Job Description:
Leonardo è un gruppo industriale internazionale, tra le principali realtà mondiali nell’Aerospazio, Difesa e Sicurezza che realizza capacità tecnologiche multidominio in ambito Elicotteri, Velivoli, Aerostrutture, Elettronica, Cyber Security e Spazio. Con oltre 60.000 dipendenti nel mondo, l’azienda ha una solida presenza industriale in Italia, Regno Unito, Polonia, Stati Uniti, e opera in 150 paesi anche attraverso aziende controllate, joint venture e partecipazioni. Protagonista dei principali programmi strategici a livello globale, è partner tecnologico e industriale di Governi, Amministrazioni della Difesa, Istituzioni e imprese.
All’interno dell’Area Cyber & Information Scurity stiamo ricercando un/a Vulnerability assessor e penetration tester per la nostra sede di Chieti
Siamo alla ricerca di un Vulnerability Assessor Senior altamente qualificato per entrare a far parte del nostro team di sicurezza informatica. In questa posizione, il candidato selezionato sarà responsabile di condurre valutazioni approfondite sulle vulnerabilità, identificare potenziali rischi per la sicurezza e collaborare con gli altri team per garantire la protezione e la resilienza delle infrastrutture IT aziendali.
Inoltre, contribuirà attivamente allo sviluppo e all'erogazione di servizi di security awareness, con un focus particolare sulle simulazioni di attacchi di phishing, per sensibilizzare i dipendenti alla sicurezza informatica.
Descrizione Attività:
1. Condurre valutazioni di vulnerabilità su applicazioni, sistemi e infrastrutture.
2. Eseguire penetration test e analisi di vulnerabilità complesse.
3. Analizzare i risultati dei test di vulnerabilità e redigere report chiari e dettagliati con raccomandazioni pratiche.
4. Collaborare con i team IT e sicurezza per definire piani di remediation per mitigare i rischi individuati.
5. Monitorare e analizzare le nuove minacce emergenti e le vulnerabilità conosciute.
6. Fornire consulenza tecnica su soluzioni di sicurezza e best practice.
7. Gestire e aggiornare regolarmente gli strumenti di scansione delle vulnerabilità.
8. Mantenere la documentazione tecnica aggiornata riguardante i sistemi e le applicazioni testate.
9. Partecipare a discussioni strategiche sulla gestione del rischio informatico e sull'evoluzione della postura di sicurezza dell'organizzazione.
10. Contribuire all’erogazione di programmi di security awareness per i dipendenti, inclusi corsi di formazione sulla sicurezza, simulazioni di attacchi di phishing e attività di sensibilizzazione sui rischi legati alla cybersecurity.
11. Progettare e condurre simulazioni di phishing per testare la consapevolezza dei dipendenti e per fornire feedback e formazione personalizzata.
12. Analizzare i risultati delle simulazioni di phishing e generare report dettagliati per misurare l'efficacia del programma di security awareness.
Requisiti
Titolo di studio
Laurea in Informatica, Sistemi informatici, Ingegneria Informatica, Cybersecurity; o una combinazione equivalente di istruzione ed esperienza lavorativa,
Seniority
Expert: almeno 5 anni in ruoli similari
Competenze informatiche
13. Esperienza comprovata di almeno 5 anni nel ruolo di Vulnerability Assessor, Penetration Tester o ruoli simili in contesti complessi.
14. Conoscenza approfondita di strumenti di scansione delle vulnerabilità (es. Nexpose, Nessus, OpenVAS, Qualys, Burp Suite).
15. Esperienza pratica in pen-testing (sia per infrastrutture che per applicazioni web).
16. Ottima conoscenza delle tecniche di exploit, dei framework di testing e degli strumenti di analisi.
17. Competenze avanzate in sistemi operativi (Linux, Windows, macOS), reti e protocolli di comunicazione.
18. Conoscenza approfondita di tecniche di mitigazione delle vulnerabilità e gestione delle patch.
19. Conoscenza di framework di gestione dei rischi (es. NIST, ISO 27001).
20. Certificazioni di sicurezza rilevanti (es. OSCP, CEH, CISSP, CISA) sono preferibili.
21. Esperienza pregressa nell’ambito di programmi di security awareness e nella progettazione e implementazione di simulazioni di attacchi di phishing.
22. Eccellenti capacità di analisi e problem-solving.
23. Capacità di redigere report tecnici chiari e comprensibili anche per figure non tecniche.
24. Ottime capacità comunicative e di lavoro in team.
Competenze tecniche:
25. Esperienza con l'analisi di sicurezza in ambienti cloud (AWS, Azure, Google Cloud).
26. Conoscenza di linguaggi di programmazione come Python, Ruby o Bash per automazione di task di sicurezza.
27. Conoscenza di framework di sicurezza come OWASP Top 10.
28. Competenze nella progettazione e gestione di piattaforme di simulazione di phishing (es. KnowBe4, PhishMe).
Competenze comportamentali:
29. Incondizionata attenzione alla riservatezza ed al corretto trattamento delle informazioni
30. Ottime capacità di relazione e di gestione del contraddittorio
31. Voglia di mettersi in gioco ed apprendere
32. Buone capacità organizzative e di gestione del tempo
33. Attenzione ai dettagli e precisione su più attività simultanee
34. Predisposizione a lavorare in team, anche su geografie differenti in Italia e all’estero
Disponibilità a trasferte, sia in ambito nazionale che all’estero
Seniority:
Expert