Grc cybersecurity manager - Roma, Lazio

GRC Cybersecurity Manager
Senior

OPLIUM's logo

OPLIUM

Roma, Roma, Lazio, Italia

Hybrid

Contratto a tempo indeterminato

Consulenza IT e Cybersecurity
✨ Prepara la tua Candidatura Candidati Condividi 

Descrizione della Posizione Lavorativa

Siamo alla ricerca di un GRC Cybersecurity Manager con un percorso professionale consolidato in contesti consulenziali o in aziende strutturate. Cerchiamo una figura che già eserciti la seniority con piena autonomia: un professionista capace di gestire contesti complessi, rapportarsi con interlocutori direzionali e generare valore sia sui progetti cliente sia nella governance interna.

La risorsa lavorerà a diretto supporto del Direttore GRC nel presidio continuativo delle tematiche di consulenza multi-cliente e della compliance interna. Opererà su due livelli complementari: da un lato contribuirà direttamente alle attività operative portando know-how sui progetti; dall'altro coordinerà le risorse assegnate, garantendo la qualità della delivery, il rispetto delle scadenze e la coerenza metodologica.

Responsabilità principali

  • Attività su progetti cliente: conduzione autonoma di risk assessment e risk treatment con metodologie quantitative e qualitative (ISO 31000, OCTAVE, FAIR, NIST RMF); gap analysis e definizione di roadmap di adeguamento rispetto a framework quali NIST CSF, CIS Controls, NIS2, DORA, GDPR.
  • Gestione di progetti per ottenimento/mantenimento di certificazioni (es. ISO 27001, ISO 22301, ISO 20001, ISO 9001) e conduzione/presidio di audit di certificazione come referente.
  • Attività GRC in ambienti cloud e ibridi: valutazione rischi cloud (data residency, vendor lock-in, supply chain risk, gestione accessi privilegiati) e applicazione di framework specifici (CSA CCM, ISO 27017/27018, NIST SP 800-53, CIS Benchmarks).
  • Supporto nella definizione e implementazione di soluzioni di Cloud Security Posture Management (CSPM) e controlli di conformità.
  • Interfaccia diretta e continua con referenti cliente a livello tecnico e direzionale, adattando linguaggio e contenuti agli interlocutori.

Compliance e certificazioni interne

  • Presidio e mantenimento del sistema di gestione integrato aziendale con riferimento a ISO 27001, ISO 9001 e SA8000.
  • Gestione del ciclo documentale, non conformità, piani di trattamento del rischio e azioni correttive.
  • Coordinamento con referenti interni e organismi di certificazione in audit di prima, seconda e terza parte.
  • Supporto alla Direzione nella definizione/aggiornamento delle politiche di governance e sicurezza delle informazioni e nel miglioramento continuo.
  • Monitoraggio dell’evoluzione normativa e regolamentare e valutazione dell’impatto sul sistema di gestione aziendale.

Requisiti

  • Esperienza minima di 10 anni in ambito GRC, information security, compliance o audit, maturata in società di consulenza strutturate o in organizzazioni medio-grandi.
  • Conoscenza approfondita e applicata di standard e framework: ISO 27001, ISO 9001, SA8000, NIST CSF, CIS Controls, GDPR, NIS2, DORA.
  • Esperienza diretta nella conduzione e nel presidio di audit di certificazione come referente.
  • Competenza su framework GRC per ambienti cloud: CSA CCM, ISO 27017/27018, NIST SP 800-53 e familiarità con AWS, Azure, GCP e con aspetti di Cloud Governance (IAM, segregation of duties, continuous compliance).
  • Capacità di gestire più progetti in parallelo con approccio strutturato e orientamento al risultato; ottime capacità di redazione documentale per policy, procedure e report direzionali.
  • Fluente in italiano e in inglese, scritto e parlato.
  • Interesse o conoscenze di base sulle implicazioni di sicurezza e compliance legate all’intelligenza artificiale (AI Act europeo, OWASP Top 10 for LLM, ecc.).

Elementi preferenziali

  • Aver seguito almeno un ciclo completo di certificazione ISO 27001 (implementazione e rinnovo triennale).
  • Esperienza su framework settoriali quali TISAX, PCI-DSS, SOC 2 Type II.
  • Conoscenza di strumenti GRC e piattaforme di compliance automation (es. OneTrust, ServiceNow GRC, Archer, Vanta).
  • Esperienze in progetti NIS2 o DORA, contesti internazionali o settori altamente regolamentati (financial services, healthcare, PA).
  • Certificazioni professionali riconosciute: CISM, CRISC, CISSP, ISO 27001 Lead Auditor/Implementer, CCSP.

Offerta

Inserimento diretto con inquadramento e retribuzione commisurati alla seniority e al profilo del candidato. Coinvolgimento in progetti diversificati per settore e complessità, con possibilità di contribuire allo sviluppo metodologico delle practice interne. Smart working e benefit aziendali. Sede di lavoro: Roma (RM).

Benefit

  • Smart Working
  • Benefit aziendali

Requisiti

Almeno 10 anni di esperienza in ambito GRC/information security/compliance o audit in contesti consulenziali strutturati o organizzazioni medio-grandi; conoscenza applicata di framework e standard (ISO 27001, ISO 9001, SA8000, NIST CSF, CIS Controls, GDPR, NIS2, DORA); esperienza nella conduzione di audit e certificazioni; competenze GRC per ambienti cloud (CSA CCM, ISO 27017/27018, NIST SP 800-53) e familiarità con AWS/Azure/GCP; capacità di gestire più progetti, eccellenti doti di redazione documentale; italiano e inglese fluente; interesse o conoscenze di base su AI Act e rischi legati all'AI.

Competenze richieste

  • Competenze professionali
    • ISO 27001 ISO 9001 SA8000 NIST CSF CIS Controls GDPR NIS2 DORA ISO 31000 OCTAVE FAIR NIST RMF CSA CCM ISO 27017 ISO 27018 NIST SP 800-53 CIS Benchmarks AWS Azure GCP CSPM IAM Continuous compliance Conduzione audit di certificazione Strumenti GRC (OneTrust ServiceNow GRC Archer Vanta)
  • Competenze trasversali
    • Leadership Gestione progetti Comunicazione con stakeholder direttivi Problem solving Adattamento all'incertezza Orientamento al risultato Capacità di redazione