Mie slide dell'intevento all'interno della Tavola rotonda “Associazioni di settore e Ordini professionali: competenze, piani di formazione, certificazioni”
1. IT Security & Standards
Mimmo Squillace
Presidenza@uninfo.it
mimmo_squillace@it.ibm.com
2. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Mimmo Squillace
Technical Relations Executive – IBM Italia
Presidente UNINFO
3. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Information Security vs Cybersecurity
4. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Sicurezza delle informazioni
Preservazione della riservatezza,
dell’integrità e della disponibilità delle
informazioni
Riservatezza
- Proprietà delle informazioni di non essere rese
disponibili o divulgate a individui, entità o processi
non autorizzati
Integrità
- Proprietà relativa all’accuratezza e alla
completezza
Disponibilità
- Proprietà di essere accessibile e usabile a
richiesta di un’entità autorizzata
5. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Norme Tecniche
6. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Una Norma Tecnica è un documento
che descrive lo “stato dell’arte” di:
un bene, un servizio, un processo,
un sistema, ...
7. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Una Norma Tecnica è un documento
che descrive lo “stato dell’arte” di:
un bene, un servizio, un processo,
un sistema, ...
Sviluppato presso un Ente di
Normazione in maniera
trasparente e democratica,
approvato in maniera
consensuale ed adottato su
base volontaria.
8. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Chi sviluppa le
Norme Tecniche?
9. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Le Norme Tecniche
possono essere:
International Standard
European Standard
National Standard
10. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Le Norme Tecniche
sono sviluppate da:
International Standard Setting Organizations
“All-others”
ISO
Telecommunication
ITU
Electrotechnical
IEC
European Standard Setting Organizations
CEN ETSICENELEC
National Standard Bodies
JTC/1
IETF&IEEE
Fora
Consor
zi
W3C
11. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Gli Enti di Normazione
italiani sono:
CEI ed UNI
12. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
UNICHIM
Chimica
CIG
Gas
CTI
Termotecnica
UNSIDER
Ferro e Metalli
UNIPLAST
Materie Plastiche
CUNA
Automobili
Quando si parla
di UNI si intende
il Sistema UNI
13. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
UNICHIM
Chimica
CIG
Gas
UNINFO
Informatica
CTI
Termotecnica
UNSIDER
Ferro e Metalli
UNIPLAST
Materie Plastiche
CUNA
Automobili
UNINFO “fa”
gli Standard
per l’ICT
14. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
eHealthSW Enginering
IT Security
eBSF
“Traffic”
“MPEG”
Industrial Automation
Additive Tecnologies
APNR-ICT
Blockchain
Industry 4.0
15. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Perchè sono
importanti le
norme?
16. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Perchè sono importanti?
17. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Perchè sono importanti?
18. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Perchè sono importanti?
19. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Se dico la parola “cane” a cosa pensate?
- La maggior parte di Voi starà pensando a
- Magari qualcun altro ad un
- Ma nessuno o quasi avrà pensato a ...
Perchè sono importanti?
20. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
In più, 1 Norma EN:
●
equivale a 33 Norme Nazionali
●
da accesso ad un mercato
di 650 milioni di persone
Interoperabilità
Definizione univoca
Sicurezza prodotti
Economie di Scala
21. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Norme Tecniche
Sicurezza Informatica
22. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Norme del sottocomitato 27 di ISO/IEC JTC 1 (150+)
●
Sistemi di gestione per la sicurezza delle informazioni (27001,
27002)
●
Linee guida per i sistemi di gestione (2700X)
●
Linee guida di settore (2701X)
●
Linee guida per la sicurezza (2703X-2704X)
●
Certificazione della sicurezza dei prodotti (15408, 18045)
●
Autenticazione e biometria (2476X)
●
Protezione dei dati personali (291XX)
●
Crittografia (979X, 18033)
●
Modelli di maturità ICT (21827)
UNI CT/510 “Sicurezza Informatica”
23. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Si parla in genere di famiglia delle norme ISO 2700x intendendo un
set ampio di standard.
Fonte: ISO/IEC 27000:2018
ISO/IEC 2700x
24. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Sistema di Gestione per la Sicurezza delle Informazioni
(SGSI o ISMS).
