispettivamente nei punti A.4 e A.5 e nell'Appendice D

il Professionista della Security, in quanto responsabile del processo di security o di rilevanti sottoprocessi e di aree specialistiche, deve avere conoscenze multidisciplinari in grado di permettergli di dialogare con le diverse funzioni che compongono l'Organizzazione (le conoscenze richieste al Professionista della Security sono elencate nell'appendice A)

le abilità richieste al Professionista della Security sono elencate nell'appendice A

per garantire l'efficacia della valutazione occorre indicare una combinazione di più metodi di valutazione, tra cui:

1) analisi del "curriculum vitae" integrato da documentazioni comprovanti le attività lavorative e formative dichiarate dal candidato

2) esame scritto per la valutazione delle conoscenze che consiste in:

una prova con domande a risposta chiusa: per esempio, per ogni domanda vengono proposte almeno 3 risposte delle quali 1 sola è corretta (da escludere quelle del tipo "vero/falso)

una prova con domande a risposta aperta: per esempio, per ciascuna domanda il candidato dovrà fornire una risposta appropriata

3) esame orale: necessario per approfondire eventuali incertezze riscontrate nelle prove scritte e per approfondire il livello delle conoscenze acquisite dal candidato

4) esame scritto su "casi di studio": al candidato viene proposta una situazione reale attinente alla specifica attività professionale. Egli dovrà fornire una risposta appropriata. Tale prova, può consentire di valutare le abilità

5) analisi e valutazione di lavori effettuati: tale metodo comprende anche un confronto, in presenza del candidato, per approfondire la valutazione delle abilità, delle conoscenze e delle capacità relazionali

la presente appendice indica le conoscenze, abilità e competenze del Professionista della Security (3 livelli) responsabile del processo di security in contesti organizzativi di diversa complessità o attività

attuare le politiche, le strategie e i programmi di security definiti dal vertice aziendale/Organizzazione al fine di raggiungere gli obiettivi prefissati

mettere in atto sistemi di controllo e di audit per verificare l'efficacia e l'efficienza dei programmi di security

condurre le investigazioni aziendali e regolari e periodiche valutazioni dei rischi e fornire assistenza ai livelli superiori per il riesame (previsto dal ciclo PDCA)

attuare programmi di informazione e di formazione in security, delle persone coinvolte nell'Organizzazione

condurre e gestire la Security fisica (protezione delle persone, degli edifici, delle proprietà, dei beni, degli strumenti operativi dell'Organizzazione)

condurre e gestire la protezione del segreto industriale

fornire supporto alla sicurezza delle informazioni

condurre e gestire il contrasto agli illeciti e alle frodi interne ed esterne: truffe e sabotaggi

condurre e gestire la security delle persone: protezione dell'integrità fisica dei dipendenti
e dei soggetti esterni che hanno rapporti contrattuali con l'Organizzazione

gestire incidenti ed emergenze e la continuità operativa

condurre e gestire la security di manifestazioni/convegni tenuti dall'Organizzazione: protezione delle sedi permanenti o provvisorie in cui siano organizzati eventi d'interesse dell'Organizzazione

gestire gli adempimenti di security previsti da requisiti cogenti (leggi, regolamenti, direttive e prescrizioni obbligatorie in genere a livello locale, nazionale, europeo e internazionale)

condurre e gestire le Investigazioni e gli accadimenti afferenti alla security: attività di analisi, indagine preventiva e investigazione degli eventi dannosi interni ed esterni in collaborazione con le Autorità preposte e con i soggetti privati autorizzati

porre in essere tutte le attività necessarie alla raccolta, elaborazione e gestione delle informazioni a supporto delle decisioni strategiche del business, supportando l'analisi dei contesti geopolitici: situazioni paesi, scenari per la security macroeconomici generali (sistema economico, variabili economiche e loro interdipendenze) di settore e di mercato ("business intelligence", "competitive intelligence")

interagire con le strutture interne ed esterne all'Organizzazione che si occupano di:

conformità alle normative nazionali e internazionali ("compliance")

interazione tra security e salute sul lavoro

interazione tra security e protezione ambientale

interazione tra security e responsabilità sociale

security e privacy

gestione dei rischi di origine criminosa

interazione con tecnologie informatiche per la gestione del "disaster recovery"

business continuity

vigilanza

investigazioni

rapporti con le autorità istituzionali, Forze dell'ordine ed Enti governativi, ecc.

