UNI 10459:2017
SECURITY MANAGER
INTRODUZIONE
CONTESTO
1. SCOPO E CAMPO DI APPLICAZIONE
la norma definisce i requisiti relativi all'attività professionale coinvolta nel processo di security, ossia la persona le cui conoscenze, abilità e competenze sono tali da garantire la gestione complessiva del processo o di rilevanti sotto- processi
2. RIFERIMENTI NORMATIVI
la presente norma rimanda, mediante riferimenti datati e non, a disposizioni contenute in altre pubblicazioni
3. TERMINI E DEFINIZIONI
QUALIFICA
4. COMPITI E ATTIVITÀ SPECIFICHE DEL PROFESSIONISTA DELLA SECURITY
aree di responsabilità che rientrano nella funzione del professionista della security
5. CONOSCENZE, ABILITÀ E COMPETENZE DEL "PROFESSIONISTA DELLA SECURITY" (PROFILO DI RIFERIMENTO)
5.1. GENERALITA'
6. ELEMENTI PER LA VALUTAZIONE E CONVALIDA DEI RISULTATI DELL'APPRENDIMENTO
per la valutazione dei risultati dell'apprendimento non formale e informale è necessario tener presente che devono essere valutate, in modo oggettivo e direttamente le conoscenze, abilità e competenze
APPENDICE A -
CONOSCENZE, ABILITÀ E COMPETENZE DEL PROFESSIONISTA DELLA SECURITY
A.0. ASPETTI GENERALI
APPENDICE B -
REQUISITI PER L'ACCESSO Al LIVELLI PROFESSIONALI DEL PROFESSIONISTA DELLA SECURITY
B.1. REQUISITI DI ACCESSO PER SECURITY EXPERT, SECURITY MANAGER E SENIOR SECURITY MANAGER
APPENDICE C -
ASPETTI ETICI E DEONTOLOGICI
principi deontologici consistono in:
APPENDICE D -
ASPETTI COMPORTAMENTALI
il Professionista della Security adotta schemi comportamentali che richiamino e rispettino i principi integrità professionale
APPENDICE E -
DEFINIZIONI DI "APPRENDIMENTO"
Terminology of European education and training policy
APPENDICE F -
RIFERIMENTI LEGISLATIVI APPLICABILI
elenco dei riferimenti normativi
attività Professionista della Security possono intrecciarsi con quelle di professionisti specializzati in altri ambiti relativi alla sicurezza
INTRODUZIONE ALLA NORMA E RELATIVO APPROCCIO METODOLOGICO
sono stati osservati i principi e le indicazioni di cui alla Raccomandazione 2008/C111 /01 (EQF) e della Raccomandazione 2009/C 155/02 (ECVET)
5.2. COMPETENZE
5.3. CONOSCENZE
5.4. ABILITA'
A.1. COMPITI DEL SECURITY EXPERT
A.4. CONOSCENZE
A.5. ABILITA'
sicurezza delle informazioni (UNI 11621)
protezione dei dati personali
salute e sicurezza sul lavoro
antifrode
tutela dei marchi e dei brevetti
la norma delinea tre livelli del profilo di professionista della security in funzione dei contesti organizzativi di diversa complessità
1) Professionista della Security di primo livello (operativo - Security Expert EQF 5): orientato a una "media' complessità di security
2) Professionista della Security di secondo livello (manageriale - Security Manager EQF 6): orientato a una "medio- alta" complessità di security
3) Professionista della Security di terzo livello (alto manageriale - Senior Security Manager EQF 7): orientato alla "massima' complessità di security
detti requisiti sono specificati, a partire dai compiti e dalle attività specifiche identificate, in termini di conoscenza, abilità e competenza in conformità al Quadro Europeo delle Qualifiche (European Qualifications Framework- EQF)
nella descrizione dell'attività professionale (EQF 5-6-7) è considerata la variabilità di numerosi e differenti aspetti, tra i quali:
modalità e criteri di esecuzione della prestazione
competenze specifiche
aspettative e richieste del cliente
percorsi di formazione e apprendimento
valore aggiunto riconosciuto alla prestazione
RISULTATI DELL'APPRENDIMENTO
VALUTAZIONE DEI RISULTATI DELL'APPRENDIMENTO
CONVALIDA DEI RISULTATI DELL'APPRENDIMENTO
CONOSCENZA
ABILITA'
COMPETENZA
APPRENDIMENTO FORMALE
APPRENDIMENTO NON FORMALE
APPRENDIMENTO INFORMALE
PONDERAZIONE DEL RISCHIO
PREVENZIONE
PROCESSO DI SECURITY
PROFESSIONISTA DELLA SECURITY
PROTEZIONE DAL RISCHIO (RISK PROTECTION - RISK MITIGATION)
SECURITY
SICUREZZA DELLE INFORMAZIONI
TRATTAMENTO DEL RISCHIO
VALUTAZIONE DEL RISCHIO (RISK ASSESSMENT)
VALUTAZIONE DEL RISCHIO RELATIVO ALLA SICUREZZA DELLE INFORMAZIONI (INFORMATION SECURITY ASSESSMENT)
VALUTAZIONE DELLA SECURITY FISICA (PHYSICAL SECURITY ASSESSMENT)
VALUTAZIONE DI VULNERABILITA' (VULNERABILITY ASSESSMENT)
risultato formale di un processo di valutazione e convalida, acquisito quando un ente/istituzione competente e imparziale stabilisce che i risultati dell'apprendimento di una persona corrispondono a norme tecniche definite
descrizione di ciò che una persona conosce, capisce ed è in grado di fare al termine di un processo di apprendimento
i risultati sono descritti in termini di conoscenze, abilità e competenze
i risultati dell'apprendimento possono derivare da apprendimenti formali, non formali o informali
metodi e processi utilizzati per definire la
misura in cui una persona ha effettivamente conseguito una particolare conoscenza, abilità o competenza
processo di conferma che determinati risultati
dell'apprendimento valutati, ottenuti da una persona, corrispondono ai risultati specificati
richiesti per una qualifica o per parte di essa
la certificazione, in conformità alla UNI GEI EN 1S0/IEC 17024, è un processo di valutazione e convalida
