Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

IL QUADRO

Certificazione IT: norme di riferimento, linee guida e consigli

La guida per fare chiarezza sui processi di certificazione nell’ambito delle professioni IT e sulle terminologie associate. Ecco il percorso per ottenere la certificazione nella propria professione. Fondamentale soprattutto per chi fa di mestiere l’esperto di sicurezza informatica

18 Lug 2018
F

Franco Fontana

Business Assurance South Europe Person Certification Manager Intertek, Delegato tecnico Confassociazioni ai tavoli di lavoro UNI


A cinque anni di distanza dalla legge 4 relativa alle professioni non organizzate in albi e ruoli e dall’introduzione del D.lgs. 13/2013 è ancora necessario fare chiarezza sui reali processi e sulle terminologie associate che creano qualche confusione sul mercato. E’ un tema centrale da conoscere per gli esperti e professionisti di sicurezza informatica.

La legge regola la formazione continua non formale per tutte le professioni, oltre ad alcuni aspetti legati alla certificazione IT dei professionisti afferenti alla stessa legge 4. La legge purtroppo non è ancora ben conosciuta e ben diffusa; ancora meno il D.lgs. 13/2013.

Ancor meno sono chiari i passaggi conseguenti, ovvero i processi di certificazione dei professionisti e la formazione per gli stessi.

Ecco cosa bisogna sapere.

Certificazione IT: ecco come nasce una norma UNI

Sintetizzando in modo estremo, la legge 4 dice che le Associazioni costituite ai sensi della stessa, ovvero seguendo specifici requisiti, possono, tra l’latro, richiedere lo sviluppo di una norma UNI (Ente di normazione nazionale) che definisca in modo univoco il professionista o i professionisti rappresentati come Associati. Quindi, ad esempio, AIP (Associazione Informatici Professionisti) chiese, a suo tempo, a UNINFO (ente federato UNI per le norme in ambito informatico) la norma per definire i vari profili professionali secondo una linea guida Europea, la CWA 16458, e permetterne successivamente la certificazione. Tale linea guida sviluppata a livello CEN (Ente normatore europeo) definiva 23 profili.

Nacque così la UNI 11506, norma di certificazione che riferiva direttamente ai profili definiti dalla CWA 16458.

Il D.lgs. 13/2013 definisce le regole per la formazione non formale soprattutto finalizzata all’aggiornamento continuo per tutte le professioni, riservate, regolamentate, libere quindi non organizzate in albi e ruoli. Ma in un passaggio molto puntuale dice anche che in presenza di norma UNI o EN o ISO la certificazione debba essere condotta solo da Enti accreditati ISO 17024 sulla specifica norma. Essendo non del tutto attuativo, il D.lgs. non è operativo e non ha un quadro sanzionatorio correlato: quindi tale obbligo è, oltre che in buona parte disatteso, non ancora chiarissimo.

Semplificando, il processo normativo risulta essere il seguente:

  1. Associazione richiede norma
  2. UNI attiva il processo di normazione
  3. Norma pubblicata
  4. Eventuale proposizione del mercato di corsi specifici di aggiornamento
  5. Un ente di certificazione attiva il processo di certificazione sotto accreditamento Accredia
  6. I professionisti interessati si certificano
  7. Le persone certificate sotto accreditamento compaiono nel registro nazionale di Accredia

Attenzione: la certificazione è un fine ultimo ma è comunque un passaggio volontario che non costituisce obblighi anche se molto spesso alcune leggi dello stato possono imporne l’applicazione.

Cerchiamo ora di fare un po’ di chiarezza rispetto le norme presenti a livello italiano e non solo in ambito ICT.

Certificazione in ambito informatico: un po’ di chiarezza

Ufficialmente l’unica norma di certificazione per le professioni in ambito informatico a livello nazionale è la UNI 11506. Tale norma già revisionata dopo la prima pubblicazione, definisce i criteri di certificazione e come vanno identificati i profili specifici che non sono riportati nella norma UNI 11506.

