CRO - ICT & Security Risk Specialist

Attività

• Contribuire a sviluppare e manutenere il framework e le metodologie di gestione e controllo del rischio ICT e di Sicurezza
• Gestire l’identificazione e la valutazione del rischio ICT e di Sicurezza, come parte attiva nell’esecuzione dei processi di Risk Control Self Assessment e di analisi di scenario e nella progettazione e nell’esecuzione di campagne di controllo di II livello
• Collaborare allo sviluppo e al mantenimento del Risk Appetite Framework per i rischi ICT e di Sicurezza, contribuendo alla definizione di indicatori, soglie, trigger e meccanismi di escalation
• Analizzare le principali criticità riferite ai rischi ICT e di Sicurezza supervisionando la definizione di opportune strategie di gestione dei rischi identificati e monitorando l’andamento delle azioni di mitigazioni
• Partecipare a definizione, stesura e monitoraggio di metriche sintetiche del profilo dei rischi ICT e di Sicurezza di Gruppo 
• Collaborare alla valutazione e alla stesura di documenti normativi interni
• Sviluppare e mantenere un sistema strutturato di reporting interno ed esterno, incluso quello regolamentare, in relazione all’esposizione ai rischi ICT & Security

Esperienza Richiesta

• Esperienza di 3+ anni in progetti in ambito Cybersecurity o Risk

Qualifiche Richieste, Skills e Competenze

• Laurea ad indirizzo scientifico o economico quantitativo
• Master in cybersecurity e/o Risk Management
• Buona padronanza della lingua inglese scritta e parlata
• Competenze di Risk Management (ERM) relative a framework, best practices e standard (ISACA CRISC, ISO 31000, COSO ERM, NIST RMF/CSF, ISO 27005), risk register, metodologie qualitative e quantitative di valutazione del rischio, gestione del risk appetite framework (soglie, governance, escalation, allineamento con la strategia)
• Competenze tecniche in ambito Cybersecurity & ICT quali conoscenza tecnologie ICT, threat landscape, sicurezza infrastruttura, cloud, IAM, SIEM/EDR, DLP
• Competenze di Modelling quantitativo (quant) quali elementi di statistica, valutazione di probabilità, modelli di rischio (Expected Loss, Monte Carlo), data analytics
• Competenze tecniche di sviluppo codice in termini di automazione processi, analisi dati, modellazione rischio, integrazione dati, scripting per ETL e dashboarding (Power BI/Tableau/Looker)
• Conoscenze normativa di settore in ambito Risk Management (es. DORA, NIS2, GDPR, GAR2, Basel III / Basel IV, ICAAP / ILAAP, ecc.) inclusa la capacità di interpretarne i requisiti, valutarne gli impatti operativi e supportarne l’implementazione nei processi
• Competenze per la definizione di indicatori (KRI / KCI / KPI), soglie, trigger al fini del risk monitoring e risk reporting
• Competenze di elaborazione e redazione di reporting gestionale, executive, C-level e agli Organi (es. dashboard, heatmap, trend, piani di mitigazione, richiesta budget)
• Competenze tecniche di risk and control assessment (modelli di controllo come COSO, COBIT, ISO 27001, audit readiness, policy e standard)
• Competenze di processo/business undertanding (es. comprensione processi core, traduzione impatto rischio Ict e di sicurezza sul business per i processi aziendali di riferimento, ecc)
• Competenze di data governance (definizione metriche, qualità dati, ownership, dashboarding)
• Buona conoscenza degli strumenti di Office365

Ulteriori qualifiche

• Abilità in ambito Ethical Hacking
• Certificazioni su Information Security; quelle preferite: ISACA CRISC [Certification in Risk and Information Systems Control], ISACA CISM [Certified Information Security Manager], ISACA CDPSE [Certified Data Privacy Solutions Engineer]), OSCP [OffSec Certified Professional], OSWE [OffSec Web Expert], eCPPT(x) [eLearnSecurity Certified Penetration Tester eXtreme], eWPT(x) [eLearnSecurity Web application Penetration Tester eXtreme], ISACA CISA [Certified Information System Auditor], ISO 27001, ISO 22301
• Conoscenze di Project & Program management (es. gestione programmi di trattamento del rischio, prioritarizzazione mitigazioni, change management, ecc.)