Società
Banca Mediolanum
Posizione
Cybersecurity Governance Expert
Responsabilità primarie
Banca Mediolanum è un'organizzazione che ridefinisce il panorama finanziario con oltre tre decenni di innovazione. Attraverso le società che ne fanno parte, si dedica a fornire servizi finanziari, bancari e assicurativi su misura che rispondano alle esigenze uniche di ogni cliente. La Banca si impegna a costruire relazioni durature basate sulla fiducia, trasparenza e sull'attenzione ai dettagli. La nostra è una realtà dinamica, fondata su relazioni, responsabilità e libertà. La cultura promuove positività, responsabilità e innovazione sostenibile. Siamo convinti che il successo di un'azienda sia il risultato del successo individuale dei suoi membri. In Gruppo Mediolanum ti offriamo più di un lavoro: l'opportunità di contribuire a un cambiamento positivo e di crescere insieme a noi.
Siamo alla ricerca di una figura di Cybersecurity Governance Expert, coinvolta nelle seguenti attività:
* Definizione e aggiornamento delle politiche di Information Security
* Monitoraggio dell'attuazione della strategia e delle policy di sicurezza del Gruppo e delle società controllate
* Conduzione di cybersecurity assessment e predisposizione della relativa documentazione di compliance
* Analisi dei rischi emergenti, nuovi requisiti normativi e iniziative di sicurezza intersettoriali e nazionali
* Attività di gap analysis e assessment rispetto a standard e baseline definite
* Supporto ai progetti di assurance per la verifica delle misure di sicurezza e l'identificazione di azioni correttive
* Valutazione della sicurezza dei fornitori (third party risk assessment)
* Sviluppo di programmi di cyber awareness per utenti tecnici e non tecnici, monitoraggio dell'efficacia formativa tramite KPI specifici (es. test di phishing), creazione di cruscotti e report con metriche di sicurezza (KPI/KRI)
Profilo competenze
Requisiti
* Esperienza tra i 5-7 anni maturata in ambito ICT & Security Governance o ICT Risk
* Laurea in informatica/ingegneria o equivalenti
* Conoscenza dei framework (es. ISO 27001, NIST, ITIL, COBIT, PCI, ecc.) e delle normative di riferimento (es. Circolare 285, PSD2, GDPR, 262, 231, ecc.), con esperienze in termini di declinazione ed adozione
* Pregressa esperienza in attività di definizione ed implementazione di metodologie di valutazione dei rischi informatici e di sicurezza
* Pregressa esperienza in attività di redazione di policy e procedure di sicurezza e ICT, maturity assessment, benchmarking
* Conoscenza di soluzioni di sicurezza informatica (es. SIEM, Identity & Access Governance, Data Security & Protection, IDS/IPS, Data Masking & Tokenization, ecc.)
* Ottima conoscenza della lingua inglese
* Certificazioni in ambito ICT/Security (es. ISO 27001, ITIL, ecc.)
Requisiti Tecnici
* Expertise in Security Architecture: Progettazione e hardening di architetture Zero Trust, SASE, e modelli di micro-segmentazione avanzata (es. VMware NSX, Illumio), Implementazione di sistemi di autenticazione federata (SAML/OAuth 2.0/OpenID Connect) e gestione di PKI/HSM (es. Thales, YubiKey)
* Offensive/Defensive Security: esperienza diretta in red teaming e exploitation avanzato (es. Active Directory kerberoasting, DNS tunneling, malware senza file)
* Padronanza di tool per penetration test avanzati: Cobalt Strike, Metasploit Framework, BloodHound, Burp Suite (con estensioni custom)
* Cloud & Container Security: hardening di ambienti AWS/Azure/GCP, configurazione di CloudTrail, GuardDuty, Azure Sentinel, gestione CSPM (Wiz, Prisma Cloud), sicurezza pipeline CI/CD (SAST/DAST con Checkmarx, Snyk), automazione con IaC (Terraform, CloudFormation), sicurezza Kubernetes (policy OPA/Gatekeeper, Falco, gestione secrets con HashiCorp Vault)
* Threat Intelligence & Analytics: creazione di threat hunting basati su MITRE ATT&CK, analisi TTPs con MISP o Anomali, configurazione di SIEM avanzati (Splunk ES, Elastic Security), regole di correlazione personalizzate (Sigma rules)
* Tool e Tecnologie Obbligatorie: OS & Network (Kali Linux, SELinux/AppArmor, Snort/Suricata, Zeek), Crittografia (schemi post-quantum come CRYSTALS-Kyber), HSM (Thales, AWS CloudHSM), scripting avanzato in Python/Bash, API REST, Kubernetes RBAC, service mesh (Istio, Linkerd), scanner di immagini (Trivy, Clair)
* Certificazioni Avanzate Richieste: Offensive Security (OSCP, OSCE, CRTO), Cloud Security (CCSK, AWS Certified Security - Specialty, Azure Security Engineer), Architettura (SABSA, GDSA), Compliance (ISO 27001 Lead Auditor, CISSP-ISSAP, CISM)
Niceto have
* Contributi a progetti open-source di sicurezza (es. OWASP, Sigstore)
* Conoscenza di firmware security (UEFI Secure Boot, TPM 2.0) e ambienti ICS/SCADA
* Almeno 2 audit di compliance su infrastrutture ibride (on-premise + multi-cloud)
* Sviluppo di policy tecniche per la gestione di segreti e autenticazione MFA (FIDO2/WebAuthn)
Sede di lavoro Basiglio - Milano 3 City; possibilità di parziale Smart Working.
I dati richiesti verranno trattati nel rispetto del Regolamento Europeo 679/2016 (GDPR). È possibile consultare l'informativa privacy di Banca Mediolanum al link: https://www.bancamediolanum.it/privacy/candidature.
Il Gruppo Mediolanum si impegna a garantire parità di trattamento a tutti i candidati secondo i principi di Diversity and Inclusion. #J-18808-Ljbffr