Back to search
OPLIUM Linkedin · Posted 14d ago

GRC Cybersecurity Analyst

Rome

Linkedin
Continue to application Add your email once, then Caio opens the original posting.

Indexed description

Chi cerchiamo

Cerchiamo un/a professionista con esperienza reale nell’analisi del rischio ICT: non familiarità generica, ma una persona che abbia già gestito in prima persona l’execution di processi di ICT Risk Management, conducendo cicli completi di risk assessment su asset reali in contesti organizzativi articolati.

La risorsa entrerà a far parte del team con un perimetro chiaro: dalla caratterizzazione degli asset ICT al monitoraggio dei piani di remediation, passando per la selezione dei controlli e la validazione tecnica.


Responsabilità principali

Assessment e caratterizzazione degli asset

  • Conduzione di interviste strutturate e utilizzo di checklist per la caratterizzazione degli asset (dati trattati, rilevanza business, classificazione RID, ecc.)
  • Valutazione dell’esposizione degli asset e mappatura delle dipendenze con i processi critici
  • Identificazione e classificazione degli scenari di rischio coerenti con la risk posture aziendale


Selezione dei controlli e validazione tecnica

  • Selezione dei controlli necessari per rispondere ai requisiti di sicurezza e compliance, con riferimento ai principali framework normativi: NIS2, DORA, Cyber Resilience Act (CRA), oltre a standard come ISO 27001 e CIS Controls
  • Validazione delle proposte tecniche e valutazione dell’adeguatezza rispetto agli scenari di rischio
  • Identificazione dei controlli non soddisfatti e valutazione del rischio residuo


Remediation e monitoraggio

  • Definizione di piani di remediation strutturati (priorità, responsabilità, tempistiche)
  • Monitoraggio continuo dell’execution e rendicontazione verso gli stakeholder
  • Supporto all’aggiornamento della risk posture aziendale


Requisiti richiesti (essenziali)

  • Almeno 3 anni di esperienza in cybersecurity, ICT risk management o information security in contesti strutturati
  • Conoscenza applicata delle metodologie di analisi del rischio: OCTAVE, FAIR, ISO 27005, NIST RMF (non solo teorica)
  • Capacità di dialogo sia con figure tecniche (sistemisti, architect, DevSecOps) sia con il management
  • Esperienza nella redazione completa di risk assessment end-to-end: dall’asset inventory e threat modeling fino al piano di trattamento
  • Familiarità con normative e framework di cybersecurity, tra cui ISO 27001 Annex A, CIS Controls, NIST CSF 2.0 e NIST SP 800-53
  • Buona conoscenza della lingua inglese, scritta e parlata


Esperienze distintive (forte preferenza)

  • Applicazione dell’analisi del rischio in ambienti cloud (AWS, GCP), inclusa valutazione di configurazioni, compliance e servizi cloud-native
  • Esperienza in progetti di adeguamento NIS2 o DORA in settori regolamentati
  • Utilizzo di strumenti GRC come OneTrust, ServiceNow GRC, Archer, AI.ESRA, Balbix o equivalenti
  • Gestione di piani di remediation complessi e multi-funzionali
  • Certificazioni: CISM, CRISC, ISO 27001 Lead Auditor/Implementer, CISSP
  • Esperienza in contesti OT/IoT security
  • Attività di TPRM e utilizzo di strumenti come Panorays, BitSight, SecurityScorecard


Profilo personale

Cerchiamo una persona che abbia già svolto questo ruolo in modo concreto e operativo, in particolare che abbia gestito in autonomia un risk assessment end-to-end: dall’intervista iniziale con i process owner fino alla definizione e formalizzazione del piano di remediation.

Non cerchiamo profili che abbiano partecipato solo come supporto, osservato il processo o contribuito in modo parziale.

È fondamentale la capacità di guidare il processo anche in contesti non maturi, con asset poco documentati e informazioni incomplete, mantenendo metodo e rigore. Ugualmente importante è la capacità di interfacciarsi con interlocutori tecnici che propongono soluzioni non sempre adeguate.

⚠️ Se la tua esperienza sul risk assessment è prevalentemente teorica, accademica o formativa, questo ruolo potrebbe non essere in linea con il tuo profilo in questo momento.


Cosa ti offriamo?

Il Compensation & Benefit package sarà illustrato durante l’iter di selezione.



L’offerta è rivolta a candidati di entrambi i sessi (L.903/77 – L.125/91). Spindox promuove un ambiente di lavoro inclusivo e assicura pari opportunità di impiego a tutte le persone, indipendentemente da genere, età, nazionalità, cultura, orientamento personale o credo.

Free. 20 seconds. No password. See every match in this search.

Create a free Caio profile to unlock more results and save your role and location preferences.

Unlock free search
Want help applying to roles like this? Search Caio for free. If CV tailoring and application tracking get heavy, Full Caio Agent adds a human specialist.
View Full Agent