PpAngel A4F idea, sviluppa e lancia imprese tecnologiche in mercati ad alto potenziale dalla micromobilità elettrica (VAIMOO) ai pagamenti digitali e alla retail automation (MatiPay), fino a nuove iniziative in ambito fintech, energy e smart city. Il portafoglio comprende venture soggette a requisiti regolamentari stringenti, tra cui DORA, GDPR e NIS2. L’Information Security Officer ha la responsabilità di presidiare la postura di sicurezza dell’organizzazione e delle venture del gruppo, garantendo la conformità ai framework normativi applicabili. La funzione opera come presidio trasversale di sicurezza per tutte le società del perimetro A4F, incluse quelle soggette a regolamentazione settoriale. È una funzione di controllo indipendente rispetto all’IT operativo. /p h3RESPONSABILITA' Governance e framework normativo /h3 ul liImplementazione e manutenzione del framework di ICT Security ai sensi del Digital Operational Resilience Act (DORA) e della Direttiva NIS2, in coordinamento con il fornitore esterno di ICT Risk Management /li liGestione delle relazioni con stakeholder esterni su temi di sicurezza, audit e segnalazioni di incidenti /li liContributo alla redazione e aggiornamento di policy, procedure e piani di risposta agli incidenti /li liCoordinamento con DPO, Compliance e Legal su temi regolatori /li liSupporto alla gestione del rischio ICT di terze parti: due diligence su fornitori critici, monitoraggio dei contratti di esternalizzazione ICT e registro delle informazioni previsto da DORA Sicurezza operativa e tecnica /li liSupervisione dell'infrastruttura IAM: SSO (SAML/OIDC), SCIM provisioning, RBAC, MFA /li liImplementazione e gestione dei sistemi di monitoraggio, analisi degli audit log e coordinamento con eventuali SOC esterni /li liValutazione e mitigazione delle vulnerabilità su ambienti cloud (AWS / GCP / Azure) /li liGate review di sicurezza sulle scelte architetturali, in collaborazione con il team Engineering (SAST, DAST, dependency scanning) /li liSupervisione dei penetration test periodici e follow-up sulle remediation /li liDefinizione e supervisione delle policy di endpoint protection: EDR/XDR, device management (Intune), cifratura disco e hardening delle postazioni /li liContributo alla definizione e al test dei piani di Business Continuity e Disaster Recovery, in co-ownership con l'IT Compliance e audit /li liSviluppo e mantenimento delle certificazioni di sicurezza (ISO 27001 o equivalenti) /li liPreparazione e gestione degli audit interni ed esterni /li liRedazione del reporting per il senior management su stato della sicurezza e rischio residuo /li liImplementazione dei requisiti di ICT incident reporting previsti da DORA entro le scadenze regolamentari Culture and awareness /li liProgettazione e delivery di programmi di security awareness per tutti i dipendenti /li liPartecipazione attiva ai processi di design e rilascio dei prodotti, con responsabilità sulla validazione dei requisiti di sicurezza e sulla postura evolutiva dei servizi /li liPunto di riferimento interno per sicurezza, data protection e gestione degli incidenti /li /ul h3TITOLO DI STUDI /h3 ul liLaurea magistrale in ingegneria informatica o simili. /li /ul h3CERTIFICAZIONI /h3 ul liCISSP, CISM, CRISC, ISO 27001 Lead Auditor/Implementer /li /ul h3ESPERIENZE PROFESSIONALI /h3 ul li5+ anni in ruoli di Information Security o Cybersecurity, preferibilmente in contesti regolamentati (istituti finanziari, istituti di pagamento, assicurazioni) /li liEsperienza in progetti DLP (Data Loss Prevention) /li liEsperienza diretta in contesti regolamentati o con enti soggetti a vigilanza settoriale /li liFamiliarità con architetture cloud (AWS, GCP o Azure) e principi di cloud security /li liEsperienza con standard di sicurezza internazionali: ISO/IEC 27001, NIST CSF, CIS Controls /li liEsperienza con soluzioni EDR/XDR e gestione endpoint tramite Microsoft Intune /li /ul h3ALTRI REQUISITI /h3 ul liConoscenza approfondita di DORA, GDPR, NIS2 e dei framework di risk management applicabili al settore finanziario /li liGestione IAM enterprise (Azure AD / Entra ID): SSO, SCIM, MFA /li liConfigurazione e analisi SIEM e sistemi di monitoraggio /li liComprensione di vulnerability management, SAST/DAST, dependency scanning /li liCapacità di leggere log di sicurezza, configurazioni di rete e architetture applicative /li /ul h3Settore /h3 pIndustria metalmeccanica /p h3Ruolo /h3 pIT/Technology /p /p #J-18808-Ljbffr