il riconoscimento dei risultati dell'apprendimento, secondo regole definite, da parte di soggetti o di altre organizzazioni preposte, è altresì un processo di valutazione e convalida
risultato dell'assimilazione di informazioni attraverso l'apprendimento
le informazioni comprendono, ma non sono limitate a: fatti, principi, teorie, pratiche ed esperienze relative ad un settore di lavoro o di studio
nel contesto dello EQF le conoscenze sono descritte come teoriche e/o pratiche
definizione adattata dallo EQF, Allegato I, definizione g)
capacità di applicare conoscenze per portare a termine compiti e risolvere problemi
nel contesto dello EQF le abilità sono descritte come cognitive (comprendenti l'uso del pensiero logico, intuitivo e creativo) o pratiche (comprendenti l'abilità manuale e l'uso di metodi, materiali, strumenti)
definizione adattata dallo EQF, Allegato I, definizione h)
comprovata capacità di utilizzare conoscenze, abilità e capacità personali in situazioni di lavoro o di studio e nello sviluppo professionale e personale, esercitabile con un determinato grado di autonomia e responsabilità
adattata dallo EQF, Allegato I, definizione i)
le capacità personali comprendono, in particolare, aspetti sociali e/o metodologici
apprendimento derivante da attività formative, intenzionali e strutturate, realizzate da enti/istituzioni d'istruzione e formazione riconosciuti da un'autorità competente; comporta il rilascio di titoli aventi valore legale
vedere l'appendice E per altre definizioni dello stesso termine
apprendimento derivante da attività formative, intenzionali e strutturate, realizzate in qualsiasi ambito diverso da quello formale; non dà luogo al rilascio di titoli aventi valore legale
vedere l'appendice E per altre definizioni dello stesso termine
apprendimento derivante da esperienze lavorative, da quelle di vita famigliare ed anche dal tempo libero; non è un'attività volutamente strutturata e, alcune volte, l'apprendimento non è intenzionale
vedere l'appendice E per altre definizioni dello stesso termine
processo di comparazione dei risultati dell'analisi del rischio rispetto ai criteri di rischio per determinare se il rischio e la sua espressione quantitativa siano accettabili o tollerabili
la ponderazione del rischio agevola la decisione circa il trattamento del rischio (UNI ISO 31000:2010, definizione 2.24 - Guida ISO 73:2009, definizione 3. 7.1)
insieme di misure organizzative, tecniche e tecnologiche volte a prevenire o quantomeno a ridurre le probabilità di accadimento di un evento sfavorevole
adattata dalla definizione della UNI 11230:2007, 3.4.5
complesso delle attività di valutazione, gestione, mitigazione, controllo e riesame del rischio security, gestite dal Professionista della Security
professionista in possesso delle conoscenze, abilità e competenze nel campo della security tali da garantire la gestione complessiva del processo di security o di rilevanti sotto-processi
la figura si articola nei tre livelli indicati nello scopo e campo di applicazione: Security Expert, Security Manager, Senior Security Manager
insieme di misure volte alla riduzione dell'entità delle conseguenze di un evento sfavorevole [gravità] (UNI 11230:2007, definizione 3.4.6)
attività volta a prevenire, fronteggiare e superare gli eventi che possono verificarsi a seguito di azioni in prevalenza illecite e che espongono le persone e i beni (materiali e immateriali) dell'Organizzazione a potenziali effetti lesivi e/o dannosi
nell'accezione del presente documento per azione illecita si intende non solo un comportamento antigiuridico (doloso e/o colposo), ma anche qualsiasi attività operata in contrasto con le procedure interne all'Organizzazione
preservazione della riservatezza, dell'integrità e della disponibilità delle informazioni (ISO/IEC 27000:2016, definizione 2.33)
processo per modificare il rischio
il trattamento del rischio può implicare:
i trattamenti del rischio che affrontano conseguenze negative sono talvolta denominati "protezione dal rischio" ("risk mitigation"), "eliminazione del rischio", "prevenzione del rischio", e "riduzione del rischio"
il trattamento del rischio può generare nuovi rischi o modificare rischi esistenti (UNI ISO 31000, definizione 2.25 - Guida ISO 73:2009, definizione 3.8.1)
evitare il rischio decidendo di non iniziare o non continuare l'attività che da origine ad esso
assumere o aumentare l'esposizione al rischio al fine di cogliere un'opportunità
rimuovere la fonte di rischio
modificare la verosimiglianza
modificare le conseguenze
condividere il rischio con altra(e) parte(i) (compresi contratti e finanziamento del rischio)
ritenere il rischio con una decisione informata, aumentando il livello delle misure di prevenzione e protezione
processo complessivo di identificazione del
rischio, analisi del rischio e ponderazione del rischio che include la valutazione della minaccia
(adattata dalla UNI ISO 31000, definizione 2.14)
valutazione dei rischi associati alla possibilità che le minacce possano sfruttare le vulnerabilità di un assetto di un gruppo di asset informativi e perciò causare danni ad un'organizzazione
valutazione dei rischi di illecita intrusione e di effrazione a fini criminali e delle relative contromisure da attuare nel sito da proteggere
