Auditor di sistemi informativi
Transcript
Auditor di sistemi informativi
Auditor di sistemi informativi [ Classificazioni ] ________________________________________________________________________ Classificazione Nazionale delle Professioni ISTAT 2001 2.1.1.4 ‐ INFORMATICI E TELEMATICI Attività Economiche ATECO K ‐72.10 ‐ Consulenza per installazione di sistemi informatici Classificazione Internazionale delle Professioni ISCO‐88 2131 ‐ Progettisti e analisti di sistemi informatici [ Descrittivo ]___________________________________________________________________________ Finalità Su incarico del cliente, fornisce un servizio di verifica e garanzia di sicurezza, qualità, conformità e valore aggiunto del sistema informativo interno. Valuta i rischi connessi all’uso di strumenti informatici e la qualità dei processi di supervisione e controllo dell’infrastruttura tecnologica. Elementi di contesto CONTESTI LAVORATIVI: Ambito/i di riferimento: Opera all’interno di aziende di medio‐grandi dimensioni appartenenti a qualsiasi settore interessate a garantire la qualità dei propri sistemi informativi. Può operare anche dall’esterno dell’organizzazione, garantendo una indipendenza assoluta nelle valutazioni espresse Collocazione/i organizzativa/e: Se interno riporta alla Direzione Generale oppure alla Direzione Amministrativa; se esterno risponde alle stesse funzioni dell’organizzazione cliente, pur operando in stretto collegamento con la funzione Sistemi Informativi. Modalità di esercizio del lavoro: Caratterizzato da orari di lavoro flessibili e non standard, in relazione alle esigenze ed alle disponibilità dei vari attori con i quali interagisce durante lo svolgimento della propria attività professionale. Può operare come dipendente (anche all’interno di aziende fornitrici di servizi informatici) o come libero professionista con incarichi di consulenza Requisiti preferenziali Formativi/Esperenziali: E’ preferibile una laurea in Ingegneria Gestionale o Informatica. In alternativa è ipotizzabile una formazione in ambito giuridico (laurea in Giurisprudenza) con specializzazione sui temi informatici, associata ad un’esperienza di almeno 5 anni Requisiti obbligatori Per potersi qualificare come Auditor di sistemi informativi/IS Auditor occorre superare i test EUCIP previsti per questa figura ed è inoltre necessario il possesso della certificazione EUCIP livello “Core” ____________________________________________________________ [ Comportamenti Organizzativi ] Orientamento all’innovazione e al cambiamento Pensiero analitico Pensiero concettuale Creatività Integrazione organizzativa Consapevolezza organizzativa [ Competenze ]_________________________________________________________________________ Essere in grado di effettuare il confronto delle prestazioni di un sistema informativo con modelli ideali di gestione Per metter in atto la competenza occorre sapere come… ‐ Analizzare un sistema informativo ed i relativi criteri di gestione operando confronti rispetto a modelli di riferimento (COBIT, ITIL, ..) ‐ Verificare il livello di sicurezza delle tecnologie adottate dall’organizzazione cliente e la loro efficacia in relazione alle esigenze aziendali ‐ Valutare la gestione dell’IT ‐ Fare corrispondere le esigenze aziendali e le opportunità tecnologiche ‐ Scegliere il pacchetto più adatto in relazione al ciclo di vita del sistema IT ‐ Analizzare i rischi e gestire la sicurezza ‐ Gestire la sicurezza dei dati ‐ Garantire la sicurezza informatica attraverso una opportuna gestione ‐ Gestire le modifiche e la configurazione del sistema Conoscenze Abilità Procedure di controllo qualità Applicare procedure di pianificazione operativa Normativa in materia di tutela della Privacy Applicare tecniche di valutazione della copertura funzionale dei pacchetti software Economia aziendale Nuove opportunità tecnologiche e corrispondenza delle stesse con le esigenze aziendali Applicare metodologie di protezione dei dati Gestione delle