Successivamente viene pubblicato un corposo impianto normativo di definizione dei profili che prende spunto dalla CWA 16458 European ICT Professional Profiles e da una linea guida legata all’ e-CF, ovvero e-Competence Framework, che vede poi pubblicata la norma UNI EN 16234-1:2016 “e-Competence Framework (e-CF) – Framework comune europeo per i professionisti ICT in tutti i settori industriali – Parte 1: Framework (modello di riferimento)”, che è la linea guida dell’e-CF che non costituisce norma certificabile.

Chiariamo subito che non esistono certificazioni e-CF: vi possono essere degli schemi di certificazione con questo nome, ma lo schema è solo la regola con cui un Ente di certificazione definisce poi le modalità di esame. Tutti gli Enti di certificazione hanno l’obbligo di riportare nel certificato la norma di riferimento e il nome dello schema con cui ha applicato la stessa ai fini dell’esame.

Le norme di supporto alla UNI 11506 sono:

  • UNI 11621-1 Parte 1 – Metodologia per la costruzione di profili professionali basati sul sistema e-CF
  • UNI 11621-2 Parte 2 – Profili professionali di seconda generazione. Comprende 23 profili: Account manager, Business Analyst, Business Information Manager, Chief Information Officer, Database Administrator, Developer, Digital Media Specialist, Enterprise Architect, ICT Consultant, ICT Operations Manager, ICT Security Manager, ICT Security Specialist, ICT Trainer, Netowrk Specialist, Project Manager, Quality Assurance Manager, Service Desk Agent, Service Manager, System Administrator, System Analyst, System Architect, Technical Specialist, Test Specialist
  • UNI 11621-3 Parte 3 – Profili professionali relativi alle professionalità operanti nel web. Comprende 28 profili: Web Community Manager, Web Project Manager, Web Account Manager, User Experience Designer, Web Business Analyst, Web Db Administrator, Search Engine Expert, Web Advertising Manager, Frontend Web Developer, Server Side Web Developer, Web Content Specialist, Web Server Administrator, Information Architect, Digital Strategic Planner, Web Accessibility Expert, Web Security Expert, Mobile Application Developer, E-Commerce Specialist, On Line Store Manager, Reputation Manager, Knowledge Manager, Web Augmented Reality Expert, E-Learning Specialist, Web Data Scientist, Wikipedian
  • UNI 11621-4 Parte 4 – Profili professionali relative alla sicurezza delle informazioni. Comprende 10 profili: Responsabile della sicurezza delle informazioni, Manager della sicurezza delle informazioni, Analista di processo per la sicurezza delle informazioni, Analista tecnico per la sicurezza delle informazioni, Analista forense per gli incidenti ICT, Specialista di processo della sicurezza delle informazioni, Specialista infrastrutturale della sicurezza delle informazioni, Specialista applicativo della iicurezza delle informazioni, Specialista nella risposta agli incidenti.
  • UNI 11621-5 Parte 5 – Profili professionali relativi alle professionalità operanti nel settore dell’informazione geografica

GDPR: la certificazione per esperti privacy

Di recente, a completamento è stata pubblicata anche una importante norma correlata al GDPR privacy europeo. Tale norma è centrata sui principi della UNI 11506 ma non è correlata ad essa ed è quindi autoportante pur ricollegandosi al sistema e-CF data la componente in ambito informatico.

Stiamo parlando della UNI 11697 sui profili professionali relativi al trattamento e alla protezione dei dai personali, che comprende 4 profili: Data Protection Officer, Manager Privacy, Specialista Privacy, Valutatore Privacy.