in questa analisi sono comprese le contromisure di natura fissa, per esempio serrature, porte blindate, dissuasori, vetri stratificati e simili, come pure le contromisure di tipo tecnologico, operativo e procedurale. Una valutazione di security fisica normalmente include suggerimenti per il miglioramento delle contromisure esistenti, che potrebbe essere richiesto per ridurre il rischio
sovente, una valutazione di security fisica comprende riferimenti a serie di standard minimi, da utilizzare come guida per valutare le condizioni esistenti ed elaborare del le raccomandazioni migliorative
valutazione che fornisce un valore quantitativo all'impatto sul sito in esame del verificarsi di uno specifico scenario di minaccia, sulla base di condizioni esistenti o prevedibili
la valutazione di vulnerabilità valuta il danno potenziale ed il danno alle persone, che possono derivare dalla perpetrazione di ogni singolo scenario di attacco. Questa attività offre una base di riferimento per determinare i benefici potenziali che potrebbero essere ottenuti dal miglioramento di misure di security, anche di tipo strutturale
analisi di scenario e del contesto esterno e interno (settore, attività, processi e risorse critiche)
analisi e gestione dei rischi di security
elaborazione e attuazione piano di security
elaborazione struttura organizzativa e budget di funzione
attività formativa/informativa al personale dell'Organizzazione sui rischi di security
antifrode e antintrusione
conformità alle prescrizioni legali e alle altre prescrizioni sottoscritte che riguardano la security
coordinamento dei sistemi integrati di sicurezza delle strutture e della continuità operativa (Business Continuity e Disaster Recovery)
gestione e/o coordinamento delle risorse umane ed economiche di security
gestione della vigilanza privata e dei servizi di sicurezza privati, delle crisi (Crisis Management), delle investigazioni private affidate a terzi, della protezione delle informazioni, incluso il coordinamento e supporto alle attività relative alla sicurezza delle informazioni
investigazioni
business/competitive intelligence
audit tecnico di security e monitoraggio e "reporting" di security
tutela del know-how, segreto industriale e delle risorse immateriali e protezione da spionaggio industriale
protezione di infrastrutture critiche e tutela del management dell'Organizzazione
rapporti con le Forze di polizia e Forze armate, agenzie e istituzioni pubbliche
supervisione della gestione di contratti afferenti alla security
supporto al datore di lavoro per la tutela dei lavoratori dai rischi di origine criminosa
il coinvolgimento del Professionista della Security può avvenire a livelli diversi
è opportuno instaurare un rapporto di fattiva collaborazione con i soggetti e le unità organizzative preposte alla gestione della sicurezza
sicurezza delle informazioni, protezione dei dati personali, salute e sicurezza sul lavoro, antifrode, tutela dei marchi e dei brevetti
seguire percorso di aggiornamento permanente dimostrando annualmente con idonea documentazione
di aver partecipato ad almeno due convegni afferenti a temi di security
di aver superato un corso di aggiornamento sui temi afferenti alla security della durata minima di 8 ore
di avere svolto, in tema di security, attività di docenza oppure pubblicato articoli o testi afferenti alla security
oppure
oppure
il Professionista della Security deve sviluppare le strategie di security in linea con le politiche stabilite dal vertice dell'Organizzazione garantendo la loro messa in atto nel rispetto della normativa e della legislazione vigente
deve tutelare le persone e le risorse, sia materiali sia immateriali, dell'Organizzazione, analizzando e valutando i rischi di pertinenza e predisponendo, attuando e controllando i piani e le politiche di security condivise con il suo vertice
deve contribuire allo sviluppo e all'attuazione del sistema gestionale e assicurare la continuità delle attività dell'Organizzazione anche in situazioni straordinarie o di crisi
deve supportare anche con informazioni ("intelligence") le decisioni strategiche del vertice dell'Organizzazione e organizzare e tutelare le informazioni in possesso della stessa
nell'ambito della "partnership" tra pubblico e privato, deve interfacciarsi con gli enti della security nazionale preposti all'intelligence economica e industriale
deve ricorrere, ove appropriato, alle tecniche di gestione per la qualità, per il contributo che esse possono dare sia alla riduzione dei costi, sia alla qualità di prodotti e servizi
la competenza del professionista dovrebbe essere valutata attraverso un processo che
tenga conto del comportamento personale e della capacità di applicare le conoscenze e
le abilità acquisite attraverso l'istruzione, l'esperienza lavorativa, la formazione-addestramento e l'esperienza specifiche nelle attività proprie del processo di security
deve avere un alto livello di maturità emozionale e abilità nel facilitare, con tranquillità, l'appropriata soluzione di situazioni di crisi e di complessità
le interazioni con il vertice dell'Organizzazione richiedono anche che il Professionista
della Security sia in grado di condurre presentazioni, rispondere a quesiti e critiche che si riferiscono a proposte e raccomandazioni presentate
