Application Security Engineer

Michael Page

• Security SDLC: progettare, implementare e gestire controlli di sicurezza automatizzati lungo l'intero ciclo di vita del software supportando il team di sviluppo
• Vulnerability Management: eseguire e supervisionare regolarmente le attività di vulnerability assessment e penetration test (Web, API, Mobile), gestendo il processo di remediation con i team di sviluppo
• Threat Modeling: condurre sessioni di threat modeling su nuove feature e architetture, al fine di identificare le potenziali vulnerabilità prima della scrittura del codice
• DevSecOps: implementare "security gate" automatizzati all'interno pipeline CI/CD per bloccare il rilascio di build non conformi agli standard di sicurezza stabiliti
• Technical Compliance: tradurre i requisiti NIS2 e ISO 27001 in configurazioni tecniche e policy, fornendo le evidenze necessarie per supportare gli audit di conformità
• Incident Response: supportare tecnicamente la gestione degli incidents applicativi (analisi dei log, analisi forense delle app, post-mortem) e delle successive azioni informative alle Unit ed agli Enti di competenza
• Hardening: definire e verificare standard di hardening per ridurre la superficie di attacco di applicazioni, container, immagini e configurazioni cloud.

• Laurea STEM (Informatica, Ingegneria Informatica o affini)
• 4-8 anni di esperienza diretta in Application Security
• Esperienza pratica nell'integrazione di strumenti di sicurezza (SAST, DAST, SCA) in pipeline CI/CD (GitHub Actions, GitLab CI)
• Capacità di effettuare secure code review manuale e di interpretare i risultati di test automatizzati
• Conoscenza operativa dei requisiti tecnici della Direttiva NIS2 e dei controlli ISO 27001
• Ottima padronanza di ambienti cloud-native (AWS/Azure), container (Docker) e orchestrazione (Kubernetes)
• AppSec Tools: padronanza di strumenti quali OWASP ZAP, SonarQube o equivalenti
• Linguaggi di programmazione: capacità di leggere, comprendere e analizzare codice (es. Java, Python, Go, JavaScript) per identificare vulnerabilità logiche e di sicurezza
• Cloud & Infrastructure: conoscenza della sicurezza in ambito cloud (cloud security) e delle principali tecnologie di rete applicativa (WAF, API Gateway)
• Framework di riferimento: conoscenza di OWASP ASVS (Application Security Verification Standard) e MASVS (sicurezza nelle applicazioni mobili).

Requisiti opzionali

• Conoscenze di network management, segmentazione di rete, VPN e sicurezza cloud
• Certificazioni quali CISSP, CEH o CompTIA Security+
• Esperienza in settori regolamentati (es. ferroviario, energia, pubblica amministrazione)
• Esperienza in aziende con processi Agile/DevOps consolidati
• Conoscenza di framework di sicurezza aggiuntivi, come NIST CSF e CIS Controls.

Realtà di prodotto specializzata nella produzione di impianti tecnologici da oltre vent'anni.

• Ottima opportunità di carriera
• Un ambiente di lavoro che valorizza l'equilibrio tra vita professionale e personale, con una settimana lavorativa di 38 ore
• Welfare aziendale
• Opportunità di formazione e aggiornamento professionale.

Settore: Altro

Ruolo: Ingegneria/Progettazione