Sempre molto di recente è stata pubblicata una norma estremamente importante nell’ambito della sicurezza delle informazioni e dei professionisti che vi ruotano attorno. La ISO 27021 Competence Requirements for Information Security Management System Professionals, ovvero il professionista dei sistemi di gestione della sicurezza delle informazioni, colui che gestisce il mondo ISO 27000 e ovviamente la ISO 27001. La rilevanza di tale norma è legata al fatto che è una ISO, quindi assolutamente condivisa a livello mondiale.

I punti chiave sulla certificazione IT

Queste sono ad oggi le norme e i profili professionali certificabili ai sensi della legge 4/2013 e nel rispetto del D.lgs. 13/2013.

Attenzione ad alcune importanti considerazioni:

  • Le norme definiscono quali conoscenze, abilità e competenze deve possedere un professionista, ma definisce anche i requisiti di accesso all’eventuale esame. Eventuale perché la certificazione è volontaria, o almeno in questo ambito è tendenzialmente volontaria.
  • I requisiti di accesso sono definiti negli schemi di certificazione, ad esempio di Intertek, e sono riconducibili a due fondamentali elementi: le conoscenze, quindi eventuale scolarità o corsi di aggiornamento, e l’esperienza. Ecco quindi che rientra in campo la UNI 11506 dove sono definiti gli anni di esperienza specifici per tipologia di profilo professionale. Nella nota 2 di pagina 8 della norma UNI 11506 viene appunto riferito che per professioni di livello medio e-CF 4-5 sono previsti 4 anni di esperienza, per livello medio e-CF 2-3 sono previsti 2 anni di esperienza e per livello medio 1 sono previsti 6 mesi di esperienza.
  • L’esperienza è richiesta perché la certificazione delle professioni ai sensi della legge 4/2013 e secondo la ISO 17024, non è un sistema di accesso al mondo del lavoro ma un sistema di conferma di una professionalità. Certificare in accordo alla ISO 17024 e secondo la norma UNI 11506 o altra norma significa che l’Ente di certificazione, ad esempio Intertek Italia, conduce una valutazione della conformità valutando la persona rispetto al requisito di norma non in termini assoluti ma con riferimento sempre e solo la norma specifica.
  • Nel caso della norma UNI 11697, quindi relativa ai profili professionali in ambito privacy, i requisiti sono ancora più stringenti e “rinforzati” da una circolare tecnica di Accredia (circolare tecnica n°3 del 2018) che verte proprio a rendere molto puntuali le specifiche di accesso e di conduzione dell’esame per tali profili. Quindi, ad esempio, per il DPO è necessario che abbia un corso di almeno 80 ore in ambito privacy o più corsi che alla fine portino a un valore cumulativo di 80 ore sempre in ambito privacy. Ovviamente vi devono essere specifici riferimenti alla UNI 11697 e alla privacy e a tutti gli argomenti “limitrofi” come ad esempio un corso per Lead Auditor ISO 27001. Inoltre, a seconda del titolo di studio vi devono essere requisiti importanti e comprovati di esperienza nel ruolo specifico. Tali informazioni sono direttamente riportati nello schema di certificazione e sono mandatori, altrimenti il professionista non può certificarsi.
  • Gli esami sono sempre costituiti da una prova scritta e una prova orale ma per alcune norme o in base a circolari tecniche di Accredia vi possono essere anche prove di simulazione o prove pratiche o casi aziendali.
  • Attenzione ad alcuni aspetti terminologici: le persone, i professionisti si certificano, non si accreditano. Chi si accredita è l’ente di certificazione, Intertek Italia che è appunto accreditato Accredia ISO 17024 per le norme UNI 11506, UNI 11697 e ISO 27021 e solo le certificazioni sotto accreditamento hanno titolo per la legge 4. Se un Ente di certificazione è accreditato ISO 17024, ma non sulle specifiche norme, la certificazione ha un suo valore intrinseco in base alla serietà dell’Ente ma non ha valore legale ai sensi della legge 4, quindi in una eventuale richiesta in gara di appalto o bando o concorso pubblico non è valida.
  • I corsi preparatori o di aggiornamento sono tutti da considerarsi validi se toccano le tematiche riportate nelle norme. Se si vuole essere più precisi nella scelta, allora si può scegliere un corso di matrice universitaria o un corso qualificato o riconosciuto da un ente di certificazione accreditato per la certificazione delle persone su quella specifica norma di interesse. Non parliamo di corsi certificati o accreditati perché nel settore della ISO 17024 e della legge 4 è una terminologia impropria. I corsi o sono qualificati o riconosciuti. Il valore di un corso qualificato o riconosciuto risiede nel fatto che se poi come discente decido anche di candidarmi all’esame avrò una certa confidenza nel fatto che gli argomenti che mi chiederanno all’esame siano quelli su cui il corso era centrato.
  • Prima si riportava il concetto che la certificazione ha tendenzialmente una caratteristica di volontarietà perché sempre più vi sono delle leggi o dei decreti legge che riferiscono alla certificazione. Quindi da volontario si rientra in un aspetto cogente, richiesto da una legge o da un qualche ministero e in questo caso è ancora più forte il concetto che l’ente di certificazione debba essere assolutamente accreditato ISO 17024 su specifica norma.
  • La certificazione, soprattutto in ambito informatico e di sicurezza informatica, sta assumendo connotazioni di grande rilievo perché è direttamente correlata al D.lgs. 231, quindi a due principi cardine: in caso di criticità o furto di informazioni o violazione della privacy, culpa in eligendo, ho eletto la persona giusta a ricoprire un determinato ruolo; e culpa in vigilando, ho vigilato come datore di lavoro sull’operato della persona che ricopre quel ruolo? Ecco che le certificazioni diventano un ottimo strumento per rispondere in modo adeguato a questi due principi. Se ho scelto o nominato un DPO certificato, ho sicuramente eletto una persona che è stata valutata come eleggibile da una terza parte, quindi non potevo, come datore di lavoro, fare una scelta migliore. Inoltre, se ho una certificazione ISO 27001 o una certificazione del servizio di gestione della privacy ai sensi dell’art. 42 e 43 del GDPR sotto accreditamento, non potevo, come datore di lavoro, fare una scelta migliore per dimostrare che sto vigilando.