deve essere in grado di assumere la responsabilità di gestire lo sviluppo professionale di persone e gruppi e di verificarne le prestazioni
l'evidenza del possesso delle competenze richieste nell'ambito dei compiti attribuiti ai
Professionisti della Security, citati nei prospetti da A.1 ad A.3, è data dalla dimostrazione di essere in grado di applicare, in relazione ai compiti, i requisiti di conoscenza e di abilità e capacità personali, citati rispettivamente nei punti A.4 e A.5 e nell'Appendice D
il Professionista della Security, in quanto responsabile del processo di security o di rilevanti sottoprocessi e di aree specialistiche, deve avere conoscenze multidisciplinari in grado di permettergli di dialogare con le diverse funzioni che compongono l'Organizzazione (le conoscenze richieste al Professionista della Security sono elencate nell'appendice A)
le abilità richieste al Professionista della Security sono elencate nell'appendice A
per garantire l'efficacia della valutazione occorre indicare una combinazione di più metodi di valutazione, tra cui:
1) analisi del "curriculum vitae" integrato da documentazioni comprovanti le attività lavorative e formative dichiarate dal candidato
2) esame scritto per la valutazione delle conoscenze che consiste in:
una prova con domande a risposta chiusa: per esempio, per ogni domanda vengono proposte almeno 3 risposte delle quali 1 sola è corretta (da escludere quelle del tipo "vero/falso)
una prova con domande a risposta aperta: per esempio, per ciascuna domanda il candidato dovrà fornire una risposta appropriata
3) esame orale: necessario per approfondire eventuali incertezze riscontrate nelle prove scritte e per approfondire il livello delle conoscenze acquisite dal candidato
4) esame scritto su "casi di studio": al candidato viene proposta una situazione reale attinente alla specifica attività professionale. Egli dovrà fornire una risposta appropriata. Tale prova, può consentire di valutare le abilità
5) analisi e valutazione di lavori effettuati: tale metodo comprende anche un confronto, in presenza del candidato, per approfondire la valutazione delle abilità, delle conoscenze e delle capacità relazionali
la presente appendice indica le conoscenze, abilità e competenze del Professionista della Security (3 livelli) responsabile del processo di security in contesti organizzativi di diversa complessità o attività
attuare le politiche, le strategie e i programmi di security definiti dal vertice aziendale/Organizzazione al fine di raggiungere gli obiettivi prefissati
mettere in atto sistemi di controllo e di audit per verificare l'efficacia e l'efficienza dei programmi di security
condurre le investigazioni aziendali e regolari e periodiche valutazioni dei rischi e fornire assistenza ai livelli superiori per il riesame (previsto dal ciclo PDCA)
attuare programmi di informazione e di formazione in security, delle persone coinvolte nell'Organizzazione
condurre e gestire la Security fisica (protezione delle persone, degli edifici, delle proprietà, dei beni, degli strumenti operativi dell'Organizzazione)
condurre e gestire la protezione del segreto industriale
fornire supporto alla sicurezza delle informazioni
condurre e gestire il contrasto agli illeciti e alle frodi interne ed esterne: truffe e sabotaggi
condurre e gestire la security delle persone: protezione dell'integrità fisica dei dipendenti
e dei soggetti esterni che hanno rapporti contrattuali con l'Organizzazione
gestire incidenti ed emergenze e la continuità operativa
condurre e gestire la security di manifestazioni/convegni tenuti dall'Organizzazione: protezione delle sedi permanenti o provvisorie in cui siano organizzati eventi d'interesse dell'Organizzazione
gestire gli adempimenti di security previsti da requisiti cogenti (leggi, regolamenti, direttive e prescrizioni obbligatorie in genere a livello locale, nazionale, europeo e internazionale)
condurre e gestire le Investigazioni e gli accadimenti afferenti alla security: attività di analisi, indagine preventiva e investigazione degli eventi dannosi interni ed esterni in collaborazione con le Autorità preposte e con i soggetti privati autorizzati
porre in essere tutte le attività necessarie alla raccolta, elaborazione e gestione delle informazioni a supporto delle decisioni strategiche del business, supportando l'analisi dei contesti geopolitici: situazioni paesi, scenari per la security macroeconomici generali (sistema economico, variabili economiche e loro interdipendenze) di settore e di mercato ("business intelligence", "competitive intelligence")
interagire con le strutture interne ed esterne all'Organizzazione che si occupano di:
conformità alle normative nazionali e internazionali ("compliance")
interazione tra security e salute sul lavoro
interazione tra security e protezione ambientale
interazione tra security e responsabilità sociale
security e privacy
gestione dei rischi di origine criminosa
interazione con tecnologie informatiche per la gestione del "disaster recovery"
business continuity
vigilanza
investigazioni
rapporti con le autorità istituzionali, Forze dell'ordine ed Enti governativi, ecc.