produzione

A.2. COMPITI DEL SECURITY MANAGER

attuare le politiche, le strategie e i programmi di security definiti dal vertice aziendale/Organizzazione al fine di raggiungere gli obiettivi prefissati

mettere in atto sistemi di controllo e di audit per verificare l'efficacia e l'efficienza dei programmi di security

condurre le investigazioni aziendali e regolari e periodiche valutazioni dei rischi e fornire assistenza ai livelli superiori per il riesame (previsto dal ciclo PDCA) ed essere inserito nel processo decisionale dell'Organizzazione per prenderne in considerazione gli aspetti critici e le loro evoluzioni

sviluppare e attuare programmi di informazione e di formazione in security, delle persone coinvolte nell'Organizzazione

gestire la Security fisica (protezione delle persone, degli edifici, delle proprietà, dei beni, degli strumenti operativi dell'Organizzazione)

gestire la protezione del segreto industriale

gestire il supporto alla security delle tecnologie e delle strutture IT: protezione delle tecnologie, delle strutture informatiche dell'Organizzazione

gestire il contrasto agli illeciti e alle frodi interne ed esterne: truffe e sabotaggi

gestire il supporto alla security delle persone: protezione dell'integrità fisica dei dipendenti e dei soggetti esterni che hanno rapporti contrattuali con l'Organizzazione

coordinare la gestione delle emergenze, delle crisi e della continuità operativa

coordinare la gestione della security di manifestazioni/convegni tenuti dall'Organizzazione: protezione delle sedi permanenti o provvisorie in cui siano organizzati eventi d'interesse dell'Organizzazione

coordinare gli adempimenti di security previsti da requisiti cogenti (leggi, regolamenti, direttive e prescrizioni obbligatorie in genere a livello locale, nazionale, europeo e internazionale)

coordinare le Investigazioni e la gestione degli accadimenti afferenti alla security: attività di analisi, indagine preventiva e investigazione degli eventi dannosi interni ed esterni in collaborazione con le Autorità preposte e con i soggetti privati autorizzati

porre in essere tutte le attività necessarie alla raccolta, elaborazione e gestione delle informazioni a supporto delle decisioni strategiche del business, supportando l'analisi dei contesti geopolitici: situazioni paesi, scenari per la security macroeconomici generali (sistema economico, variabili economiche e loro interdipendenze) di settore e di mercato ("business intelligence", "competitive intelligence")

interagire con le strutture interne ed esterne all'Organizzazione che si occupano di:

conformità alle normative nazionali e internazionali ("compliance")

interazione tra security e salute sul lavoro

interazione tra security e protezione ambientale

interazione tra security e responsabilità sociale

sicurezza delle informazioni e protezione dei dati personali

gestione dei rischi di origine criminosa

interazione con tecnologie informatiche per la gestione del "disaster recovery"

continuità operativa nell'Organizzazione

vigilanza

investigazioni

rapporti con le autorità istituzionali, Forze dell'ordine ed Enti governativi, ecc.

produzione

sviluppare una struttura organizzativa per la security che descriva i compiti e i relativi responsabili