Certificazione IT: una conferma di professionalità spendibile sul mercato

Come ultime considerazioni, ci tenevo a rilevare che quanto avviato anni addietro da AIP come associazione ha mosso comunque uno sviluppo normativo a livello nazionale e internazionale di grande rilevanza. E dato che le certificazioni nel settore ICT e le norme da cui dipendono sono centrate sul modello e-CF vi è un forte interscambio interdisciplinare tra i profili professionali. Questo significa che se si potessero sovrapporre, ad esempio, alcuni profili come l’ICT Security Manager, il Data Protection Officer, il Web Security Expert, e lo stesso profilo definito dalla ISO 27021, ci si accorgerebbe che vi sono una serie importante di “mattoncini” e-CF comuni: quindi una persona può, avendo la dovuta esperienza, certificarsi su 4-5 anche 6 profili acquisendo una opportunità e una conferma di professionalità fortemente spendibile sul mercato e garantendo una grande riduzione del rischio alle aziende che lo assumono o lo utilizzano come professionista esterno.

Questo è il principio che mi ha spinto a portare Intertek Italia all’accreditamento di tutti e 48 i profili della UNI 11506 di seconda e terza generazione in concomitanza con le due figure principali della UNI 11697, ovvero il DPO e il valutatore privacy e il profilo per eccellenza riconosciuto a livello mondiale definito nella ISO 27021. I certificati emessi sotto accreditamento da Intertek Italia sono validi in Italia ma anche all’estero sia in Europa sia a livello internazionale perché Accredia rientra negli accordi di mutuo riconoscimento EA (europei) e IAF (mondiali).

Articolo 1 di 5