Descrizione della Posizione Lavorativa
Chi cerchiamo
Cerchiamo un professionista con esperienza concreta nell'analisi del rischio ICT: non una conoscenza puramente teorica, ma una persona che abbia gestito direttamente l'esecuzione di processi di ICT Risk Management effettuando cicli completi di risk assessment su asset reali in contesti organizzativi complessi. La risorsa farà parte del team con responsabilità definite, dalla caratterizzazione degli asset ICT al monitoraggio dei piani di remediation, includendo la selezione dei controlli e la validazione tecnica.
Responsabilità principali
- Assessment e caratterizzazione degli asset
- Conduzione di interviste strutturate e uso di checklist per descrivere gli asset (dati trattati, rilevanza per il business, classificazione RID, ecc.).
- Valutazione dell'esposizione degli asset e mappatura delle dipendenze con processi critici.
- Identificazione e classificazione degli scenari di rischio coerenti con la risk posture aziendale.
- Selezione dei controlli e validazione tecnica
- Scelta dei controlli necessari per soddisfare requisiti di sicurezza e compliance in riferimento a framework normativi (NIS2, DORA, Cyber Resilience Act) e standard come ISO 27001 e CIS Controls.
- Validazione tecnica delle proposte e verifica dell'adeguatezza rispetto agli scenari di rischio.
- Individuazione dei controlli non soddisfatti e valutazione del rischio residuo.
- Remediation e monitoraggio
- Definizione di piani di remediation strutturati (priorità, responsabilità, tempistiche).
- Monitoraggio continuo dell'esecuzione e rendicontazione verso gli stakeholder.
- Supporto all'aggiornamento della risk posture aziendale.
Requisiti richiesti (essenziali)
- Almeno 3 anni di esperienza in cybersecurity, ICT risk management o information security in contesti strutturati.
- Conoscenza applicata di metodologie di analisi del rischio: OCTAVE, FAIR, ISO 27005, NIST RMF (non solo teorica).
- Capacità di dialogare sia con figure tecniche (sistemisti, architect, DevSecOps) sia con il management.
- Esperienza nella redazione completa di risk assessment end-to-end: dall'asset inventory e threat modeling fino al piano di trattamento.
- Familiarità con normative e framework: ISO 27001 Annex A, CIS Controls, NIST CSF 2.0, NIST SP 800-53.
- Buona conoscenza della lingua inglese, scritta e parlata.
Esperienze distintive (forte preferenza)
- Applicazione dell'analisi del rischio in ambienti cloud (AWS, GCP), inclusa valutazione di configurazioni, compliance e servizi cloud-native.
- Esperienza in progetti di adeguamento a NIS2 o DORA in ambiti regolamentati.
- Utilizzo di strumenti GRC (OneTrust, ServiceNow GRC, Archer, AI.ESRA, Balbix o equivalenti).
- Gestione di piani di remediation complessi e multi-funzionali.
- Certificazioni rilevanti: CISM, CRISC, ISO 27001 Lead Auditor/Implementer, CISSP.
- Esperienza in contesti OT/IoT security e attività di TPRM con strumenti come Panorays, BitSight, SecurityScorecard.
Profilo personale
Cerchiamo una persona che abbia svolto concretamente e in autonomia risk assessment end-to-end, dalla prima intervista con i process owner fino alla definizione e formalizzazione del piano di remediation. Non sono adatti candidati che abbiano partecipato solo come supporto, osservato il processo o contribuito parzialmente. È fondamentale la capacità di guidare il processo anche in contesti non maturi, con asset poco documentati e informazioni incomplete, mantenendo metodo e rigore; è inoltre importante saper interfacciarsi con interlocutori tecnici che possono proporre soluzioni non sempre adeguate.
Attenzione: se la tua esperienza di risk assessment è principalmente teorica, accademica o formativa, questo ruolo potrebbe non essere adatto al tuo profilo in questa fase.
Cosa ti offriamo?
Il Compensation & Benefit package verrà illustrato durante il processo di selezione. Sede: Roma RM, Italia. Tipo: Full-time.
Benefit per i dipendenti
Il pacchetto retributivo e i benefit saranno comunicati nel corso delle fasi di selezione.
Requisiti
Almeno 3 anni di esperienza in cybersecurity/ICT risk management in contesti strutturati; esperienza pratica su metodologie di risk analysis (OCTAVE, FAIR, ISO 27005, NIST RMF); capacità di condurre risk assessment end-to-end; familiarità con framework e normative (ISO 27001 Annex A, CIS Controls, NIST CSF 2.0, NIST SP 800-53); ottime doti comunicative con tecnici e management; buona conoscenza dell'inglese.
Competenze richieste
Competenze professionali
Risk assessment end-to-end
Asset inventory
Threat modeling
Pianificazione remediation
OCTAVE
FAIR
ISO 27005
NIST RMF
ISO 27001 Annex A
CIS Controls
NIST CSF 2.0
NIST SP 800-53
Cloud security (AWS
GCP)
Strumenti GRC (OneTrust
ServiceNow GRC
Archer
Balbix
AI.ESRA)
TPRM (Panorays
BitSight
SecurityScorecard)
Inglese tecnico
Competenze trasversali
Capacità di comunicazione con management e tecnici
Autonomia e responsabilità
Metodo e rigore
Analisi e problem solving
Gestione degli stakeholder
Lavoro di squadra