Per primario Gruppo Bancario all'interno dell'unità organizzativa ICT Security , in staff all' Area CIO, LHH è alla ricerca di un Cyber Security Manager che sarà dedicato in particolar modo alle aree dell' Identity & Access Management (Identity-first & Zero Trust Security), DevSecOps e Cloud Security , all'adozione di paradigmi di Security by Default negli sviluppi software interni e alla relativa evangelizzazione e diffusione di best practices.
La risorsa con un team di circa 10 persone contribuirà a provvedere alla gestione degli incidenti di sicurezza, anche attraverso la raccolta, analisi e conservazione delle evidenze digitali, mantenendone la validità forense.
Sede: Milano o Roma
Responsabilità
Security By Design / Security By Default
- Supervisione delle attività di DevSecOps, in particolare favorire la transizione al modello IDP
- Definizione e governo dei controlli di sicurezza integrati nel SDLC
- Integrazione dei requisiti di sicurezza nei golden path dell'IDP
- Definizione di standard, policy e controlli automatizzati (policy-as-code)
- Validazione dei requisiti security prima della pubblicazione di template e pipeline
Governance GenAI nell'IDP
- Collaborazione con le strutture competenti in ambito AI per la definizione e applicazione dei controlli di sicurezza relativi all'utilizzo della GenAI nei processi SDLC e nelle piattaforme di sviluppo. Monitoring, KPI & Continuous Assurance
- Contribuzione alla definizione di KPI di sicurezza del SDLC e dell'IDP
- Contribuzione al monitoraggio continuo di: esposizioni CTEM, compliance dei processi, adozione dei controlli di sicurezza
- Dashboard e reporting per stakeholder tecnici e manageriali
CTEM (Continuous Threat Exposure Management)
- Collaborazione nell'Implementazione di un modello di sicurezza basato su esposizione continua
- Identificazione e prioritizzazione delle esposizioni di rischio su: applicazioni, infrastruttura cloud, identity layer, pipeline DevSecOps
- Traduzione delle exposure in backlog prioritizzato di remediation
- Misurazione continua dell'efficacia delle contromisure
Identity-first & Zero Trust Security
- Contribuzione alla definizione del modello di sicurezza identity-centric e applicazione dei principi Zero Trust per la riduzione del rischio legato a identità privilegiate ed esposizione credenziali su:utenti, servizi, pipeline, agenti automatizzati e GenAI
Stakeholder Management & Influencing
- Collaborazione con l'area nella traduzione dei requisiti di sicurezza in valore per il business
- Collaborazione con l'area nella creazione di awareness e formazione
- Capacità di influenzare decisioni tecniche e organizzative di propria competenza in accordo con il responsabile
Innovazione e miglioramento continuo
- Proposta di nuove soluzioni per migliorare sicurezza e developer experience
- Ottimizzazione dei processi SDLC e riduzione della frizione operativa
- Introduzione di automazioni e pattern riutilizzabili nell'IDP
- Adozione di best practice emergenti in DevSecOps, CTEM e Zero Trust
Profilo
- Laurea in Informatica, Ingegneria Informatica, Cybersecurity o discipline affini
Preferibile: Master o specializzazione in Cybersecurity, Cloud Security o Information Security Management
- Security & Governance Preferibile una di queste certificazioni per la governance:
CISSP (Certified Information Systems Security Professional)
CISM (Certified Information Security Manager)
CRISC (Certified in Risk and Information Systems Control)
altre certificazioni in ambito DevSecOps (cloud, AI, Secure Development)
Esperienze pregresse:
- Esperienza pregressa nel ruolo di almeno 5 anni
- DevSecOps, CI/CD (es. GitLab CI, Jenkins, GitHub Actions)
- Secure SDLC, threat modeling, code review sicura (sast dast sca iast)
saranno favoriti i profili che hanno anche competenze in ambito:
- IAM (SSO, MFA, PAM, federazione identità, OAuth2, OpenID Connect)
- Zero Trust Architecture
- Cloud security (AWS, Azure, GCP)
- Container & Kubernetes security
- API security
- Internal Developer Platforms (MIA, Backstage o equivalenti)
#LI-MC9
«I candidati, nel rispetto del D.lgs. 198/2006, D.lgs. 215/2003 e D.lgs. 216/2003, sono invitati a leggere l'informativa sulla privacy consultabile sotto il form di richiesta dati della pagina di candidatura (Regolamento UE n. 2016/679).
L'offerta è rivolta a candidati di entrambi i sessi, nel rispetto del D.lgs. 198/2006 e della normativa vigente in materia di pari opportunità. L'azienda promuove un ambiente di lavoro inclusivo e garantisce pari opportunità a tutte le persone, indipendentemente da genere, età, origine, orientamento sessuale o disabilità.»
...