Entrare come Senior Information Security & Third Party Governance Specialist, lavorerai a stretto contatto con il Chief Information Security Officer (CISO) e con tutte le funzioni IT interne, i fornitori ICT esterni, con le funzioni di Risk Management, Compliance e Audit e le altre funzioni aziendali coinvolte nei processi di sicurezza delle informazioni.
Responsabilità: Cosa farai
Sarai responsabile della gestione dei processi e dei presidi di Information Security Governance, Third Party Security e Awareness assegnati alla struttura, oltre che supportare i presidi interni governati da altre strutture tra cui in particolare ICT Risk Management e ICT Compliance. Supporterai il CISO nella definizione e nel mantenimento del framework di governance della sicurezza e nella gestione e nel monitoraggio delle terze parti di servizi ICT, assicurando la gestione e l'esecuzione operativa delle attività sotto descritte.
Ti occuperai di:
- Presidiare la definizione, il mantenimento e l'aggiornamento del framework di governo della sicurezza ICT, incluse strategie, politiche e procedure in ambito Information Security, garantendo l'aderenza alla normativa interna ed esterna e agli standard di riferimento, oltre che guidare l’identificazione e l’adozione delle necessaire soluzioni tecnologiche di sicurezza che garantiscano la protezione del patrimonio aziendale nel tempo.
- Presidiare e coordinare la gestione e il monitoraggio continuativo della sicurezza delle Terze Parti di servizi ICT, verificando che le pratiche di sicurezza adottate siano conformi agli standard della Società e ai requisiti contrattuali in materia di ICT e security con particolare riferimento alle attività di assessment e technical assessment sulle Terze Parti di servizi ICT, curando la pianificazione, la raccolta degli esiti e il follow-up delle eventuali azioni correttive.
- Monitorare e assicurare la conformità alle normative applicabili (es. DORA, Circolare 285 / 288), traducendo i requisiti normativi in presidi operativi, controlli verificabili e procedure applicative.
- Definire e supportare l'attuazione dei piani di sensibilizzazione, formazione e awareness in materia di sicurezza delle informazioni (es. phishing simulation, training periodici).
- Definire, implementare e monitorare metriche di monitoraggio e Key Performance Indicators (KPI) in materia di sicurezza delle informazioni interni e verso le terze parti.
- Supportare il CISO nel raccordo con la Funzione Risk Management per le attività di individuazione, valutazione e trattamento del rischio ICT e di sicurezza, inclusa la valutazione tecnica del rischio di ICT Security.
Requisiti: Chi stiamo cercando
- Esperienza professionale minima di 7 anni in ruoli di Information Security, Security Governance, ICT Risk Management e ICT Compliance, con responsabilità di presidio operativo e gestione continuativa delle attività assegnate.
- Esperienza nella definizione e nel mantenimento di framework di governance della sicurezza, politiche, procedure e standard in ambito ICT e Security.
- Esperienza nella gestione e nel monitoraggio delle terze parti di servizi ICT, in particolare per quanto riguarda le attività di verifica on-site / off-site dei requisiti di sicurezza e monitoraggio dei KPI/SLA.
- Esperienza maturata in contesti regolamentati, preferibilmente nel settore finanziario o in realtà soggette a stringenti requisiti di compliance ICT e security.
- Conoscenza dei principali framework e standard di: (i) information security e security governance (es. ISO/IEC 27001, ISO/IEC 27002, NIST CSF, CIS Controls) e delle relative metodologie di implementazione, audit e verifica; (ii) Third Party Risk Management e gestione dei fornitori ICT (es. EBA Guidelines on outsourcing, requisiti DORA sulla gestione delle terze parti di servizi ICT).
- Conoscenza dei requisiti normativi applicabili in ambito ICT e security per il settore finanziario, con particolare riferimento a DORA, Circolare 285, Circolare 288, EBA Guidelines, GDPR.
- Conoscenza delle metriche di monitoraggio (KPI/KRI) e delle metodologie di reporting applicabili ai processi di sicurezza ICT e alla gestione delle terze parti.
- Laurea in Informatica, Ingegneria Informatica, Ingegneria Gestionale, Giurisprudenza, Economia o discipline equivalenti.
Costituiscono, inoltre, criteri di carattere preferenziale:
- Costituiscono requisiti preferenziali certificazioni quali CISM, CISA, CISSP, ISO/IEC 27001 Lead Implementer o Lead Auditor, CRISC, o certificazioni in ambito IT Governance e Third Party Risk Management (es. COBIT).
- Sarà considerata positivamente la familiarità con framework, metodologie e prassi di settore relativi a DORA, gestione delle terze parti ICT, modelli di controllo e compliance applicabili al settore finanziario.
Sono inoltre richieste spiccate soft skills:
- Forte capacità di coordinamento operativo e di presidio continuativo delle attività assegnate, con approccio strutturato, proattivo e orientato alla chiusura delle azioni.
- Spiccate capacità analitiche e di sintesi, con attitudine alla traduzione di requisiti normativi complessi in presidi operativi chiari e verificabili.
- Capacità di lavorare in contesti organizzativi articolati, gestendo il raccordo tra funzioni tecniche, funzioni di controllo, fornitori esterni e altre strutture aziendali, mantenendo chiarezza di ruoli, priorità e responsabilità.
- Ottime capacità relazionali e comunicative, con capacità di interagire efficacemente con interlocutori di diverso livello (management, funzioni operative, fornitori, auditor, Autorità).
Inquadramento contrattuale e retribuzione:
- CCNL applicato: Credito.
- Per la posizione ricercata la retribuzione iniziale sarà non inferiore ai 65.000 euro.
- Tipologia contrattuale: tempo indeterminato.
- Piano di incentivazione MBO è esteso a tutti i livelli professionali.
- Buoni pasto, anche nei giorni di smart working.
- Polizza sanitaria a copertura di spese mediche e infortunistiche e un programma di welfare per tutti i dipendenti.
- Per noi il tuo futuro è importante: puoi aderire al nostro Fondo di previdenza complementare e beneficiare del contributo integrativo da parte dell’azienda, anche sulla retribuzione variabile;
Cosa ti offriamo in aggiunta?
- Programmi di formazione personalizzati per favorire l’aggiornamento continuo e la crescita professionale.
- Smartworking.
Abbiamo sposato strategie in ambito ESG e previsto la certificazione ambientale per tutti i nuovi uffici.
Pari opportunità
La ricerca è aperta a tutte le persone, nel rispetto del principio di pari opportunità e non discriminazione, ai sensi della normativa vigente.
Nota di trasparenza
L’azienda si riserva, al termine del processo di selezione, di formulare un’offerta con livello di inquadramento e/o retribuzioni differenti rispetto a quanto indicato nel presente annuncio, in coerenza con l’esperienza professionale, le competenze tecniche e trasversali possedute dalla risorsa.