A.3. COMPITI RICHIESTI AL SENIOR SECURITY MANAGER

attuare le politiche, le strategie e i programmi di security definiti dal vertice aziendale/Organizzazione al fine di raggiungere gli obiettivi prefissati

definire sistemi di controllo e di audit per verificare l'efficacia e l'efficienza dei programmi di security

coordinare il processo di security, incluse le attività di riesame (previsto dal ciclo PDCA)

sviluppare programmi di informazione e di formazione in security, delle persone coinvolte nell'Organizzazione

coordinare la gestione della Security fisica (protezione delle persone, degli edifici, delle proprietà, dei beni, degli strumenti operativi dell'Organizzazione)

gestire la protezione del segreto industriale

coordinare il contrasto agli illeciti e alle frodi interne ed esterne: truffe e sabotaggi

coordinare la security delle persone: protezione dell'integrità fisica dei dipendenti e dei soggetti esterni che hanno rapporti contrattuali con l'Organizzazione

coordinare la gestione delle emergenze, delle crisi e della continuità operativa

coordinare la gestione della security di manifestazioni/convegni tenuti dall'Organizzazione: protezione delle sedi permanenti o provvisorie in cui siano organizzati eventi d'interesse dell'Organizzazione

coordinare gli adempimenti di security previsti da requisiti cogenti (leggi, regolamenti, direttive e prescrizioni obbligatorie in genere a livello locale, nazionale, europeo e internazionale)

coordinare le Investigazioni e la gestione degli accadimenti afferenti alla security: attività di analisi, indagine preventiva e investigazione degli eventi dannosi interni ed esterni in collaborazione con le Autorità preposte e con i soggetti privati autorizzati

coordinare tutte le attività necessarie alla raccolta, elaborazione e gestione delle informazioni a supporto delle decisioni strategiche del business, supportando l'analisi dei contesti geopolitici: situazioni paesi, scenari per la security macroeconomici generali (sistema economico, variabili economiche e loro interdipendenze) di settore e di mercato ("business intelligence", "competitive intelligence")

interagire con le strutture interne ed esterne all'Organizzazione che si occupano di:

conformità alle normative nazionali e internazionali ("compliance")

interazione tra security e salute sul lavoro

interazione tra security e protezione ambientale

interazione tra security e responsabilità sociale

security e privacy

gestione dei rischi di origine criminosa

interazione con tecnologie informatiche per la gestione del "disaster recovery"

business continuity

vigilanza

investigazioni

rapporti con le autorità istituzionali, Forze dell'ordine ed Enti governativi, ecc.

produzione

sviluppare una struttura organizzativa per la security che descriva i compiti e i relativi responsabili

sviluppare una strategia di security e una politica, in linea con le strategie dell'Organizzazione, attraverso lo sviluppo e l'attuazione di un programma di security

attivare investigazioni per verificare o per contrastare minacce interne o esterne

interfacciarsi con gli enti della security nazionale preposti all'intelligence economica, alla sicurezza e ordine pubblico, nell'ambito della "partnership" tra pubblico e privato

1) analisi scenari e contesto

2) criminologia applicata

3) legislazione

4) gestione del rischio (enterprise risk management)

5) security management

6) il sistema di gestione dei rischi per la security (security risk management)

7) intelligence e security intelligence

8) strumenti di sicurezza

9) servizi di sicurezza e altri servizi

10) sicurezza delle informazioni e delle risorse intangibili (intangible e information security)

11) continuità operativa e gestione delle emergenze (business continuity e emergency management)

12) elementi di management

analisi scenari di riferimento (geopolitici, sociali, economici, ambientali, tecnologici)

analisi settore di appartenenza

analisi organizzativa interna (struttura organizzativa, processi critici e operativi, risorse e aree critiche, policy, ecc.)

criminologia applicata e profilino criminale

criminalità e sicurezza nei contesti urbani (CPTED)

sicurezza nella costituzione e sicurezza pubblica

responsabilità giuridiche e aziendali

elementi di diritto penale

responsabilità amministrativa degli enti

sicurezza sul lavoro

sicurezza privata

elementi di sicurezza delle informazioni

codice di tutela della proprietà industriale

statuto dei lavoratori

elementi di protezione dei dati personali

rischi nelle organizzazioni

metodologie di analisi

politiche di gestione

definizione, evoluzione storica, compiti e attività

organizzazione e relazioni interne ed esterne della security

chi e cosa proteggere: persone, risorse materiali e immateriali, strutture e infrastrutture critiche, siti e obiettivi sensibili, processi

