IT & Cyber Risk Governance & Analytics

Scopo e attività

• Progettare, sviluppare e manutenere il framework di governo (modelli, normativa, processi) dei rischi IT e Cyber, rischio terze parti e rischio di qualità dei dati), garantendone la conformità con la normativa vigente e l’allineamento con le best practice internazionali (anche sulle normative delle tecnologie emergenti, come AI, IoT, Blockchain, Quantum);
• Valutare, misurare e monitorare l’esposizione ai rischi IT & Cyber, rischio terze parti e rischio di qualità dei dati), anche in relazione a esternalizzazioni di Funzioni Essenziali e Importanti, Operazioni di Maggior Rilievo, iniziative progettuali e introduzione di nuovi prodotti, servizi ed attività;
• Analizzare le maggiori aree di rischio IT & Cyber, rischio terze parti e rischio di qualità dei dati e collaborare con le altre funzioni competenti nella definizione delle strategie di gestione di tale rischio, monitorando l’andamento delle azioni di mitigazione;
• Valutare la coerenza della Cyber Strategy con il livello di propensione al rischio ritenuto accettabile per il Gruppo;
• Definire le strategie di trasferimento del rischio IT & Cyber e del rischio terze parti e collaborare con la Direzione Centrale Acquisti dell’Aree di Governo Chief Cost Management Officer per la loro realizzazione;
• Nell’ambito del Risk Appetite Framework ed ai fini della successiva presentazione agli Organi Societari, proporre il livello di tolleranza al rischio IT & Cyber, rischio terze parti e rischio qualità dei dati ritenuto accettabile per il Gruppo;

• Sviluppare e manutenere un sistema strutturato di reporting interno ed esterno in relazione all’esposizione al rischio IT & Cyber, rischio terze parti e rischio qualità dei dati;
• Assicurare la produzione del Tableau de Bord delle criticità dell’Area di Governo Chief Risk Officer, garantendone il raccordo con il Tableau de Bord Integrato di Gruppo delle Funzioni Aziendali di Controllo e del Dirigente Preposto;
• Formalizzazione dei report sulla Cyber Risk Assessment e dei KPIs/KRIs da condividere con le parti interessate;
• Supportare, collaborando con la struttura responsabile, la definizione di piani strategici sul Rischio Cyber;
• Eseguire periodicamente analisi dei dati sui rischi IT & Cyber, rischio terze parti e rischio qualità dei dati;
• Progettazione e sviluppo di modelli predittivi del rischio informatico e Cyber;
• Definizione di Cyber Risk Analytics Policies

Esperienza Richiesta

Esperienza di 5+ anni in progetti in ambito Cybersecurity o Risk

Competenze, Conoscenze e Qualifiche richieste

• Laurea in Ingegneria Informatica o equipollente;
• Conoscenze relative a tematiche di Risk Management;
• Conoscenza di sistemi operativi, reti di comunicazione, sistemi di sicurezza, Information Technology;
• Conoscenza di metodologie e principi di analisi del rischio informatico;
• Forte comprensione delle tecnologie emergenti, come AI, blockchain, IoT e Quantum, e dei loro potenziali rischi per le organizzazioni;
• Conoscenza dei requisiti regolamentari e principali framework relativi alla sicurezza informatica e ICT (40° aggiornamento circolare 285 Bankit, EBA/GL/2019/04, Framework NIST 800-53 rev 4-rev.5, Cobit 2019, ITIL, ISO 27001, ISO 22301, GDPR, CCPA, HIPAA, DORA..)
• Profonda conoscenza di tecniche di Data Analysis e Machine Learning (Supervised and Unsupervised Models);
• Conoscenza avanzata di linguaggi di programmazione in ambito analisi dati (es. Python, R, Scala etc.), delle principali librerie Machine Learning (es. Scikit Learn, Numpy, Pandas etc.) e dei costrutti SQL;
• Conoscenza di tool e tecniche (unit tests, CI/CD) per sviluppo di modelli analitici;
• Conoscenza delle principali caratteristiche delle Cloud Platform (Google Cloud e MS Azure) e delle funzionalità di Cybersecurity disponibili (gestione chiavi, strumenti di monitoraggio di sicurezza dei servizi, firewall, ecc.);
• Conoscenza di strumenti di supporto allo sviluppo collaborativo (es. Git, Jupyter, ecc.)
• Comprensione industriale e finanziaria ed analisi Key Performance Indicators al fine di generare business insight e conoscenza del business domani (es. IOT)
• Buona padronanza della lingua inglese (una lingua aggiuntiva è un plus).

Rappresentano un plus:

• Master in cybersecurity;
• Abilità in ambito Ethical Hacking;
• Certificazioni su Information Security; quelle preferite: ISACA CRISC [Certification in Risk and Information Systems Control], ISACA CISM [Certified Information Security Manager], ISACA CDPSE [Certified Data Privacy Solutions Engineer]), OSCP [OffSec Certified Professional], OSWE [OffSec Web Expert], eCPPT(x) [eLearnSecurity Certified Penetration Tester eXtreme], eWPT(x) [eLearnSecurity Web application Penetration Tester eXtreme], ISACA CISA [Certified Information System Auditor], ISO 27001, ISO 22301