Requirements: Italian
Company: Banca Mediolanum SpA
SocietBanca MediolanumPosizioneCybersecurity Governance ExpertResponsabilit primarieBanca Mediolanum un''organizzazione che ridefinisce il panorama finanziario con oltre tre decenni di innovazione. Attraverso le societ che ne fanno parte, si dedica a fornire servizi finanziari, bancari e assicurativi su misura che rispondano alle esigenze uniche di ogni cliente. La Banca si impegna a costruire relazioni durature basate sulla fiducia, trasparenza e sull''attenzione ai dettagli. La nostra una realt dinamica, fondata su relazioni, responsabilit e libert. La cultura promuove positivit, responsabilit e innovazione sostenibile. Siamo convinti che il successo di un''azienda sia il risultato del successo individuale dei suoi membri. In Gruppo Mediolanum ti offriamo pi di un lavoro: l''opportunit di contribuire a un cambiamento positivo e di crescere insieme a noi.Siamo alla ricerca di una figura di Cybersecurity Governance Expert, coinvolta nelle seguenti attivit:Definizione e aggiornamento delle politiche di Information SecurityMonitoraggio dell''attuazione della strategia e delle policy di sicurezza del Gruppo e delle societ controllateConduzione di cybersecurity assessment e predisposizione della relativa documentazione di complianceAnalisi dei rischi emergenti, nuovi requisiti normativi e iniziative di sicurezza intersettoriali e nazionaliAttivit di gap analysis e assessment rispetto a standard e baseline definiteSupporto ai progetti di assurance per la verifica delle misure di sicurezza e l''identificazione di azioni correttiveValutazione della sicurezza dei fornitori (third party risk assessment)Sviluppo di programmi di cyber awareness per utenti tecnici e non tecnici, monitoraggio dell''efficacia formativa tramite KPI specifici (es. test di phishing), creazione di cruscotti e report con metriche di sicurezza (KPI/KRI)Profilo competenzeRequisitiEsperienza tra i 5-7 anni maturata in ambito ICT & Security Governance o ICT RiskLaurea in informatica/ingegneria o equivalentiConoscenza dei framework (es. ISO 27001, NIST, ITIL, COBIT, PCI, ecc.) e delle normative di riferimento (es. Circolare 285, PSD2, GDPR, 262, 231, ecc.), con esperienze in termini di declinazione ed adozionePregressa esperienza in attivit di definizione ed implementazione di metodologie di valutazione dei rischi informatici e di sicurezzaPregressa esperienza in attivit di redazione di policy e procedure di sicurezza e ICT, maturity assessment, benchmarkingConoscenza di soluzioni di sicurezza informatica (es. SIEM, Identity & Access Governance, Data Security & Protection, IDS/IPS, Data Masking & Tokenization, ecc.)Ottima conoscenza della lingua ingleseCertificazioni in ambito ICT/Security (es. ISO 27001, ITIL, ecc.)Requisiti TecniciExpertise in Security Architecture: Progettazione e hardening di architetture Zero Trust, SASE, e modelli di micro-segmentazione avanzata (es. VMware NSX, Illumio), Implementazione di sistemi di autenticazione federata (SAML/OAuth 2.0/OpenID Connect) e gestione di PKI/HSM (es. Thales, YubiKey)Offensive/Defensive Security: esperienza diretta in red teaming e exploitation avanzato (es. Active Directory kerberoasting, DNS tunneling, malware senza file)Padronanza di tool per penetration test avanzati: Cobalt Strike, Metasploit Framework, BloodHound, Burp Suite (con estensioni custom)Cloud & Container Security: hardening di ambienti AWS/Azure/GCP, configurazione di CloudTrail, GuardDuty, Azure Sentinel, gestione CSPM (Wiz, Prisma Cloud), sicurezza pipeline CI/CD (SAST/DAST con Checkmarx, Snyk), automazione con IaC (Terraform, CloudFormation), sicurezza Kubernetes (policy OPA/Gatekeeper, Falco, gestione secrets con HashiCorp Vault)Threat Intelligence & Analytics: creazione di threat hunting basati su MITRE ATT&CK, analisi TTPs con MISP o Anomali, configurazione di SIEM avanzati (Splunk ES, Elastic Security), regole di correlazione personalizzate (Sigma rules)Tool e Tecnologie Obbligatorie: OS & Network (Kali Linux, SELinux/AppArmor, Snort/Suricata, Zeek), Crittografia (schemi post-quantum come CRYSTALS-Kyber), HSM (Thales, AWS CloudHSM), scripting avanzato in Python/Bash, API REST, Kubernetes RBAC, service mesh (Istio, Linkerd), scanner di immagini (Trivy, Clair)Certificazioni Avanzate Richieste: Offensive Security (OSCP, OSCE, CRTO), Cloud Security (CCSK, AWS Certified Security - Specialty, Azure Security Engineer), Architettura (SABSA, GDSA), Compliance (ISO 27001 Lead Auditor, CISSP-ISSAP, CISM)Niceto haveContributi a progetti open-source di sicurezza (es. OWASP, Sigstore)Conoscenza di firmware security (UEFI Secure Boot, TPM 2.0) e ambienti ICS/SCADAAlmeno 2 audit di compliance su infrastrutture ibride (on-premise + multi-cloud)Sviluppo di policy tecniche per la gestione di segreti e autenticazione MFA (FIDO2/WebAuthn)Sede di lavoro Basiglio - Milano 3 City; possibilit di parziale Smart Working.I dati richiesti verranno trattati nel rispetto del Regolamento Europeo 679/2016 (GDPR). possibile consult