Descrizione:
Siamo alla ricerca di un GRC Cybersecurity Manager con una solida carriera alle spalle, maturata in contesti consulenziali o aziendali strutturati. La figura che vogliamo incontrare non è chi si avvicina alla seniority, ma chi la esercita già con piena autonomia: professionista abituato a gestire situazioni complesse, a relazionarsi con interlocutori di livello direzionale e a portare valore concreto sia sui progetti cliente che nella governance interna dell'organizzazione.
La persona affiancherà direttamente il Direttore GRC nel presidio continuativo di tutte le tematiche che riguardano sia il supporto consulenziale su progetti multi-cliente sia la gestione della compliance interna della società. In questo contesto opererà su due livelli complementari: da un lato contribuirà in prima persona alle attività operative, portando il proprio know-how direttamente sui progetti; dall'altro coordinerà, di volta in volta, le risorse allocate sui progetti di cui è responsabile, assicurando qualità della delivery, rispetto delle scadenze e coerenza metodologica.
Cerchiamo quindi qualcuno che sappia fare e sappia guidare: un professionista abituato a gestire situazioni complesse, a relazionarsi con interlocutori di livello direzionale e a prendersi la responsabilità dell'intero perimetro affidatogli.
Profilo personale e approccio professionale
Siamo alla ricerca di un professionista che abbia sviluppato, nel corso della propria carriera, non solo competenze tecniche solide, ma anche la capacità di orientarsi con autonomia in situazioni complesse e non standardizzate. La figura che cerchiamo è abituata a confrontarsi con scenari reali, a gestire l'incertezza con metodo e a portare soluzioni pragmatiche laddove i framework da soli non sono sufficienti.
Non è richiesta la perfezione del percorso, ma la sostanza dell'esperienza.
Responsabilità principali
Attività su progetti cliente
Conduzione di risk assessment e risk treatment in autonomia, con padronanza delle principali metodologie quantitative e qualitative (ISO 31000, OCTAVE, FAIR, NIST RMF)
Gap analysis e definizione di roadmap di adeguamento rispetto ai principali framework di riferimento, tra cui NIST CSF, CIS Controls, NIS2, DORA, GDPR
Gestione di progetti volti a supportare i Clienti nell’ottenimento/mantenimento end-to-end delle certificazioni di settore (es.: ISO 27001, 22301, 20001,9001)
Gestione delle attività GRC in ambienti cloud e ibridi, con conoscenza applicata dei modelli di responsabilità condivisa (AWS, Azure, GCP) e dei framework specifici quali
CSA CCM (Cloud Controls Matrix)
,
ISO 27017
,
ISO 27018
e
NIST SP 800-53
Valutazione dei rischi associati all'adozione di servizi cloud, inclusi aspetti di data residency, vendor lock-in, supply chain risk e gestione degli accessi privilegiati
Supporto alla definizione e implementazione di Cloud Security Posture Management (CSPM) e relativi controlli di conformità
Interfaccia diretta e continuativa con i referenti cliente a livello tecnico e direzionale, con capacità di adattare registro e contenuto agli interlocutori
Compliance e certificazioni interne
Presidio e mantenimento del sistema di gestione integrato aziendale, con riferimento alle certificazioni
ISO 27001, ISO 9001 e SA8000
Gestione del ciclo documentale, delle non conformità, dei piani di trattamento del rischio e delle azioni correttive
Coordinamento con i referenti interni e con gli organismi di certificazione in occasione di audit di prima, seconda e terza parte
Supporto alla Direzione nella definizione e aggiornamento delle politiche di governance, sicurezza delle informazioni e miglioramento continuo
Monitoraggio dell'evoluzione normativa e regolamentare rilevante, con valutazione dell'impatto sul sistema di gestione aziendale
Requisiti richiesti
Esperienza professionale di
almeno 10 anni
in ambito GRC, information security, compliance o audit, maturata in contesti consulenziali strutturati o in organizzazioni di medie e grandi dimensioni
Conoscenza approfondita e applicata — non meramente teorica — dei principali framework e standard: ISO 27001, ISO 9001, SA8000, NIST CSF, CIS Controls, GDPR, NIS2, DORA
Esperienza diretta nella conduzione e nel presidio di audit di certificazione, in qualità di referente e non esclusivamente di supporto su Clienti di diverse Industries, diverse Complessità organizzativa e maturità
Conoscenza dei principali framework GRC applicati agli ambienti cloud:
CSA CCM
,
ISO 27017/27018
,
NIST SP 800-53
,
CIS Benchmarks per i principali provider (AWS, Azure, GCP)
Familiarità con i temi di Cloud Governance: gestione delle identità e degli accessi (IAM), segregation of duties in ambienti cloud, continuous compliance monitoring
Capacità di gestione parallela di più progetti e priorità, con approccio strutturato e orientamento al risultato
Spiccate capacità di redazione documentale, con esperienza nella produzione di policy, procedure, report direzionali e deliverable consulenziali
Fluenza in lingua italiana e inglese professionale, scritto e parlato
Interesse o conoscenza di base delle implicazioni di sicurezza e compliance legate all'intelligenza artificiale (AI Act europeo, OWASP Top 10 for LLM, etc.)
Elementi preferenziali
Aver seguito almeno un ciclo completo di certificazione ISO 27001 — dalla fase di implementazione iniziale fino al rinnovo triennale
Esperienza su framework settoriali quali TISAX, PCI-DSS, SOC 2 Type II
Conoscenza di strumenti GRC e piattaforme di compliance automation (es. OneTrust, ServiceNow GRC, Archer, Vanta)
Esperienza in progetti di adeguamento NIS2 o DORA, con particolare riferimento a organizzazioni in settori regolamentati
Conoscenza dell'AI Act europeo e delle sue implicazioni in ambito cybersecurity (valutazione rischi per sistemi AI, requisiti per high-risk AI, integrazione con framework GRC)
Aver operato in contesti internazionali o con clienti in settori ad elevata regolamentazione (financial services, healthcare, pubblica amministrazione)
Certificazioni professionali rilevanti: CISM, CRISC, CISSP, ISO 27001 Lead Auditor/Implementer, CCSP (Certified Cloud Security Professional)
Inserimento diretto con inquadramento e retribuzione commisurati all'effettiva seniority e al profilo del candidato
Coinvolgimento su progetti diversificati in termini di settore, dimensione e complessità
Contesto professionale in crescita, con possibilità di contribuire attivamente alle scelte metodologiche e allo sviluppo delle practice interne
#J-18808-Ljbffr