focus su: sicurezza di luoghi ad alta frequentazione, sicurezza di porti e aeroporti, sicurezza di eventi e grandi eventi

progetto (analisi del contesto esterno e interno, individuazione minacce, valutazione dei rischi, selezione di politiche di gestione del rischio, elaborazione del piano di security, scelta delle soluzioni e attuazione, monitoraggio e reporting)

click to edit

click to edit

sistema di gestione della security e degli standard dì riferimento (qualità, ambiente, sicurezza sul lavoro, sicurezza delle informazioni , continuità operativa)

definizioni, metodologie e tecniche,ambiti di utilizzo, attività investigative e indagini in azienda

tecnologie e sistemi di sicurezza passiva

tecnologie e sistemi di sicurezza attiva

strumenti organizzativi di security (policy, procedure, organizzazione, ecc.)

servizi di sicurezza privata

vigilanza privata: servizi, contratti e normativa di riferimento

investigazione privata: servizi, contratti e normativa di riferimento

servizi di guardiania (portierato, accoglienza, ecc.)

elementi della sicurezza delle informazioni e delle risorse intangibili (marchi, know-how, ecc.)

principali rischi e attacchi al sistema informatico

reati informatici

caratteristiche generali del sistema di gestione per la sicurezza delle informazioni

principali contromisure tecnologiche e organizzative per la sicurezza delle informazioni

Business Continuity e Disaster Recovery: definizione, metodologia e normativa di riferimento

Emergency Management: definizione, metodologia, attori coinvolti, comportamento individuale e delle masse, elementi di psicologia delle emergenze, comunicazione in caso di crisi

elementi di strategia, pianificazione e controllo aziendale

elementi di organizzazione del lavoro e gestione delle risorse

elementi di budgeting e finanza aziendale (es. strumenti di valutazione degli investimenti)

elementi di leadership

elementi di project management

elementi di time management

elementi di comunicazione e negoziazione

elementi di gestione dei conflitti, dello stress e del sé nei momenti critici

1) abilità realizzative e operative

2) abilità sociali

3) abilità d'influenza

4) abilità manageriali

5) abilità cognitive

6) abilità di efficacia personale

orientamento al risultato: intensità e completezza dell'azione motivata dal risultato, effetto dei risultato, livello d'innovazione

attenzione all'ordine, alla qualità e all'accuratezza

spirito di iniziativa: orizzonte temporale, auto-motivazione, quantità di sforzo discrezionale

ricerca e analisi delle informazioni

sensibilità interpersonale: profondità della sensibilità interpersonale, capacità di ascoltare e rispondere agli altri

orientamento al cliente: focalizzazione sui bisogni dei clienti, iniziativa (sforzo discrezionale) per aiutare o servire agli altri

persuasività e influenza: azioni compiute per influenzare gli altri, portata dell'influenza, della conoscenza o della rete (interna o esterna)

consapevolezza organizzativa: profondità della conoscenza dell'organizzazione

costruzioni di relazioni: solidità del rapporto

sviluppo degli altri: intensità dell'orientamento allo sviluppo e completezza della relativa azione, numero e categoria delle persone sviluppate o dirette

attitudine al comando: assertività e uso del potere formale, misura dell'attitudine

lavoro di gruppo e cooperazione: intensità dell'incoraggiamento del lavoro di gruppo, dimensione del gruppo, misura dello sforzo o dell'iniziativa compiuti per facilitare il lavoro di gruppo

leadership del gruppo: forza del ruolo di leader

corretta allocazione delle risorse

pensiero analitico: complessità dell'analisi, dimensioni dei problemi affrontati

pensiero concettuale: complessità e originalità dei concetti

autocontrollo

fiducia in sè: fiducia nelle proprie possibilità, reazione all'insuccesso

flessibilità: profondità del cambiamento, durata dell'azione

percorsi di accesso:
a) apprendimento formale (titolo di studio e formazione specifica)
b) apprendimento non formale (aggiornamento continuo)
c) apprendimento informale (esperienza lavorativa)

