PpAngel4Future (A4F) è il Venture Builder della holding bAngel /b, gruppo industriale italiano con quartier generale in Puglia, oltre ***** dipendenti e presenza operativa in più di 20 Paesi.
Da oltre 30 anni Angel progetta soluzioni ad alta tecnologia per i settori ferroviario, aerospaziale, aeronautico ed e-mobility.
/ppA4F idea, sviluppa e lancia imprese tecnologiche in mercati ad alto potenziale — dalla micromobilità elettrica (bVAIMOO /b) ai pagamenti digitali e alla retail automation (bMatiPay /b), fino a nuove iniziative in ambito fintech, energy e smart city.
Il portafoglio comprende venture soggette a requisiti regolamentari stringenti, tra cui DORA, GDPR e NIS2.
/ppbInformation Security Officer /b ha la responsabilità di presidiare la postura di sicurezza dell'organizzazione e delle venture del gruppo, garantendo la conformità ai framework normativi applicabili.
La funzione opera come presidio trasversale di sicurezza per tutte le società del perimetro A4F, incluse quelle soggette a regolamentazione settoriale.
È una funzione di controllo indipendente rispetto all'IT operativo.
/ph3Responsabilità /h3h3Governance e framework normativo /h3ulliImplementazione e manutenzione del framework di ICT Security ai sensi del Digital Operational Resilience Act (DORA) e della Direttiva NIS2, in coordinamento con il fornitore esterno di ICT Risk Management /liliGestione delle relazioni con stakeholder esterni su temi di sicurezza, audit e segnalazioni di incidenti /liliContributo alla redazione e aggiornamento di policy, procedure e piani di risposta agli incidenti /liliCoordinamento con DPO, Compliance e Legal su temi regolatori /liliSupporto alla gestione del rischio ICT di terze parti: due diligence su fornitori critici, monitoraggio dei contratti di esternalizzazione ICT e registro delle informazioni previsto da DORA /li /ulh3Sicurezza operativa e tecnica /h3ulliSupervisione dell'infrastruttura IAM: SSO (SAML/OIDC), SCIM provisioning, RBAC, MFA /liliImplementazione e gestione dei sistemi di monitoraggio, analisi degli audit log e coordinamento con eventuali SOC esterni /liliValutazione e mitigazione delle vulnerabilità su ambienti cloud (AWS / GCP / Azure) /liliGate review di sicurezza sulle scelte architetturali, in collaborazione con il team Engineering (SAST, DAST, dependency scanning) /liliSupervisione dei penetration test periodici e follow-up sulle remediation /liliDefinizione e supervisione delle policy di endpoint protection: EDR/XDR, device management (Intune), cifratura disco e hardening delle postazioni /liliContributo alla definizione e al test dei piani di Business Continuity e Disaster Recovery, in co-ownership con l'IT /li /ulh3Compliance e audit /h3ulliSviluppo e mantenimento delle certificazioni di sicurezza (ISO ***** o equivalenti) /liliPreparazione e gestione degli audit interni ed esterni /liliRedazione del reporting per il senior management su stato della sicurezza e rischio residuo /liliImplementazione dei requisiti di ICT incident reporting previsti da DORA entro le scadenze regolamentari /liliProgettazione e delivery di programmi di security awareness per tutti i dipendenti /liliPartecipazione attiva ai processi di design e rilascio dei prodotti, con responsabilità sulla validazione dei requisiti di sicurezza e sulla postura evolutiva dei servizi /liliPunto di riferimento interno per sicurezza, data protection e gestione degli incidenti /lili5+ anni in ruoli di Information Security o Cybersecurity, preferibilmente in contesti regolamentati (istituti finanziari, istituti di pagamento, assicurazioni) /liliConoscenza approfondita di DORA, GDPR, NIS2 e dei framework di risk management applicabili al settore finanziario /liliFamiliarità con architetture cloud (AWS, GCP o Azure) e principi di cloud security /liliEsperienza con standard di sicurezza internazionali: ISO/IEC *****, NIST CSF, CIS Controls /liliConfigurazione e analisi SIEM e sistemi di monitoraggio /liliEsperienza con soluzioni EDR/XDR e gestione endpoint tramite Microsoft Intune /liliComprensione di vulnerability management, SAST/DAST, dependency scanning /liliCapacità di leggere log di sicurezza, configurazioni di rete e architetture applicative /li /ulh3Competenze trasversali /h3ulliCapacità di comunicare rischi e decisioni tecniche a interlocutori non tecnici, incluso il CdA /liliApproccio metodico alla redazione di policy, procedure e documentazione di audit /liliAutonomia operativa: capacità di lavorare senza un team strutturato sotto di sé, costruendo progressivamente la funzione /liliItaliano madrelingua; inglese qualificato scritto e parlato /li /ulh3Titoli preferenziali /h3ulliCertificazioni: CISSP, CISM, CRISC, ISO ***** Lead Auditor/Implementer /liliEsperienza in progetti DLP (Data Loss Prevention) /liliEsperienza diretta in contesti regolamentati o con enti soggetti a vigilanza settoriale /li /ul /p #J-*****-Ljbffr