DESCRIZIONE DELLA POSIZIONE
\n
Angel4Future (A4F) è il Venture Builder della holdingAngel, gruppo industriale italiano con quartier generale in Puglia, oltre dipendenti e presenza operativa in più di 20 Paesi.
\n
Da oltre 30 anni Angel progetta soluzioni ad alta tecnologia per i settori ferroviario, aerospaziale, aeronautico ed e-mobility.
\n
A4F idea, sviluppa e lancia imprese tecnologiche in mercati ad alto potenziale — dalla micromobilità elettrica (VAIMOO) ai pagamenti digitali e alla retail automation (MatiPay), fino a nuove iniziative in ambito fintech, energy e smart city.
\n
Il portafoglio comprende venture soggette a requisiti regolamentari stringenti, tra cui DORA, GDPR e NIS2.
\n
L'Information Security Officerha la responsabilità di presidiare la postura di sicurezza dell'organizzazione e delle venture del gruppo, garantendo la conformità ai framework normativi applicabili.
\n
La funzione opera come presidio trasversale di sicurezza per tutte le società del perimetro A4F, incluse quelle soggette a regolamentazione settoriale.
\n
È una funzione di controllo indipendente rispetto all'IT operativo.
\n
RESPONSABILITA'
\n
Governance e framework normativo
\n
Implementazione e manutenzione del framework di ICT Security ai sensi del Digital Operational Resilience Act (DORA) e della Direttiva NIS2, in coordinamento con il fornitore esterno di ICT Risk Management
\n
Gestione delle relazioni con stakeholder esterni su temi di sicurezza, audit e segnalazioni di incidenti
\n
Contributo alla redazione e aggiornamento di policy, procedure e piani di risposta agli incidenti
\n
Coordinamento con DPO, Compliance e Legal su temi regolatori
\n
Supporto alla gestione del rischio ICT di terze parti: due diligence su fornitori critici, monitoraggio dei contratti di esternalizzazione ICT e registro delle informazioni previsto da DORA
\n
Sicurezza operativa e tecnica
\n
Supervisione dell'infrastruttura IAM: SSO (SAML/OIDC), SCIM provisioning, RBAC, MFA
\n
Implementazione e gestione dei sistemi di monitoraggio, analisi degli audit log e coordinamento con eventuali SOC esterni
\n
Valutazione e mitigazione delle vulnerabilità su ambienti cloud (AWS / GCP / Azure)
\n
Gate review di sicurezza sulle scelte architetturali, in collaborazione con il team Engineering (SAST, DAST, dependency scanning)
\n
Supervisione dei penetration test periodici e follow-up sulle remediation
\n
Definizione e supervisione delle policy di endpoint protection: EDR/XDR, device management (Intune), cifratura disco e hardening delle postazioni
\n
Contributo alla definizione e al test dei piani di Business Continuity e Disaster Recovery, in co-ownership con l'IT
\n
Compliance e audit
\n
Sviluppo e mantenimento delle certificazioni di sicurezza (ISO o equivalenti)
\n
Preparazione e gestione degli audit interni ed esterni
\n
Redazione del reporting per il senior management su stato della sicurezza e rischio residuo
\n
Implementazione dei requisiti di ICT incident reporting previsti da DORA entro le scadenze regolamentari
\n
Cultura e awareness
\n
Progettazione e delivery di programmi di security awareness per tutti i dipendenti
\n
Partecipazione attiva ai processi di design e rilascio dei prodotti, con responsabilità sulla validazione dei requisiti di sicurezza e sulla postura evolutiva dei servizi
\n
Punto di riferimento interno per sicurezza, data protection e gestione degli incidenti
\n
REQUISITI
\n
Esperienza ed expertise
\n
5+ anni in ruoli di Information Security o Cybersecurity, preferibilmente in contesti regolamentati (istituti finanziari, istituti di pagamento, assicurazioni)
\n
Conoscenza approfondita di DORA, GDPR, NIS2 e dei framework di risk management applicabili al settore finanziario
\n
Familiarità con architetture cloud (AWS, GCP o Azure) e principi di cloud security
\n
Esperienza con standard di sicurezza internazionali: ISO/IEC, NIST CSF, CIS Controls
\n
Competenze tecniche
\n
Gestione IAM enterprise (Azure AD / Entra ID): SSO, SCIM, MFA
\n
Configurazione e analisi SIEM e sistemi di monitoraggio
\n
Esperienza con soluzioni EDR/XDR e gestione endpoint tramite Microsoft Intune
\n
Comprensione di vulnerability management, SAST/DAST, dependency scanning
\n
Capacità di leggere log di sicurezza, configurazioni di rete e architetture applicative
\n
Competenze trasversali
\n
Capacità di comunicare rischi e decisioni tecniche a interlocutori non tecnici, incluso il CdA
\n
Approccio metodico alla redazione di policy, procedure e documentazione di audit
\n
Autonomia operativa: capacità di lavorare senza un team strutturato sotto di sé, costruendo progressivamente la funzione
\n
Italiano madrelingua; inglese competente scritto e parlato
\n
Titoli preferenziali