Cybersecurity Governance Specialist

Banca Mediolanum è un'organizzazione che ridefinisce il panorama finanziario conoltre tre decenni di innovazione. Attraverso le società che ne fanno parte, si dedicaa fornire servizi finanziari, bancari e assicurativi su misura che rispondanoalle esigenze uniche di ogni cliente. La Banca si impegna a costruire relazionidurature basate sulla fiducia, trasparenza e sull'attenzione ai dettagli. Lanostra è una realtà dinamica, fondata su relazioni, responsabilità e libertà. La nostra cultura promuove la positività, la responsabilità e l'innovazionesostenibile. Siamo convinti che il successo di un'azienda sia il risultato delsuccesso individuale dei suoi membri. In Gruppo Mediolanum ti offriamo più diun lavoro: l'opportunità di contribuire a un cambiamento positivo e di crescereinsieme a noi.

Siamoalla ricerca di una figura di “ Cybersecurity Governance Expert ”, sarà coinvoltanelle seguenti attività:


• Definizione e aggiornamento delle politiche di Information Security


• Monitoraggio dell'attuazione della strategia e delle policy di sicurezza del Gruppo e delle società controllate


• Conduzione di cyber security assessment e predisposizione della relativa documentazione di compliance


• Analisi dei rischi emergenti, nuovi requisiti normativi e iniziative di sicurezza intersettoriali e nazionali


• Attività di gap analysis e assessment rispetto a standard e baseline definite


• Supporto ai progetti di assurance per la verifica delle misure di sicurezza e l'identificazione di azioni correttive


• Valutazione della sicurezza dei fornitori (third party risk assessment)


• Sviluppo di programmi di cyber awareness per utenti tecnici e non tecnici
Monitoraggio dell'efficacia formativa tramite KPI specifici (es. test di phishing)
Creazione di cruscotti e report con metriche di sicurezza (KPI/KRI) 

Profilo competenze


Requisiti


• Esperienza tra i 5-7 anni maturata in ambito ICT & Security Governance o ICT Risk


• Laurea in informatica/ingegneria o equivalenti


• Conoscenza dei framework (es. ISO 27001, NIST, ITIL, COBIT, PCI, ecc. ) e delle normative di riferimento (es. Circolare 285, PSD2, GDPR, 262, 231 ecc. ), con esperienze in termini di declinazione ed adozione.


• Pregressa esperienza in attività di definizione ed implementazione di metodologie di valutazione dei rischi informatici e di sicurezza.


• Pregressa esperienza in attività di redazione di policy e procedure di sicurezza e ICT, maturity assessment, benchmarking.


• Conoscenza di soluzioni di sicurezza informatica ( SIEM, Identity & Access Governance, Data Security & Protection, IDS/IPS, Data Masking & Tokenization, ecc).


• Ottima conoscenza della lingua inglese.


• Certificazioni in ambito ICT/ Security (es. ISO 27001, ITIL, ecc).

Requisiti Tecnici


• Expertise in Security Architecture: Progettazione e hardening di architetture Zero Trust, SASE, e modelli di micro-segmentazione avanzata (es. V Mware NSX, Illumio), Implementazione di sistemi di autenticazione federata (SAML/O Auth Connect) e gestione di PKI/HSM (es. Thales, Yubi Key).


• Offensive/ Defensive Security. Esperienza diretta in red teaming: exploitation avanzato (es. Active Directory kerberoasting, DNS tunneling, fileless malware).


• Padronanza di tool per penetration test avanzati: Cobalt Strike, Metasploit Framework, Blood Hound, Burp Suite (con estensioni custom).


• Cloud & Container Security: Hardening di ambienti AWS/ Azure/GCP: configurazione di Cloud Trail, Guard Duty, Azure Sentinel, e gestione di CSPM ( Wiz, Prisma Cloud); Sicurezza di pipeline CI/CD: integrazione di SAST/DAST ( Checkmarx, Snyk) e automazione con IaC ( Terraform, Cloud Formation), Protezione di cluster Kubernetes: policy OPA/ Gatekeeper, runtime security ( Falco), e gestione secrets ( Hashi Corp Vault)


• Threat Intelligence & Analytics: creazione di threat hunting playbook basati su MITRE ATT&CK e analisi di TT Ps con piattaforme come MISP o Anomali, Configurazione di SIEM avanzati ( Splunk ES, Elastic Security) e scrittura di regole di correlazione personalizzate ( Sigma rules).


• Tool e Tecnologie Obbligatorie: OS & Network: Kali Linux, SE Linux/ App Armor, Snort/ Suricata, Zeek, Crittografia: Implementazione di schemi post-quantum (CRYSTALS- Kyber), gestione di HSM ( Thales, AWS CloudHSM), Automazione: Scripting avanzato in Python/ Bash per orchestrazione di workflow ( The Hive, Cortex), integrazione API REST
Cloud Native: Kubernetes RBAC, service mesh ( Istio, Linkerd), e scanner di immagini ( Trivy, Clair).


• Certificazioni Avanzate Richieste: Offensive Security: OSCP, OSCE, o CRTO ( Certified Red Team Operator), Cloud Security: CCSK, AWS Certified Security – Specialty, o Azure Security Engineer; Architettura: SABSA ( Chartered Security Architect) o GIAC Defensible Security Architecture (GDSA), Compliance Tecnica: ISO 27001 Lead Auditor, CISSP-ISSAP, o CISM.

Niceto have


• Contributi a progetti open-source di sicurezza (es. OWASP, Sigstore).


• Conoscenza di firmware security (UEFI Secure Boot, TPM e ambienti ICS/SCADA


• Aver condotto almeno 2 audit di compliance su infrastrutture ibride (on-premise + multi-cloud)


• Aver sviluppato policy tecniche per la gestione di segreti (secrets management) e autenticazione MFA (FIDO2/ Web Authn)

Sede di lavoro Basiglio – Milano 3 City; possibilità di parziale Smart Working.

Idati richiesti verranno trattati nell’assoluto rispetto delle disposizionicontenute nel Regolamento Europeo 679/2016 ( General Data Protection Regulation- “GDPR” o “ Normativa Privacy”) e sue successive modificazioni ed integrazioni. E’ possibile visionare l’informativa di Banca Mediolanum SPA, accedendo alseguente link: 

Il Gruppo Mediolanum si impegna a garantire la parità di trattamento a tutti icandidati secondo i principi di Diversity and Inclusion.