Security Expert (I livello)

Security Manager (II livello)

Senior Security Manager (III livello)

titolo di studio: laurea

formazione specifica: superamento master (I o II livello) in materia di security, oppure corso di formazione in materia di security di almeno 120 ore

esperienza lavorativa: minimo 4 anni di esperienza professionale di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 2 anni in incarichi con responsabilità e autonomia coerenti con il livello
responsabilità e autonomia = assumere la responsabilità di portare a termine compiti e saper adeguare il proprio comportamento alle circostanze nella soluzione dei problemi

equipollenza: - con laurea magistrale o diploma di master universitario (di 1° e 2° livello) in materia di security, l'esperienza professionale si riduce a 2 anni; - con diploma, minimo 8 anni di esperienza professionale continuativa di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 4 anni in incarichi di responsabilità e/o autonomia coerenti con il livello

titolo di studio: laurea

formazione specifica: superamento master (I o II livello) in materia di security, oppure corso di formazione in materia di security di almeno 120 ore

esperienza lavorativa: minimo 8 anni di esperienza professionale continuativa di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 4 anni in incarichi con responsabilità e autonomia coerenti con il livello

equipollenza: - con laurea magistrale o diploma di master universitario (di 1° e 2° livello) in materia di security, l'esperienza professionale si riduce a 5 anni, di cui 3 anni in incarichi con responsabilità e autonomia coerenti con il livello; - con diploma, minimo 12 anni di esperienza professionale continuativa di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 6 anni in incarichi di responsabilità e/o autonomia coerenti con il livello

titolo di studio: laurea

formazione specifica: superamento master (I o II livello) in materia di security, oppure corso di formazione in materia di security di almeno 120 ore

esperienza lavorativa: minimo 12 anni di esperienza professionale continuativa di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 6 anni in incarichi con responsabilità e autonomia coerenti con il livello

equipollenza: - con laurea magistrale o diploma di master universitario (di 1° e 2° livello) in materia di security, l'esperienza professionale si riduce a 10 anni, di cui 6 anni in incarichi con responsabilità e autonomia coerenti con il livello; - con diploma, minimo 20 anni di esperienza professionale continuativa di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 8 anni in incarichi di responsabilità e/o autonomia coerenti con il livello

diligenza

competenza professionale

efficienza ed efficacia della prestazione professionale

formazione professionale

autonomia ed obiettività professionale

decoro professionale

correttezza nei rapporti di committenza e nei rapporti di colleganza

correttezza nei rapporti con le varie componenti della società

riservatezza, osservanza dell'obbligo di segretezza e rispetto della protezione dei dati personali

esaustività informativa

sostegno delle iniziative sociali delle professioni intellettuali

decreto legislativo 231/2001

tutte le società operanti nel territorio nazionale sono tenute ad allinearsi agli standard più evoluti del governo societario (Corporale Governance)

codice etico dell'organizzazione

strumento attraverso il quale le figure professionali della security garantiscono la gestione trasparente ed efficace delle proprie attività e delle relazioni umane, sostenendo la reputazione dell'Organizzazione e creando fiducia verso l'esterno

in assenza di giudizi precostituiti

avendo il controllo dei propri stati emotivi e operando al fine di mantenerlo o ristabilirlo in situazioni di forte stress

adottando strumenti che facilitino la comunicazione verbale e scritta

promuovendo le attività che prevedano obiettivi chiari e raggiungibili

mostrando interesse verso le innovazioni

adattandosi alle situazioni di contesto in modo tempestivo ed efficace

D. Lgs 16 gennaio 2013

UNI schema per le norme sulle professioni non regolamentate (definizioni adottate nella presente norma)

apprendimento formale

apprendimento non formale

apprendimento informale

apprendimento erogato in un contesto organizzato e strutturato (per esempio, in un istituto d'istruzione o di formazione o sul lavoro), appositamente progettato come tale (in termini di obiettivi di apprendimento e tempi o risorse per l'apprendimento)