produzione
A.2. COMPITI DEL SECURITY MANAGER
attuare le politiche, le strategie e i programmi di security definiti dal vertice aziendale/Organizzazione al fine di raggiungere gli obiettivi prefissati
mettere in atto sistemi di controllo e di audit per verificare l'efficacia e l'efficienza dei programmi di security
condurre le investigazioni aziendali e regolari e periodiche valutazioni dei rischi e fornire assistenza ai livelli superiori per il riesame (previsto dal ciclo PDCA) ed essere inserito nel processo decisionale dell'Organizzazione per prenderne in considerazione gli aspetti critici e le loro evoluzioni
sviluppare e attuare programmi di informazione e di formazione in security, delle persone coinvolte nell'Organizzazione
gestire la Security fisica (protezione delle persone, degli edifici, delle proprietà, dei beni, degli strumenti operativi dell'Organizzazione)
gestire la protezione del segreto industriale
gestire il supporto alla security delle tecnologie e delle strutture IT: protezione delle tecnologie, delle strutture informatiche dell'Organizzazione
gestire il contrasto agli illeciti e alle frodi interne ed esterne: truffe e sabotaggi
gestire il supporto alla security delle persone: protezione dell'integrità fisica dei dipendenti e dei soggetti esterni che hanno rapporti contrattuali con l'Organizzazione
coordinare la gestione delle emergenze, delle crisi e della continuità operativa
coordinare la gestione della security di manifestazioni/convegni tenuti dall'Organizzazione: protezione delle sedi permanenti o provvisorie in cui siano organizzati eventi d'interesse dell'Organizzazione
coordinare gli adempimenti di security previsti da requisiti cogenti (leggi, regolamenti, direttive e prescrizioni obbligatorie in genere a livello locale, nazionale, europeo e internazionale)
coordinare le Investigazioni e la gestione degli accadimenti afferenti alla security: attività di analisi, indagine preventiva e investigazione degli eventi dannosi interni ed esterni in collaborazione con le Autorità preposte e con i soggetti privati autorizzati
porre in essere tutte le attività necessarie alla raccolta, elaborazione e gestione delle informazioni a supporto delle decisioni strategiche del business, supportando l'analisi dei contesti geopolitici: situazioni paesi, scenari per la security macroeconomici generali (sistema economico, variabili economiche e loro interdipendenze) di settore e di mercato ("business intelligence", "competitive intelligence")
interagire con le strutture interne ed esterne all'Organizzazione che si occupano di:
conformità alle normative nazionali e internazionali ("compliance")
interazione tra security e salute sul lavoro
interazione tra security e protezione ambientale
interazione tra security e responsabilità sociale
sicurezza delle informazioni e protezione dei dati personali
gestione dei rischi di origine criminosa
interazione con tecnologie informatiche per la gestione del "disaster recovery"
continuità operativa nell'Organizzazione
vigilanza
investigazioni
rapporti con le autorità istituzionali, Forze dell'ordine ed Enti governativi, ecc.
produzione
sviluppare una struttura organizzativa per la security che descriva i compiti e i relativi responsabili
A.3. COMPITI RICHIESTI AL SENIOR SECURITY MANAGER
attuare le politiche, le strategie e i programmi di security definiti dal vertice aziendale/Organizzazione al fine di raggiungere gli obiettivi prefissati
definire sistemi di controllo e di audit per verificare l'efficacia e l'efficienza dei programmi di security
coordinare il processo di security, incluse le attività di riesame (previsto dal ciclo PDCA)
sviluppare programmi di informazione e di formazione in security, delle persone coinvolte nell'Organizzazione
coordinare la gestione della Security fisica (protezione delle persone, degli edifici, delle proprietà, dei beni, degli strumenti operativi dell'Organizzazione)
gestire la protezione del segreto industriale
coordinare il contrasto agli illeciti e alle frodi interne ed esterne: truffe e sabotaggi
coordinare la security delle persone: protezione dell'integrità fisica dei dipendenti e dei soggetti esterni che hanno rapporti contrattuali con l'Organizzazione
coordinare la gestione delle emergenze, delle crisi e della continuità operativa
coordinare la gestione della security di manifestazioni/convegni tenuti dall'Organizzazione: protezione delle sedi permanenti o provvisorie in cui siano organizzati eventi d'interesse dell'Organizzazione
coordinare gli adempimenti di security previsti da requisiti cogenti (leggi, regolamenti, direttive e prescrizioni obbligatorie in genere a livello locale, nazionale, europeo e internazionale)
coordinare le Investigazioni e la gestione degli accadimenti afferenti alla security: attività di analisi, indagine preventiva e investigazione degli eventi dannosi interni ed esterni in collaborazione con le Autorità preposte e con i soggetti privati autorizzati
coordinare tutte le attività necessarie alla raccolta, elaborazione e gestione delle informazioni a supporto delle decisioni strategiche del business, supportando l'analisi dei contesti geopolitici: situazioni paesi, scenari per la security macroeconomici generali (sistema economico, variabili economiche e loro interdipendenze) di settore e di mercato ("business intelligence", "competitive intelligence")
interagire con le strutture interne ed esterne all'Organizzazione che si occupano di:
conformità alle normative nazionali e internazionali ("compliance")
interazione tra security e salute sul lavoro
interazione tra security e protezione ambientale
interazione tra security e responsabilità sociale
security e privacy
gestione dei rischi di origine criminosa
interazione con tecnologie informatiche per la gestione del "disaster recovery"
business continuity
vigilanza
investigazioni
rapporti con le autorità istituzionali, Forze dell'ordine ed Enti governativi, ecc.
