Cybersecurity Governance Specialist
Banca Mediolanum
20079 Basiglio, Metropolitan City of Milan, Italy
Descrizione dell'offerta
Società
Banca Mediolanum
Posizione
Cybersecurity Governance Expert
Responsabilità primarie
Banca Mediolanum è un'organizzazione che ridefinisce il panorama finanziario con oltre tre decenni di innovazione. Attraverso le società che ne fanno parte, si dedica a fornire servizi finanziari, bancari e assicurativi su misura che rispondano alle esigenze uniche di ogni cliente. La Banca si impegna a costruire relazioni durature basate sulla fiducia, trasparenza e sull'attenzione ai dettagli. La nostra è una realtà dinamica, fondata su relazioni, responsabilità e libertà. La nostra cultura promuove la positività, la responsabilità e l'innovazione sostenibile. Siamo convinti che il successo di un'azienda sia il risultato del successo individuale dei suoi membri. In Gruppo Mediolanum ti offriamo più di un lavoro: l'opportunità di contribuire a un cambiamento positivo e di crescere insieme a noi.
Siamo alla ricerca di una figura di “
Cybersecurity Governance Expert
”, sarà coinvolta nelle seguenti attività:
- Definizione e aggiornamento delle politiche di Information Security
- Monitoraggio dell'attuazione della strategia e delle policy di sicurezza del Gruppo e delle società controllate
- Conduzione di cyber security assessment e predisposizione della relativa documentazione di compliance
- Analisi dei rischi emergenti, nuovi requisiti normativi e iniziative di sicurezza intersettoriali e nazionali
- Attività di gap analysis e assessment rispetto a standard e baseline definite
- Supporto ai progetti di assurance per la verifica delle misure di sicurezza e l'identificazione di azioni correttive
- Valutazione della sicurezza dei fornitori (third party risk assessment)
- Sviluppo di programmi di cyber awareness per utenti tecnici e non tecnici Monitoraggio dell'efficacia formativa tramite KPI specifici (es. test di phishing) Creazione di cruscotti e report con metriche di sicurezza (KPI/KRI)
- Esperienza tra i 5-7 anni maturata in ambito ICT & Security Governance o ICT Risk
- Laurea in informatica/ingegneria o equivalenti
- Conoscenza dei framework (es. ISO 27001, NIST, ITIL, COBIT, PCI, ecc.) e delle normative di riferimento (es.Circolare 285, PSD2, GDPR, 262, 231 ecc.), con esperienze in termini di declinazione ed adozione.
- Pregressa esperienza in attività di definizione ed implementazione di metodologie di valutazione dei rischi informatici e di sicurezza.
- Pregressa esperienza in attività di redazione di policy e procedure di sicurezza e ICT, maturity assessment, benchmarking.
- Conoscenza di soluzioni di sicurezza informatica (i.e. SIEM, Identity & Access Governance, Data Security & Protection, IDS/IPS, Data Masking & Tokenization, ecc).
- Ottima conoscenza della lingua inglese.
- Certificazioni in ambito ICT/Security (es. ISO 27001, ITIL, ecc).
- Expertise in Security Architecture: Progettazione e hardening di architetture Zero Trust, SASE, e modelli di micro-segmentazione avanzata (es. VMware NSX, Illumio), Implementazione di sistemi di autenticazione federata (SAML/OAuth 2.0/OpenID Connect) e gestione di PKI/HSM (es. Thales, YubiKey).
- Offensive/Defensive Security. Esperienza diretta in red teaming: exploitation avanzato (es. Active Directory kerberoasting, DNS tunneling, fileless malware).
- Padronanza di tool per penetration test avanzati: Cobalt Strike, Metasploit Framework, BloodHound, Burp Suite (con estensioni custom).
- Cloud & Container Security: Hardening di ambienti AWS/Azure/GCP: configurazione di CloudTrail, GuardDuty, Azure Sentinel, e gestione di CSPM (Wiz, Prisma Cloud); Sicurezza di pipeline CI/CD: integrazione di SAST/DAST (Checkmarx, Snyk) e automazione con IaC (Terraform, CloudFormation), Protezione di cluster Kubernetes: policy OPA/Gatekeeper, runtime security (Falco), e gestione secrets (HashiCorp Vault)
- Threat Intelligence & Analytics: creazione di threat hunting playbook basati su MITRE ATT&CK e analisi di TTPs con piattaforme come MISP o Anomali, Configurazione di SIEM avanzati (Splunk ES, Elastic Security) e scrittura di regole di correlazione personalizzate (Sigma rules).
- Tool e Tecnologie Obbligatorie: OS & Network: Kali Linux, SELinux/AppArmor, Snort/Suricata, Zeek, Crittografia: Implementazione di schemi post-quantum (CRYSTALS-Kyber), gestione di HSM (Thales, AWS CloudHSM), Automazione: Scripting avanzato in Python/Bash per orchestrazione di workflow (TheHive, Cortex), integrazione API REST Cloud Native: Kubernetes RBAC, service mesh (Istio, Linkerd), e scanner di immagini (Trivy, Clair).
- Certificazioni Avanzate Richieste: Offensive Security: OSCP, OSCE, o CRTO (Certified Red Team Operator), Cloud Security: CCSK, AWS Certified Security – Specialty, o Azure Security Engineer; Architettura: SABSA (Chartered Security Architect) o GIAC Defensible Security Architecture (GDSA), Compliance Tecnica: ISO 27001 Lead Auditor, CISSP-ISSAP, o CISM.
- Contributi a progetti open-source di sicurezza (es. OWASP, Sigstore).
- Conoscenza di firmware security (UEFI Secure Boot, TPM 2.0) e ambienti ICS/SCADA
- Aver condotto almeno 2 audit di compliance su infrastrutture ibride (on-premise + multi-cloud)
- Aver sviluppato policy tecniche per la gestione di segreti (secrets management) e autenticazione MFA (FIDO2/WebAuthn)
5 Luglio 2025
Il lavoro dei tuoi sogni ti aspetta
Unisciti alle oltre 150.000 persone che hanno già utilizzato Jobiri per trovare lavoro
