Auditor di sistemi informativi

Auditor di sistemi informativi
[ Classificazioni ] ________________________________________________________________________
Classificazione Nazionale delle Professioni ISTAT 2001
2.1.1.4 ‐ INFORMATICI E TELEMATICI
Attività Economiche ATECO
K ‐72.10 ‐ Consulenza per installazione di sistemi informatici
Classificazione Internazionale delle Professioni ISCO‐88
2131 ‐ Progettisti e analisti di sistemi informatici
[ Descrittivo ]___________________________________________________________________________
Finalità
Su incarico del cliente, fornisce un servizio di verifica e garanzia di sicurezza, qualità, conformità e valore aggiunto del sistema informativo interno. Valuta i rischi connessi all’uso di strumenti informatici e la qualità dei processi di supervisione e controllo dell’infrastruttura tecnologica.
Elementi di contesto
CONTESTI LAVORATIVI:
Ambito/i di riferimento:
Opera all’interno di aziende di medio‐grandi dimensioni appartenenti a qualsiasi settore interessate a garantire la qualità dei propri sistemi informativi. Può operare anche dall’esterno dell’organizzazione, garantendo una indipendenza assoluta nelle valutazioni espresse
Collocazione/i organizzativa/e:
Se interno riporta alla Direzione Generale oppure alla Direzione Amministrativa; se esterno risponde alle stesse funzioni dell’organizzazione cliente, pur operando in stretto collegamento con la funzione Sistemi Informativi. Modalità di esercizio del lavoro:
Caratterizzato da orari di lavoro flessibili e non standard, in relazione alle esigenze ed alle disponibilità dei vari attori con i quali interagisce durante lo svolgimento della propria attività professionale. Può operare come dipendente (anche all’interno di aziende fornitrici di servizi informatici) o come libero professionista con incarichi di consulenza
Requisiti preferenziali
Formativi/Esperenziali:
E’ preferibile una laurea in Ingegneria Gestionale o Informatica. In alternativa è ipotizzabile una formazione in ambito giuridico (laurea in Giurisprudenza) con specializzazione sui temi informatici, associata ad un’esperienza di almeno 5 anni
Requisiti obbligatori
Per potersi qualificare come Auditor di sistemi informativi/IS Auditor occorre superare i test EUCIP previsti per questa figura ed è inoltre necessario il possesso della certificazione EUCIP livello “Core”
____________________________________________________________
[ Comportamenti Organizzativi ]
Orientamento all’innovazione e al cambiamento
Pensiero analitico
Pensiero concettuale
Creatività
Integrazione organizzativa
Consapevolezza organizzativa
[ Competenze ]_________________________________________________________________________
Essere in grado di effettuare il confronto delle prestazioni di un sistema informativo con modelli ideali di gestione
Per metter in atto la competenza occorre sapere come…
‐ Analizzare un sistema informativo ed i relativi criteri di gestione operando confronti rispetto a modelli di riferimento (COBIT, ITIL, ..)
