Angel4Future Logo

Information Security Officer (Senior)

  • Pubblicato il 04/05/2026
  • Ari (CH)
  • Da definire
Facebook Twitter LinkedIn Segnala un errore

Descrizione:

DESCRIZIONE DELLA POSIZIONEAngel4Future (A4F) è il Venture Builder della holding Angel, gruppo industriale italiano con quartier generale in Puglia, oltre 3.500 dipendenti e presenza operativa in più di 20 Paesi. Da oltre 30 anni Angel progetta soluzioni ad alta tecnologia per i settori ferroviario, aerospaziale, aeronautico ed e-mobility. A4F idea, sviluppa e lancia imprese tecnologiche in mercati ad alto potenziale — dalla micromobilità elettrica (VAIMOO) ai pagamenti digitali e alla retail automation (MatiPay), fino a nuove iniziative in ambito fintech, energy e smart city. Il portafoglio comprende venture soggette a requisiti regolamentari stringenti, tra cui DORA, GDPR e NIS2.

Responsabilità Governance e framework normativo

  • Implementazione e manutenzione del framework di ICT Security ai sensi del Digital Operational Resilience Act (DORA) e della Direttiva NIS2, in coordinamento con il fornitore esterno di ICT Risk Management.
  • Gestione delle relazioni con stakeholder esterni su temi di sicurezza, audit e segnalazioni di incidenti.
  • Contributo alla redazione e aggiornamento di policy, procedure e piani di risposta agli incidenti.
  • Coordinamento con DPO, Compliance e Legal su temi regolatori.
  • Supporto alla gestione del rischio ICT di terze parti: due diligence su fornitori critici, monitoraggio dei contratti di esternalizzazione ICT e registro delle informazioni previsto da DORA.

Sicurezza operativa e tecnica

  • Supervisione dell’infrastruttura IAM: SSO (SAML/OIDC), SCIM provisioning, RBAC, MFA.
  • Implementazione e gestione dei sistemi di monitoraggio, analisi degli audit log e coordinamento con eventuali SOC esterni.
  • Valutazione e mitigazione delle vulnerabilità su ambienti cloud (AWS / GCP / Azure).
  • Gate review di sicurezza sulle scelte architetturali, in collaborazione con il team Engineering (SAST, DAST, dependency scanning).
  • Supervisione dei penetration test periodici e follow‑up sulle remediation.
  • Definizione e supervisione delle policy di endpoint protection: EDR/XDR, device management (Intune), cifratura disco e hardening delle postazioni.
  • Contributo alla definizione e al test dei piani di Business Continuity e Disaster Recovery, in co‑ownership con l’IT.

Compliance e audit

  • Sviluppo e mantenimento delle certificazioni di sicurezza (ISO 27001 o equivalenti).
  • Preparazione e gestione degli audit interni ed esterni.
  • Redazione del reporting per il senior management su stato della sicurezza e rischio residuo.
  • Implementazione dei requisiti di ICT incident reporting previsti da DORA entro le scadenze regolamentari.

Cultura e awareness

  • Progettazione e delivery di programmi di security awareness per tutti i dipendenti.
  • Partecipazione attiva ai processi di design e rilascio dei prodotti, con responsabilità sulla validazione dei requisiti di sicurezza e sulla postura evolutiva dei servizi.

Punto di riferimento interno

  • Sicurezza, data protection e gestione degli incidenti.

Requisiti

  • 5+ anni in ruoli di Information Security o Cybersecurity, preferibilmente in contesti regolamentati (istituti finanziari, istituti di pagamento, assicurazioni).
  • Conoscenza approfondita di DORA, GDPR, NIS2 e dei framework di risk management applicabili al settore finanziario.
  • Familiarità con architetture cloud (AWS, GCP o Azure) e principi di cloud security.
  • Esperienza con standard di sicurezza internazionali: ISO/IEC 27001, NIST CSF, CIS Controls.
  • Gestione IAM enterprise (Azure AD / Entra ID): SSO, SCIM, MFA.
  • Configurazione e analisi SIEM e sistemi di monitoraggio.
  • Esperienza con soluzioni EDR/XDR e gestione endpoint tramite Microsoft Intune.
  • Comprensione di vulnerability management, SAST/DAST, dependency scanning.
  • Capacità di leggere log di sicurezza, configurazioni di rete e architetture applicative.
  • Competenze trasversali: capacità di comunicare rischi e decisioni tecniche a interlocutori non tecnici, incluso il CdA; approccio metodico alla redazione di policy, procedure e documentazione di audit; autonomia operativa.
  • Italiano madrelingua; inglese professionale scritto e parlato.

Competenze trasversali e titoli preferenziali

  • Competenze trasversali: capacità di comunicare rischi e decisioni tecniche a interlocutori non tecnici, incluso il CdA; approccio metodico alla redazione di policy, procedure e documentazione di audit; autonomia operativa.
  • Certificazioni: CISSP, CISM, CRISC, ISO 27001 Lead Auditor/Implementer.
  • Esperienza in progetti DLP (Data Loss Prevention).
  • Esperienza diretta in contesti regolamentati o con enti soggetti a vigilanza settoriale.

#J-18808-Ljbffr