Professione Informatica: La figura del Security auditor

Professione Informatica: La figura del Security auditor

Chi è il Security auditor?

Il Security auditor è lo specialista che valuta l’efficacia delle soluzioni tecniche adottate per garantire la sicurezza informatica di un sistema informativo.
La sua attività può essere considerata simmetrica rispetto a quella del Security administrator: mentre quest’ultimo progetta un sistema sicuro e lo gestisce, il Security auditor ne individua i possibili punti vulnerabili.
Le informazioni sono un bene primario e come tali vanno protette adeguatamente: qualunque tipo di organizzazione, dalle istituzioni pubbliche alle imprese private tutela la sicurezza dei propri dati e delle proprie reti di comunicazione.

Il tema della sicurezza è di complessità elevata ed in genere non si esaurisce in processi interni all’azienda. Sempre più spesso, la sicurezza viene “acquistata” come servizio da imprese esterne specializzate. Per questo motivo il Security auditor lavora il più delle volte in società di consulenza che offrono il proprio servizio ad altre organizzazioni prive delle risorse e delle competenze tecniche necessarie.

Professione Informatica - La figura del Security auditor

Competenze

La figura del Security auditor svolge un insieme di attività molto diverse tra loro che comprendono non solo aspetti tecnici, ma anche sociali e normativi. Da anni molte iniziative legislative in tutto il mondo (leggi sulla privacy e sulla firma digitale) spingono organizzazioni di varia natura ad un approccio sistematico ed uniforme alla sicurezza. Alcuni collocano l’attività del Security auditor in un ambito prettamente tecnologico (il sistema in esame viene analizzato da un punto di vista prevalentemente tecnico), altri ne sottolineano invece gli aspetti normativi (si verifica che il sistema soddisfi delle proprietà definite in appositi standard). La conformità a queste norme è indispensabile soprattutto per determinate tipologie di servizio: si pensi ad esempio alle banche.
I compiti consistono nella pianificazione e nell’esecuzione del monitoraggio della sicurezza di reti, applicazioni ed utenti che compongono il sistema in esame, rilevando eventuali abusi e violazioni sia accidentali che dolosi. Il Security auditor simula il comportamento degli hacker, cercando di “bucare” il sistema stesso attraverso attacchi mirati e sistematici che ne rivelino gli eventuali punti deboli. A conclusione delle attività di controllo, produce un resoconto finale che sintetizza i risultati raggiunti.
Data la complessità tecnica e gestionale dei compiti richiesti, l’attività di questa figura varia molto da progetto a progetto ed in genere si svolge all’interno di un team nel quale ogni persona si occupa di aspetti specifici.

I requisiti del Security auditor sono infatti tali e tanti che è molto difficile che un solo individuo possa soddisfarli tutti in pieno, se non dopo un numero cospicuo di anni di esperienza. Oltre a specifiche competenze tecniche di Information Security (crittografia, firma digitale, protocolli di comunicazione, sistemi di autenticazione e controllo, tecniche di Hacking e di Intrusion Detection, ecc.), questa figura deve possedere un’adeguata conoscenza degli aspetti giuridici e delle normative internazionali (tutela dei dati personali, valore dei documenti elettronici, tutela del patrimonio informativo, ecc.) in ambito civile, penale ed amministrativo. Al Security auditor si richiedono anche qualità morali come onestà e riservatezza in quanto egli accede ad informazioni delicate ed è essenziale che goda della massima fiducia all’interno del proprio ambiente di lavoro. Altri requisiti sono il possesso di buone doti interpersonali per favorire la comunicazione con i vari ambienti aziendali e la padronanza della lingua inglese, indispensabile in ogni attività legata all’informatica.

Formazione

Per la formazione di questa figura è necessario un percorso formativo di livello universitario in discipline scientifiche: informatica, ingegneria, matematica o fisica costituiscono il background ideale , che potrà successivamente frequentare un master in sicurezza informatica.

Situazione di Lavoro

In genere il Security auditor è un dipendente che lavora in aziende specializzate nella consulenza informatica, ma quest’attività può essere svolta anche come libero professionista.
offrendo un servizio rivolto ad altre imprese, può operare nella sede dei clienti anche per lunghi periodi e si richiede quindi una certa disponibilità agli spostamenti.

Tendenze Occupazionali

Oggi investire nel campo della sicurezza informatica è considerato dalle aziende un fattore strategico. Le prospettive occupazionali per questa professione, tendenzialmente maschile, sono buone sia per la richiesta molto elevata che per la carenza di personale con i requisiti necessari.

Precedente Professione Informatica: La figura dell'Help desk manager Successivo Professione Informatica: La figura del Cyber Security Manager

Lascia un commento

*