produzione
sviluppare una struttura organizzativa per la security che descriva i compiti e i relativi responsabili
sviluppare una strategia di security e una politica, in linea con le strategie dell'Organizzazione, attraverso lo sviluppo e l'attuazione di un programma di security
attivare investigazioni per verificare o per contrastare minacce interne o esterne
interfacciarsi con gli enti della security nazionale preposti all'intelligence economica, alla sicurezza e ordine pubblico, nell'ambito della "partnership" tra pubblico e privato
1) analisi scenari e contesto
2) criminologia applicata
3) legislazione
4) gestione del rischio (enterprise risk management)
5) security management
6) il sistema di gestione dei rischi per la security (security risk management)
7) intelligence e security intelligence
8) strumenti di sicurezza
9) servizi di sicurezza e altri servizi
10) sicurezza delle informazioni e delle risorse intangibili (intangible e information security)
11) continuità operativa e gestione delle emergenze (business continuity e emergency management)
12) elementi di management
analisi scenari di riferimento (geopolitici, sociali, economici, ambientali, tecnologici)
analisi settore di appartenenza
analisi organizzativa interna (struttura organizzativa, processi critici e operativi, risorse e aree critiche, policy, ecc.)
criminologia applicata e profilino criminale
criminalità e sicurezza nei contesti urbani (CPTED)
sicurezza nella costituzione e sicurezza pubblica
responsabilità giuridiche e aziendali
elementi di diritto penale
responsabilità amministrativa degli enti
sicurezza sul lavoro
sicurezza privata
elementi di sicurezza delle informazioni
codice di tutela della proprietà industriale
statuto dei lavoratori
elementi di protezione dei dati personali
rischi nelle organizzazioni
metodologie di analisi
politiche di gestione
definizione, evoluzione storica, compiti e attività
organizzazione e relazioni interne ed esterne della security
chi e cosa proteggere: persone, risorse materiali e immateriali, strutture e infrastrutture critiche, siti e obiettivi sensibili, processi
focus su: sicurezza di luoghi ad alta frequentazione, sicurezza di porti e aeroporti, sicurezza di eventi e grandi eventi
progetto (analisi del contesto esterno e interno, individuazione minacce, valutazione dei rischi, selezione di politiche di gestione del rischio, elaborazione del piano di security, scelta delle soluzioni e attuazione, monitoraggio e reporting)
click to edit
click to edit
sistema di gestione della security e degli standard dì riferimento (qualità, ambiente, sicurezza sul lavoro, sicurezza delle informazioni , continuità operativa)
definizioni, metodologie e tecniche,ambiti di utilizzo, attività investigative e indagini in azienda
tecnologie e sistemi di sicurezza passiva
tecnologie e sistemi di sicurezza attiva
strumenti organizzativi di security (policy, procedure, organizzazione, ecc.)
servizi di sicurezza privata
vigilanza privata: servizi, contratti e normativa di riferimento
investigazione privata: servizi, contratti e normativa di riferimento
servizi di guardiania (portierato, accoglienza, ecc.)
elementi della sicurezza delle informazioni e delle risorse intangibili (marchi, know-how, ecc.)