●
Applicabile a realtà di ogni dimensione
●
Quasi 20 anni di esistenza sul mercato
●
Ambito definibile a piacimento
●
Approccio ciclico (PDCA)
●
Costituisce un framework completo
●
Dice cosa fare, non come farlo
●
Rivolto al miglioramento continuo
●
È un riferimento universale
25
ISO/IEC 27001
25. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Commissione UNINFO
Attività Professionali
non Regolamentate
ICT
27. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
• EN 16234-1 – e-Competence Framework (e-CF) - A common
European Framework for ICT Professionals in all industry sectors -
Part 1: Framework
• prCEN/TR 16234-2 – e-Competence Framework (e-CF) - A common
European Framework for ICT Professionals in all industry sectors –
part 2: User Guide
• WI TR 16234-3 – e-Competence Framework (e-CF) - A common
European Framework for ICT Professionals in all industry sectors –
part 3: Methodology
Le norme CEN in ambito APNR – ICT
Le norme ISO in ambito APNR – ICT
●
ISO/IEC 27021 - “Competence requirements for information
security management systems professionals”.
28. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
• UNI EN 16234-1 –e-Competence Framework (e-CF) -
Framework comune europeo per i professionisti ICT in
tutti i settori industriali - Parte 1: Framework (modello
di riferimento)
• UNI 11506:2017 – Attività professionali non
regolamentate - Figure professionali operanti nel
settore ICT - Requisiti per la valutazione e
certificazione delle conoscenze, abilità e competenze
per i profili professionali ICT basati sul modello e-CF
Le norme UNI in ambito APNR – ICT
29. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
• UNI 11621:2016 «Attività professionali non
regolamentate - Profili professionali per l’ICT»
– Parte 1 Metodologia per la costruzione di profili
professionali basati su sistema e-CF
– Parte 2 Profili professionali di "seconda generazione"
– Parte 3 Profili professionali relativi alle professionalità
operanti nel Web
– Parte 4 Profili professionali relativi alla sicurezza delle
informazioni
– Parte 5 Profili professionali relativi all’informazione
geografica
Le norme UNI in ambito APNR – ICT
30. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
• UNI 11697 - Attività professionali non regolamentate -
Profili professionali relativi al trattamento e alla
protezione dei dati personali - Requisiti di conoscenza,
abilità e competenza
Le norme UNI in ambito APNR – ICT
31. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Le norme tecniche di APNR-ICT
32. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
3 Dimensioni comuni
D1: 5 aree
D2: 40 e-competences
D3: 5 livelli di competenza
Eventuali profili
personalizzati possono
sfruttare la quarta
dimensione prevista
dal modello
http://www.ecompetences.eu/
e-CF 3.0 (2014) - EN 16234-1 (2016)
33. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Profili di competenza ICT
34. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Profili di competenza ICT
35. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Profili di competenza ICT
37. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
... pubblicata il 30 novembre 2017 sui Profili professionali relativi al
trattamento e alla protezione dei dati personali ed è basata su e-CF 3.0
DPO (completamente allineato al Regolamento)
Manager privacy
Soggetti con un elevatissimo livello di conoscenze, abilità e competenze in uno
specifico contesto organizzativo (sia esso un’area funzionale dell’organizzazione sia il
settore di appartenenza della stessa) per garantire l’adozione di idonee misure
organizzative nel trattamento di dati personali.
Specialista privacy
Soggetti che supportano il Responsabile per la protezione dei dati personali e/o il
Manager privacy nel mettere a punto le idonee misure tecniche e organizzative ai fini
del trattamento di dati personali.
Valutatore privacy
Soggetti indipendenti con conoscenze e competenze nel settore
informatico/tecnologico e di natura giuridica / organizzativa che conducono attività
del trattamento e della protezione dei dati personali che possono comunque
avvalersi di specialisti in entrambi gli ambiti per effettuare attività di audit.
UNI 11697...
38. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Top
Management
Audit
Linee di
Business
Specialista
Privacy
Manager
Privacy
Esempio di organizzazione basata sui profili della norma
DPO
Valutatore
Privacy
39
UNI 11697...
39. IT Security & Standards | 6 novembre, 2018 Roma | Mimmo Squillace
Grazie dell'attenzione
This work is licensed under the
Creative Commons Attribution- NonCommercial-NoDerivs 3.0 Unported License.
To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-nd/3.0/
Follow us on:
www.uninfo.it
https://www.facebook.com/UNINFO.it
https://twitter.com/uninfo_it
http://www.slideshare.net/uninfoit
Segreteria UNINFO
uninfo@uninfo.it