Angel4Future (A4F) è il Venture Builder della holding Angel, gruppo industriale italiano con quartier generale in Puglia, oltre 3.500 dipendenti e presenza operativa in più di 20 Paesi. A4F idea, sviluppa e lancia imprese tecnologiche in mercati ad alto potenziale — dalla micromobilità elettrica ( VAIMOO ) ai pagamenti digitali e alla retail automation ( MatiPay ), fino a nuove iniziative in ambito fintech, energy e smart city. L’ Information Security Officer ha la responsabilità di presidiare la postura di sicurezza dell’organizzazione e delle venture del gruppo, garantendo la conformità ai framework normativi applicabili. È una funzione di controllo indipendente rispetto all’IT operativo.
Implementazione e manutenzione del framework di ICT Security ai sensi del Digital Operational Resilience Act (DORA) e della Direttiva NIS2, in coordinamento con il fornitore esterno di ICT Risk Management
Contributo alla redazione e aggiornamento di policy, procedure e piani di risposta agli incidenti
Coordinamento con DPO, Compliance e Legal su temi regolatori
Supporto alla gestione del rischio ICT di terze parti: due diligence su fornitori critici, monitoraggio dei contratti di esternalizzazione ICT e registro delle informazioni previsto da DORA
Sicurezza operativa e tecnica
Implementazione e gestione dei sistemi di monitoraggio, analisi degli audit log e coordinamento con eventuali SOC esterni
Valutazione e mitigazione delle vulnerabilità su ambienti cloud (AWS / GCP / Azure)
Gate review di sicurezza sulle scelte architetturali, in collaborazione con il team Engineering (SAST, DAST, dependency scanning)
Supervisione dei penetration test periodici e follow-up sulle remediation
Contributo alla definizione e al test dei piani di Business Continuity e Disaster Recovery, in co-ownership con l’IT
Redazione del reporting per il senior management su stato della sicurezza e rischio residuo
Implementazione dei requisiti di ICT incident reporting previsti da DORA entro le scadenze regolamentari
Partecipazione attiva ai processi di design e rilascio dei prodotti, con responsabilità sulla validazione dei requisiti di sicurezza e sulla postura evolutiva dei servizi
Punto di riferimento interno per sicurezza, data protection e gestione degli incidenti
5+ anni in ruoli di Information Security o Cybersecurity, preferibilmente in contesti regolamentati (istituti finanziari, istituti di pagamento, assicurazioni)
~ Conoscenza approfondita di DORA, GDPR, NIS2 e dei framework di risk management applicabili al settore finanziario
~ Familiarità con architetture cloud (AWS, GCP o Azure) e principi di cloud security
~ Competenze tecniche
Configurazione e analisi SIEM e sistemi di monitoraggio
Esperienza con soluzioni EDR/XDR e gestione endpoint tramite Microsoft Intune
Capacità di leggere log di sicurezza, configurazioni di rete e architetture applicative
Capacità di comunicare rischi e decisioni tecniche a interlocutori non tecnici, incluso il CdA
Approccio metodico alla redazione di policy, procedure e documentazione di audit
Italiano madrelingua; inglese professionale scritto e parlato
Esperienza in progetti DLP (Data Loss Prevention)
Esperienza diretta in contesti regolamentati o con enti soggetti a vigilanza settoriale