principali rischi e attacchi al sistema informatico
reati informatici
caratteristiche generali del sistema di gestione per la sicurezza delle informazioni
principali contromisure tecnologiche e organizzative per la sicurezza delle informazioni
Business Continuity e Disaster Recovery: definizione, metodologia e normativa di riferimento
Emergency Management: definizione, metodologia, attori coinvolti, comportamento individuale e delle masse, elementi di psicologia delle emergenze, comunicazione in caso di crisi
elementi di strategia, pianificazione e controllo aziendale
elementi di organizzazione del lavoro e gestione delle risorse
elementi di budgeting e finanza aziendale (es. strumenti di valutazione degli investimenti)
elementi di leadership
elementi di project management
elementi di time management
elementi di comunicazione e negoziazione
elementi di gestione dei conflitti, dello stress e del sé nei momenti critici
1) abilità realizzative e operative
2) abilità sociali
3) abilità d'influenza
4) abilità manageriali
5) abilità cognitive
6) abilità di efficacia personale
orientamento al risultato: intensità e completezza dell'azione motivata dal risultato, effetto dei risultato, livello d'innovazione
attenzione all'ordine, alla qualità e all'accuratezza
spirito di iniziativa: orizzonte temporale, auto-motivazione, quantità di sforzo discrezionale
ricerca e analisi delle informazioni
sensibilità interpersonale: profondità della sensibilità interpersonale, capacità di ascoltare e rispondere agli altri
orientamento al cliente: focalizzazione sui bisogni dei clienti, iniziativa (sforzo discrezionale) per aiutare o servire agli altri
persuasività e influenza: azioni compiute per influenzare gli altri, portata dell'influenza, della conoscenza o della rete (interna o esterna)
consapevolezza organizzativa: profondità della conoscenza dell'organizzazione
costruzioni di relazioni: solidità del rapporto
sviluppo degli altri: intensità dell'orientamento allo sviluppo e completezza della relativa azione, numero e categoria delle persone sviluppate o dirette
attitudine al comando: assertività e uso del potere formale, misura dell'attitudine
lavoro di gruppo e cooperazione: intensità dell'incoraggiamento del lavoro di gruppo, dimensione del gruppo, misura dello sforzo o dell'iniziativa compiuti per facilitare il lavoro di gruppo
leadership del gruppo: forza del ruolo di leader
corretta allocazione delle risorse
pensiero analitico: complessità dell'analisi, dimensioni dei problemi affrontati
pensiero concettuale: complessità e originalità dei concetti
autocontrollo
fiducia in sè: fiducia nelle proprie possibilità, reazione all'insuccesso
flessibilità: profondità del cambiamento, durata dell'azione
percorsi di accesso:
a) apprendimento formale (titolo di studio e formazione specifica)
b) apprendimento non formale (aggiornamento continuo)
c) apprendimento informale (esperienza lavorativa)
Security Expert (I livello)
Security Manager (II livello)
Senior Security Manager (III livello)
titolo di studio: laurea
formazione specifica: superamento master (I o II livello) in materia di security, oppure corso di formazione in materia di security di almeno 120 ore
esperienza lavorativa: minimo 4 anni di esperienza professionale di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 2 anni in incarichi con responsabilità e autonomia coerenti con il livello
responsabilità e autonomia = assumere la responsabilità di portare a termine compiti e saper adeguare il proprio comportamento alle circostanze nella soluzione dei problemi
equipollenza: - con laurea magistrale o diploma di master universitario (di 1° e 2° livello) in materia di security, l'esperienza professionale si riduce a 2 anni; - con diploma, minimo 8 anni di esperienza professionale continuativa di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 4 anni in incarichi di responsabilità e/o autonomia coerenti con il livello
titolo di studio: laurea
formazione specifica: superamento master (I o II livello) in materia di security, oppure corso di formazione in materia di security di almeno 120 ore
esperienza lavorativa: minimo 8 anni di esperienza professionale continuativa di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 4 anni in incarichi con responsabilità e autonomia coerenti con il livello
equipollenza: - con laurea magistrale o diploma di master universitario (di 1° e 2° livello) in materia di security, l'esperienza professionale si riduce a 5 anni, di cui 3 anni in incarichi con responsabilità e autonomia coerenti con il livello; - con diploma, minimo 12 anni di esperienza professionale continuativa di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 6 anni in incarichi di responsabilità e/o autonomia coerenti con il livello
titolo di studio: laurea
formazione specifica: superamento master (I o II livello) in materia di security, oppure corso di formazione in materia di security di almeno 120 ore
esperienza lavorativa: minimo 12 anni di esperienza professionale continuativa di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 6 anni in incarichi con responsabilità e autonomia coerenti con il livello
equipollenza: - con laurea magistrale o diploma di master universitario (di 1° e 2° livello) in materia di security, l'esperienza professionale si riduce a 10 anni, di cui 6 anni in incarichi con responsabilità e autonomia coerenti con il livello; - con diploma, minimo 20 anni di esperienza professionale continuativa di security nel privato (anche come consulente) e/o in organismi pubblici di sicurezza, di cui almeno 8 anni in incarichi di responsabilità e/o autonomia coerenti con il livello
diligenza
competenza professionale
efficienza ed efficacia della prestazione professionale
formazione professionale
autonomia ed obiettività professionale
decoro professionale
