Chi cerchiamoCerchiamo un professionista con esperienza reale nell'analisi del rischio ICT : non familiarità generica, ma chi ha già gestito nella pratica l'execution di processi di ICT Risk Management conducendo cicli completi di risk assessment su asset reali, in contesti organizzativi articolati.Entrerai a far parte del team con un perimetro trasparente: dalla caratterizzazione degli asset ICT al monitoraggio dei piani di remediation, passando per selezione dei controlli e validazione tecnica.Responsabilità principaliAssessment e caratterizzazione degli asset- Interviste strutturate e checklist per la caratterizzazione degli asset (dati trattati, rilevanza business, classificazione RID...)- Valutazione esposizione asset e mappatura dipendenze con processi critici- Identificazione e classificazione scenari di rischio coerenti con la risk posture aziendaleSelezione dei controlli e validazione tecnica- Selezione dell'insieme di controlli necessari per far fronte alle esigenze di sicurezza e ai requisiti di compliance, con riferimento ai principali framework normativi: NIS2, DORA, Cyber Resilience Act (CRA), oltre a standard quali ISO 27001 e CIS Controls- Validazione delle proposte tecniche, valutazione adeguatezza agli scenari di rischio- Identificazione dei controlli non soddisfatti e valutazione del rischio residuoRemediation e monitoraggio- Definizione piani di remediation strutturati (priorità, responsabilità, tempistiche)- Monitoraggio continuativo dell'execution e rendicontazione agli stakeholder- Supporto all'aggiornamento della risk posture aziendaleRequisiti richiesti (essenziali)- Almeno 3 anni in cybersecurity, ICT risk management o info security in contesti strutturati- Conoscenza delle metodologie di analisi del rischio: OCTAVE, FAIR, ISO 27005, NIST RMF (non solo conoscenza teorica)- Capacità di dialogare con tecnici (sistemisti, architect, DevSecOps) e management- Redazione completa di risk assessment: da asset inventory / threat modeling a piano di trattamento- Familiarità con le principali normative inerenti la Cyber Security e conoscenza dei cataloghi di controlli come ad esempio: ISO 27001 Annex A, CIS Controls, NIST CSF 2.0, SP 800-53- Buon inglese (scritto e parlato)Esperienze distintive (forte preferenza)- Applicazione di analisi dei rischi in ambienti Cloud – in particolare AWS e GCP (es. configurazione, conformità, valutazione rischi su servizi cloud-native)- Progetti di adeguamento NIS2 o DORA in settori regolamentati- Conoscenza di Strumenti GRC come ad esempio : OneTrust, ServiceNow GRC, Archer, AI.ESRA, Balbix o equivalenti- Gestione di piani di remediation complessi multi‐funzione- Certificazioni: CISM, CRISC, ISO 27001 Lead Auditor/Implementer, CISSP- Contesti OT/IoT security- Esperienza in attività di TPRM e conoscenza degli strumenti a supporto, come ad es.: Panorays, Bitsight, Security Scorecard...Profilo personaleCerchiamo chi abbia già svolto questo ruolo in modo concreto e operativo, nello specifico: chi ha gestito in autonomia un risk assessment end‐to‐end – dall'intervista iniziale con i process owner fino alla stesura e firma del piano di remediation.Non cerchiamo chi ha partecipato come supporto, osservato o contribuito parzialmente.Vogliamo qualcuno che abbia guidato il processo, anche in contesti non maturi e/o strutturati e con asset poco documentati.Per noi, la capacità di lavorare con metodo, di non fermarsi davanti a informazioni incomplete e di saper gestire interlocutori tecnici che propongono soluzioni insufficienti vale più di qualsiasi certificazione.Se la tua esperienza sul risk assessment è prevalentemente teorica, accademica o da aula, questo ruolo probabilmente non fa per te in questo momento!Cosa ti offriamo?Il Compensation & Benefit package sarà illustrato durante l'iter di selezione