‐ Verificare il livello di sicurezza delle tecnologie adottate dall’organizzazione cliente e la loro efficacia in relazione alle esigenze aziendali
‐ Valutare la gestione dell’IT
‐ Fare corrispondere le esigenze aziendali e le opportunità tecnologiche
‐ Scegliere il pacchetto più adatto in relazione al ciclo di vita del sistema IT
‐ Analizzare i rischi e gestire la sicurezza
‐ Gestire la sicurezza dei dati
‐ Garantire la sicurezza informatica attraverso una opportuna gestione
‐ Gestire le modifiche e la configurazione del sistema
Conoscenze Abilità Procedure di controllo qualità
Applicare procedure di pianificazione operativa Normativa in materia di tutela della Privacy
Applicare tecniche di valutazione della copertura funzionale dei pacchetti software
Economia aziendale
Nuove opportunità tecnologiche e corrispondenza delle stesse con le esigenze aziendali
Applicare metodologie di protezione dei dati
Gestione delle modifiche e della configurazione
Applicare metodologie di gestione delle modifiche e della configurazione del sistema
Modelli di gestione IT (es. COBIT)
Applicare procedure di sicurezza della rete
Scelta del pacchetto software e ciclo di vita dellʹimplementazione
Applicare tecniche di gestione operativa IT (es. ITIL)
Sistemi per la gestione del rischio e sicurezza informatica
Applicare tecniche di verifica e comparazione tra soluzioni software alternative
Applicare tecniche di valutazione del rischio informatico
Essere in grado di effettuare una revisione (audit) del sistema informativo
Per metter in atto la competenza occorre sapere come…
‐ Rilevare la struttura organizzativa aziendale in generale e in particolare la gestione dei sistemi informatici ‐ Organizzare e portare a termine le attività di revisione rilevando la conformità ed il grado di rischio del sistema nel suo complesso
‐ Definire un modello dei processi aziendali e dei flussi informativi
‐ Disegnare processi di controllo dellʹinfrastruttura informatica
‐ Rilevare il grado di rischio informatico di un sistema
‐ Organizzare le attività di revisione
‐ Organizzare le attività di collaudo
‐ Raccogliere campioni di dati significativi per lʹaudit
‐ Valutare la conformità di un sistema informativo ai requisiti normativi
‐ Predisporre e presentare i risultati della revisione
Conoscenze Abilità Normativa in materia di tutela della Privacy
Applicare metodi per la valutazione delle prestazioni
Normativa sulle licenze dʹuso del software
Applicare tecniche di campionamento statistico
Organizzazione aziendale
Applicare metodologie di ottimizzazione dei processi
Elementi di normative in materia di controllo qualità
Applicare procedure di controllo qualità
Tecniche di redazione documentazione tecnica (manuali operativi, schede ecc.)
Applicare procedure di miglioramento del sistema qualità
Analisi dei processi aziendali
Sistemi informativi in ambito aziendale
Applicare metodologie strutturate per lʹideazione di un sistema informativo (soft system, Data Flow Diagrams, PHD,..)
Metodologie di controllo della qualità
Applicare metodi di verifica dellʹimpatto dellʹinfrastruttura informatica
Normativa sulla sicurezza dei dati e delle informazioni
Applicare metodologie di audit di un sistema informativo
Tecniche di analisi e valutazione del rischio
Applicare metodi di valutazione conformità di un sistema informativo
Principi del Testing
Sistemi e procedure di controllo dellʹinfrastruttura informatica
Applicare tecniche di software testing
Essere in grado di definire aree di miglioramento e proposte di intervento sul sistema informativo
Per metter in atto la competenza occorre sapere come…
‐ Individuare il valore del sistema informativo all’interno dell’organizzazione
‐ Proporre, alla luce delle esigenze aziendali e di eventuali non conformità normative, interventi di miglioramento del sistema tenendo conto delle metodologie e delle tecniche di conduzione di progetti informatici
‐ Definire gli obiettivi e lʹorganizzazione di un progetto
‐ Distinguere tra vari approcci per stimare lo sviluppo del sistema
‐ Contribuire ad un proficuo cambiamento organizzativo
‐ Definire lʹarchitettura del sistema e il piano di attivazione
‐ Gestire la progettazione software secondo un approccio consolidato
Conoscenze Abilità Elementi di project management
Applicare tecniche di comunicazione efficace
Metodi statistici per lʹanalisi dei dati
Applicare tecniche di Project management
Gestione del cambiamento organizzativo
Applicare metodi di valutazione progetti
Disegno dei sistemi e implementazione
Applicare metodi di stima dellʹimpegno necessario per lo sviluppo di un sistema IT
Approcci per stimare lo sviluppo di un sistema IT
Progettazione software secondo un approccio consolidato
Applicare metodi di valutazione dʹimpatto delle soluzioni IT sullʹazienda
Applicare tecniche di progettazione dellʹarchitettura del sistema informativo
Applicare i principi di progettazione software