correttezza nei rapporti di committenza e nei rapporti di colleganza
correttezza nei rapporti con le varie componenti della società
riservatezza, osservanza dell'obbligo di segretezza e rispetto della protezione dei dati personali
esaustività informativa
sostegno delle iniziative sociali delle professioni intellettuali
decreto legislativo 231/2001
tutte le società operanti nel territorio nazionale sono tenute ad allinearsi agli standard più evoluti del governo societario (Corporale Governance)
codice etico dell'organizzazione
strumento attraverso il quale le figure professionali della security garantiscono la gestione trasparente ed efficace delle proprie attività e delle relazioni umane, sostenendo la reputazione dell'Organizzazione e creando fiducia verso l'esterno
in assenza di giudizi precostituiti
avendo il controllo dei propri stati emotivi e operando al fine di mantenerlo o ristabilirlo in situazioni di forte stress
adottando strumenti che facilitino la comunicazione verbale e scritta
promuovendo le attività che prevedano obiettivi chiari e raggiungibili
mostrando interesse verso le innovazioni
adattandosi alle situazioni di contesto in modo tempestivo ed efficace
D. Lgs 16 gennaio 2013
UNI schema per le norme sulle professioni non regolamentate (definizioni adottate nella presente norma)
apprendimento formale
apprendimento non formale
apprendimento informale
apprendimento erogato in un contesto organizzato e strutturato (per esempio, in un istituto d'istruzione o di formazione o sul lavoro), appositamente progettato come tale (in termini di obiettivi di apprendimento e tempi o risorse per l'apprendimento)
l'apprendimento formale è intenzionale dal punto di vista del discente e di norma sfocia in una convalida e in una certificazione
apprendimento erogato nell'ambito di attività pianificate non specificamente concepite come apprendimento (in termini di obiettivi, di tempi o di sostegno all'apprendimento)
l'apprendimento non formale (talvolta denominato apprendimento semi-strutturato) è intenzionale dal punto di vista del discente e i risultati possono essere convalidati e sfociare in una certificazione
apprendimento risultante dalle attività della vita quotidiana legate al lavoro, alla famiglia o al tempo libero e non è strutturato in termini di obiettivi di apprendimento, di tempi o di risorse dell'apprendimento
nella maggior parte dei casi l'apprendimento informale (detto anche apprendimento esperienziale o fortuito o casuale) non è intenzionale dal punto di vista del discente e i risultati dell'apprendimento informale in genere non sfociano in una certificazione, ma possono essere convalidati e certificati nel quadro del riconoscimento dei programmi di apprendimento precedenti
apprendimento permanente
qualsiasi attività intrapresa dalla persona in modo formale, non formale e informale, nelle varie fasi della vita, al fine di migliorare le conoscenze, le capacità e le competenze, in una prospettiva di crescita personale, civica, sociale e occupazionale
apprendimento formale
apprendimento che si attua nel sistema di istruzione e formazione e nelle università e istituzioni di alta formazione artistica, musicale e coreutica, e che si conclude con il conseguimento di un titolo di studio o di una qualifica o diploma professionale, conseguiti anche in apprendistato, o di una certificazione riconosciuta, nel rispetto della legislazione vigente in materia di ordinamenti scolastici e universitari
apprendimento non formale
apprendimento caratterizzato da una scelta intenzionale della persona, che si realizza al di fuori dei sistemi indicati nell'apprendimento formale, in ogni organismo che persegua scopi educativi e formativi, anche del volontariato, del servizio civile nazionale e del privato sociale e nelle imprese
apprendimento informale
apprendimento che, anche a prescindere da una scelta intenzionale, si realizza nello svolgimento, da parte di ogni persona, di attività nelle situazioni di vita quotidiana e nelle interazioni che in essa hanno luogo, nell'ambito del contesto di lavoro, familiare e del tempo libero
apprendimento formale
apprendimento non formale
apprendimento informale
apprendimento derivante da attività formative, intenzionali e strutturate, realizzate da enti/istituzioni d'istruzione e formazione riconosciuti da un'autorità competente e che comporta il rilascio di titoli aventi valore legale
apprendimento derivante da attività formative, intenzionali e strutturate, realizzate in qualsiasi ambito diverso da quello formale e che non dà luogo al rilascio di titoli aventi valore legale
apprendimento derivante da esperienze lavorative, da quelle di vita famigliare ed anche dal tempo libero; non è un'attività volutamente strutturata e, alcune volte, l'apprendimento non è intenzionale
livello 5
conoscenze pratiche e teoriche esaurienti e specializzate, in un ambito di lavoro o di studio, e consapevolezza dei limiti di tali conoscenze
una gamma esauriente di abilità cognitive e pratiche necessarie a dare soluzioni creative a problemi astratti
livello 6
conoscenze avanzate in un ambito di lavoro o di studio, che presuppongono una comprensione critica di teorie e principi
abilità avanzate, che dimostrino padronanza e innovazione necessarie a risolvere problemi complessi ed imprevedibili in un ambito specializzato di lavoro o di studio
livello 7
conoscenze altamente specializzate, parte delle quali all'avanguardia in un ambito di lavoro o di studio, come base del pensiero originale e/o della ricerca con consapevolezza critica di questioni legate alla conoscenza in un ambito e all'intersezione tra ambiti diversi
abilità specializzate, orientate alla soluzione di problemi, necessarie nella ricerca e/o nell'innovazione al fine di sviluppare conoscenze e procedure nuove e integrare le conoscenze ottenute in ambiti diversi