modifiche e della configurazione Applicare metodologie di gestione delle modifiche e della configurazione del sistema Modelli di gestione IT (es. COBIT) Applicare procedure di sicurezza della rete Scelta del pacchetto software e ciclo di vita dellʹimplementazione Applicare tecniche di gestione operativa IT (es. ITIL) Sistemi per la gestione del rischio e sicurezza informatica Applicare tecniche di verifica e comparazione tra soluzioni software alternative Applicare tecniche di valutazione del rischio informatico Essere in grado di effettuare una revisione (audit) del sistema informativo Per metter in atto la competenza occorre sapere come… ‐ Rilevare la struttura organizzativa aziendale in generale e in particolare la gestione dei sistemi informatici ‐ Organizzare e portare a termine le attività di revisione rilevando la conformità ed il grado di rischio del sistema nel suo complesso ‐ Definire un modello dei processi aziendali e dei flussi informativi ‐ Disegnare processi di controllo dellʹinfrastruttura informatica ‐ Rilevare il grado di rischio informatico di un sistema ‐ Organizzare le attività di revisione ‐ Organizzare le attività di collaudo ‐ Raccogliere campioni di dati significativi per lʹaudit ‐ Valutare la conformità di un sistema informativo ai requisiti normativi ‐ Predisporre e presentare i risultati della revisione Conoscenze Abilità Normativa in materia di tutela della Privacy Applicare metodi per la valutazione delle prestazioni Normativa sulle licenze dʹuso del software Applicare tecniche di campionamento statistico Organizzazione aziendale Applicare metodologie di ottimizzazione dei processi Elementi di normative in materia di controllo qualità Applicare procedure di controllo qualità Tecniche di redazione documentazione tecnica (manuali operativi, schede ecc.) Applicare procedure di miglioramento del sistema qualità Analisi dei processi aziendali Sistemi informativi in ambito aziendale Applicare metodologie strutturate per lʹideazione di un sistema informativo (soft system, Data Flow Diagrams, PHD,..) Metodologie di controllo della qualità Applicare metodi di verifica dellʹimpatto dellʹinfrastruttura informatica Normativa sulla sicurezza dei dati e delle informazioni Applicare metodologie di audit di un sistema informativo Tecniche di analisi e valutazione del rischio Applicare metodi di valutazione conformità di un sistema informativo Principi del Testing Sistemi e procedure di controllo dellʹinfrastruttura informatica Applicare tecniche di software testing Essere in grado di definire aree di miglioramento e proposte di intervento sul sistema informativo Per metter in atto la competenza occorre sapere come… ‐ Individuare il valore del sistema informativo all’interno dell’organizzazione ‐ Proporre, alla luce delle esigenze aziendali e di eventuali non conformità normative, interventi di miglioramento del sistema tenendo conto delle metodologie e delle tecniche di conduzione di progetti informatici ‐ Definire gli obiettivi e lʹorganizzazione di un progetto ‐ Distinguere tra vari approcci per stimare lo sviluppo del sistema ‐ Contribuire ad un proficuo cambiamento organizzativo ‐ Definire lʹarchitettura del sistema e il piano di attivazione ‐ Gestire la progettazione software secondo un approccio consolidato Conoscenze Abilità Elementi di project management Applicare tecniche di comunicazione efficace Metodi statistici per lʹanalisi dei dati Applicare tecniche di Project management Gestione del cambiamento organizzativo Applicare metodi di valutazione progetti Disegno dei sistemi e implementazione Applicare metodi di stima dellʹimpegno necessario per lo sviluppo di un sistema IT Approcci per stimare lo sviluppo di un sistema IT Progettazione software secondo un approccio consolidato Applicare metodi di valutazione dʹimpatto delle soluzioni IT sullʹazienda Applicare tecniche di progettazione dellʹarchitettura del sistema informativo Applicare i principi di progettazione software