Pubblicato il 15 giugno
Mansioni della posizione
PpSiamo alla ricerca di un GRC Cybersecurity Manager con una solida carriera alle spalle, maturata in contesti consulenziali o aziendali strutturati.
La figura che vogliamo incontrare non è chi si avvicina alla seniority, ma chi la esercita già con piena autonomia: professionista abituato a gestire situazioni complesse, a relazionarsi con interlocutori di livello direzionale e a portare valore concreto sia sui progetti cliente che nella governance interna dell'organizzazione.
/ppLa persona affiancherà direttamente il Direttore GRC nel presidio continuativo di tutte le tematiche che riguardano sia il supporto consulenziale su progetti multi-cliente sia la gestione della compliance interna della società.
In questo contesto opererà su due livelli complementari: da un lato contribuirà in prima persona alle attività operative, portando il proprio know-how direttamente sui progetti; dall'altro coordinerà, di volta in volta, le risorse allocate sui progetti di cui è responsabile, assicurando qualità della delivery, rispetto delle scadenze e coerenza metodologica.
/ppCerchiamo quindi qualcuno che sappia fare e sappia guidare: un professionista abituato a gestire situazioni complesse, a relazionarsi con interlocutori di livello direzionale e a prendersi la responsabilità dell'intero perimetro affidatogli.
/ph3Profilo personale e approccio competente /h3pSiamo alla ricerca di un professionista che abbia sviluppato, nel corso della propria carriera, non solo competenze tecniche solide, ma anche la capacità di orientarsi con autonomia in situazioni complesse e non standardizzate.
La figura che cerchiamo è abituata a confrontarsi con scenari reali, a gestire l'incertezza con metodo e a portare soluzioni pragmatiche laddove i framework da soli non sono sufficienti.
/ppNon è richiesta la perfezione del percorso, ma la sostanza dell'esperienza.
/ph3Responsabilità principali /h3pAttività su progetti cliente /pulliConduzione di risk assessment e risk treatment in autonomia, con padronanza delle principali metodologie quantitative e qualitative (ISO *****, OCTAVE, FAIR, NIST RMF) /liliGap analysis e definizione di roadmap di adeguamento rispetto ai principali framework di riferimento, tra cui NIST CSF, CIS Controls, NIS2, DORA, GDPR /liliGestione di progetti volti a supportare i Clienti nell'ottenimento/mantenimento end-to-end delle certificazioni di settore (es.: ISO *****, *****, *****,****) /liliGestione delle attività GRC in ambienti cloud e ibridi, con conoscenza applicata dei modelli di responsabilità condivisa (AWS, Azure, GCP) e dei framework specifici quali bCSA CCM (Cloud Controls Matrix) /b, bISO ***** /b, bISO ***** /b e bNIST SP ****** /b /liliValutazione dei rischi associati all'adozione di servizi cloud, inclusi aspetti di data residency, vendor lock-in, supply chain risk e gestione degli accessi privilegiati /liliSupporto alla definizione e implementazione di Cloud Security Posture Management (CSPM) e relativi controlli di conformità /liliInterfaccia diretta e continuativa con i referenti cliente a livello tecnico e direzionale, con capacità di adattare registro e contenuto agli interlocutori /li /ulpCompliance e certificazioni interne /pulliPresidio e mantenimento del sistema di gestione integrato aziendale, con riferimento alle certificazioni bISO *****, ISO **** e SA**** /b /liliGestione del ciclo documentale, delle non conformità, dei piani di trattamento del rischio e delle azioni correttive /liliCoordinamento con i referenti interni e con gli organismi di certificazione in occasione di audit di prima, seconda e terza parte /liliSupporto alla Direzione nella definizione e aggiornamento delle politiche di governance, sicurezza delle informazioni e miglioramento continuo /liliMonitoraggio dell'evoluzione normativa e regolamentare rilevante, con valutazione dell'impatto sul sistema di gestione aziendale /li /ulh3Requisiti richiesti /h3ulliEsperienza professionale di balmeno 10 anni /b in ambito GRC, information security, compliance o audit, maturata in contesti consulenziali strutturati o in organizzazioni di medie e grandi dimensioni /liliConoscenza approfondita e applicata — non meramente teorica — dei principali framework e standard: ISO *****, ISO ****, SA****, NIST CSF, CIS Controls, GDPR, NIS2, DORA /liliEsperienza diretta nella conduzione e nel presidio di audit di certificazione, in qualità di referente e non esclusivamente di supporto su Clienti di diverse Industries, diverse Complessità organizzativa e maturità /liliConoscenza dei principali framework GRC applicati agli ambienti cloud: bCSA CCM /b, bISO *********** /b, bNIST SP ****** /b, CIS Benchmarks per i principali provider (AWS, Azure, GCP) /liliFamiliarità con i temi di Cloud Governance: gestione delle identità e degli accessi (IAM), segregation of duties in ambienti cloud, continuous compliance monitoring /liliCapacità di gestione parallela di più progetti e priorità, con approccio strutturato e orientamento al risultato /liliSpiccate capacità di redazione documentale, con esperienza nella produzione di policy, procedure, report direzionali e deliverable consulenziali /liliFluenza in lingua italiana e inglese professionale, scritto e parlato /liliInteresse o conoscenza di base delle implicazioni di sicurezza e compliance legate all'intelligenza artificiale (AI Act europeo, OWASP Top 10 for LLM, etc.) /li /ulh3Elementi preferenziali /h3ulliAver seguito almeno un ciclo completo di certificazione ISO ***** — dalla fase di implementazione iniziale fino al rinnovo triennale /liliEsperienza su framework settoriali quali TISAX, PCI-DSS, SOC 2 Type II /liliConoscenza di strumenti GRC e piattaforme di compliance automation (es. OneTrust, ServiceNow GRC, Archer, Vanta) /liliEsperienza in progetti di adeguamento NIS2 o DORA, con particolare riferimento a organizzazioni in settori regolamentati /liliConoscenza dell'AI Act europeo e delle sue implicazioni in ambito cybersecurity (valutazione rischi per sistemi AI, requisiti per high-risk AI, integrazione con framework GRC) /liliAver operato in contesti internazionali o con clienti in settori ad elevata regolamentazione (financial services, healthcare, pubblica amministrazione) /liliCertificazioni professionali rilevanti: CISM, CRISC, CISSP, ISO ***** Lead Auditor/Implementer, CCSP (Certified Cloud Security Professional) /liliInserimento diretto con inquadramento e retribuzione commisurati all'effettiva seniority e al profilo del candidato /liliCoinvolgimento su progetti diversificati in termini di settore, dimensione e complessità /liliContesto professionale in crescita, con possibilità di contribuire attivamente alle scelte metodologiche e allo sviluppo delle practice interne /li /ul /p #J-*****-Ljbffr