l'apprendimento formale è intenzionale dal punto di vista del discente e di norma sfocia in una convalida e in una certificazione

apprendimento erogato nell'ambito di attività pianificate non specificamente concepite come apprendimento (in termini di obiettivi, di tempi o di sostegno all'apprendimento)

l'apprendimento non formale (talvolta denominato apprendimento semi-strutturato) è intenzionale dal punto di vista del discente e i risultati possono essere convalidati e sfociare in una certificazione

apprendimento risultante dalle attività della vita quotidiana legate al lavoro, alla famiglia o al tempo libero e non è strutturato in termini di obiettivi di apprendimento, di tempi o di risorse dell'apprendimento

nella maggior parte dei casi l'apprendimento informale (detto anche apprendimento esperienziale o fortuito o casuale) non è intenzionale dal punto di vista del discente e i risultati dell'apprendimento informale in genere non sfociano in una certificazione, ma possono essere convalidati e certificati nel quadro del riconoscimento dei programmi di apprendimento precedenti

apprendimento permanente

qualsiasi attività intrapresa dalla persona in modo formale, non formale e informale, nelle varie fasi della vita, al fine di migliorare le conoscenze, le capacità e le competenze, in una prospettiva di crescita personale, civica, sociale e occupazionale

apprendimento formale

apprendimento che si attua nel sistema di istruzione e formazione e nelle università e istituzioni di alta formazione artistica, musicale e coreutica, e che si conclude con il conseguimento di un titolo di studio o di una qualifica o diploma professionale, conseguiti anche in apprendistato, o di una certificazione riconosciuta, nel rispetto della legislazione vigente in materia di ordinamenti scolastici e universitari

apprendimento non formale

apprendimento caratterizzato da una scelta intenzionale della persona, che si realizza al di fuori dei sistemi indicati nell'apprendimento formale, in ogni organismo che persegua scopi educativi e formativi, anche del volontariato, del servizio civile nazionale e del privato sociale e nelle imprese

apprendimento informale

apprendimento che, anche a prescindere da una scelta intenzionale, si realizza nello svolgimento, da parte di ogni persona, di attività nelle situazioni di vita quotidiana e nelle interazioni che in essa hanno luogo, nell'ambito del contesto di lavoro, familiare e del tempo libero

apprendimento formale

apprendimento non formale

apprendimento informale

apprendimento derivante da attività formative, intenzionali e strutturate, realizzate da enti/istituzioni d'istruzione e formazione riconosciuti da un'autorità competente e che comporta il rilascio di titoli aventi valore legale

apprendimento derivante da attività formative, intenzionali e strutturate, realizzate in qualsiasi ambito diverso da quello formale e che non dà luogo al rilascio di titoli aventi valore legale

apprendimento derivante da esperienze lavorative, da quelle di vita famigliare ed anche dal tempo libero; non è un'attività volutamente strutturata e, alcune volte, l'apprendimento non è intenzionale

livello 5

conoscenze pratiche e teoriche esaurienti e specializzate, in un ambito di lavoro o di studio, e consapevolezza dei limiti di tali conoscenze

una gamma esauriente di abilità cognitive e pratiche necessarie a dare soluzioni creative a problemi astratti

livello 6

conoscenze avanzate in un ambito di lavoro o di studio, che presuppongono una comprensione critica di teorie e principi

abilità avanzate, che dimostrino padronanza e innovazione necessarie a risolvere problemi complessi ed imprevedibili in un ambito specializzato di lavoro o di studio

livello 7

conoscenze altamente specializzate, parte delle quali all'avanguardia in un ambito di lavoro o di studio, come base del pensiero originale e/o della ricerca con consapevolezza critica di questioni legate alla conoscenza in un ambito e all'intersezione tra ambiti diversi

abilità specializzate, orientate alla soluzione di problemi, necessarie nella ricerca e/o nell'innovazione al fine di sviluppare conoscenze e procedure nuove e integrare le conoscenze ottenute in ambiti diversi