- Realtà specializzata nella produzione di impianti tecnologici
- Ambiente lavorativo dinamico e innovativo
Azienda
Realtà di prodotto specializzata nella produzione di impianti tecnologici da oltre vent'anni.
Offerta
- Security SDLC: progettare, implementare e gestire controlli di sicurezza automatizzati lungo l'intero ciclo di vita del software supportando il team di sviluppo
- Vulnerability Management: eseguire e supervisionare regolarmente le attività di vulnerability assessment e penetration test (Web, API, Mobile), gestendo il processo di remediation con i team di sviluppo
- Threat Modeling: condurre sessioni di threat modeling su nuove feature e architetture, al fine di identificare le potenziali vulnerabilità prima della scrittura del codice
- DevSecOps: implementare "security gate" automatizzati all'interno pipeline CI/CD per bloccare il rilascio di build non conformi agli standard di sicurezza stabiliti
- Technical Compliance: tradurre i requisiti NIS2 e ISO 27001 in configurazioni tecniche e policy, fornendo le evidenze necessarie per supportare gli audit di conformità
- Incident Response: supportare tecnicamente la gestione degli incidents applicativi (analisi dei log, analisi forense delle app, post-mortem) e delle successive azioni informative alle Unit ed agli Enti di competenza
- Hardening: definire e verificare standard di hardening per ridurre la superficie di attacco di applicazioni, container, immagini e configurazioni cloud.
Competenze ed esperienza
- Laurea STEM (Informatica, Ingegneria Informatica o affini)
- 4-8 anni di esperienza diretta in Application Security
- Esperienza pratica nell'integrazione di strumenti di sicurezza (SAST, DAST, SCA) in pipeline CI/CD (GitHub Actions, GitLab CI)
- Capacità di effettuare secure code review manuale e di interpretare i risultati di test automatizzati
- Conoscenza operativa dei requisiti tecnici della Direttiva NIS2 e dei controlli ISO 27001
- Ottima padronanza di ambienti cloud-native (AWS/Azure), container (Docker) e orchestrazione (Kubernetes)
- AppSec Tools: padronanza di strumenti quali OWASP ZAP, SonarQube o equivalenti
- Linguaggi di programmazione: capacità di leggere, comprendere e analizzare codice (es. Java, Python, Go, JavaScript) per identificare vulnerabilità logici e di sicurezza
- Cloud & Infrastructure: conoscenza della sicurezza in ambito cloud (cloud security) e delle principali tecnologie di rete applicativa (WAF, API Gateway)
- Framework di riferimento: conoscenza di OWASP ASVS (Application Security Verification Standard) e MASVS (sicurezza nelle applicazioni mobili).
Requisiti opzionali
- Conoscenze di network management, segmentazione di rete, VPN e sicurezza cloud
- Certificazioni quali CISSP, CEH o CompTIA Security+
- Esperienza in settori regolamentati (es. ferroviario, energia, pubblica amministrazione)
Completa l'offerta
- Ottima opportunità di carriera
- Un ambiente di lavoro che valorizza l'equilibrio tra vita professionale e personale, con una settimana lavorativa di 38 ore
- Welfare aziendale
- Opportunità di formazione e aggiornamento professionale.
#J-18808-Ljbffr