GRC Cybersecurity Manager

Siamo alla ricerca di un GRC Cybersecurity Manager con una solida carriera alle spalle, maturata in contesti consulenziali o aziendali strutturati. La figura che vogliamo incontrare non è chi si avvicina alla seniority, ma chi la esercita già con piena autonomia: professionista abituato a gestire situazioni complesse, a relazionarsi con interlocutori di livello direzionale e a portare valore concreto sia sui progetti cliente che nella governance interna dell'organizzazione.

La persona affiancherà direttamente il Direttore GRC nel presidio continuativo di tutte le tematiche che riguardano sia il supporto consulenziale su progetti multi-cliente sia la gestione della compliance interna della società. In questo contesto opererà su due livelli complementari: da un lato contribuirà in prima persona alle attività operative, portando il proprio know-how direttamente sui progetti; dall'altro coordinerà, di volta in volta, le risorse allocate sui progetti di cui è responsabile, assicurando qualità della delivery, rispetto delle scadenze e coerenza metodologica.

Cerchiamo quindi qualcuno che sappia fare e sappia guidare: un professionista abituato a gestire situazioni complesse, a relazionarsi con interlocutori di livello direzionale e a prendersi la responsabilità dell'intero perimetro affidatogli.

Profilo personale e approccio professionale

Siamo alla ricerca di un professionista che abbia sviluppato, nel corso della propria carriera, non solo competenze tecniche solide, ma anche la capacità di orientarsi con autonomia in situazioni complesse e non standardizzate. La figura che cerchiamo è abituata a confrontarsi con scenari reali, a gestire l'incertezza con metodo e a portare soluzioni pragmatiche laddove i framework da soli non sono sufficienti.

Non è richiesta la perfezione del percorso, ma la sostanza dell'esperienza.

Responsabilità principali

Attività su progetti cliente • Conduzione di risk assessment e risk treatment in autonomia, con padronanza delle principali metodologie quantitative e qualitative (ISO 31000, OCTAVE, FAIR, NIST RMF) • Gap analysis e definizione di roadmap di adeguamento rispetto ai principali framework di riferimento, tra cui NIST CSF, CIS Controls, NIS2, DORA, GDPR • Gestione di progetti volti a supportare i Clienti nell’ottenimento/mantenimento end-to-end delle certificazioni di settore (es.: ISO 27001, 22301, 20001,9001) • Gestione delle attività GRC in ambienti cloud e ibridi, con conoscenza applicata dei modelli di responsabilità condivisa (AWS, Azure, GCP) e dei framework specifici quali CSA CCM (Cloud Controls Matrix) , ISO 27017 , ISO 27018 e NIST SP 800-53 • Valutazione dei rischi associati all'adozione di servizi cloud, inclusi aspetti di data residency, vendor lock-in, supply chain risk e gestione degli accessi privilegiati • Supporto alla definizione e implementazione di Cloud Security Posture Management (CSPM) e relativi controlli di conformità • Interfaccia diretta e continuativa con i referenti cliente a livello tecnico e direzionale, con capacità di adattare registro e contenuto agli interlocutori

Compliance e certificazioni interne • Presidio e mantenimento del sistema di gestione integrato aziendale, con riferimento alle certificazioni ISO 27001, ISO 9001 e SA8000 • Gestione del ciclo documentale, delle non conformità, dei piani di trattamento del rischio e delle azioni correttive • Coordinamento con i referenti interni e con gli organismi di certificazione in occasione di audit di prima, seconda e terza parte • Supporto alla Direzione nella definizione e aggiornamento delle politiche di governance, sicurezza delle informazioni e miglioramento continuo • Monitoraggio dell'evoluzione normativa e regolamentare rilevante, con valutazione dell'impatto sul sistema di gestione aziendale

Requisiti richiesti • Esperienza professionale di almeno 10 anni in ambito GRC, information security, compliance o audit, maturata in contesti consulenziali strutturati o in organizzazioni di medie e grandi dimensioni • Conoscenza approfondita e applicata — non meramente teorica — dei principali framework e standard: ISO 27001, ISO 9001, SA8000, NIST CSF, CIS Controls, GDPR, NIS2, DORA • Esperienza diretta nella conduzione e nel presidio di audit di certificazione, in qualità di referente e non esclusivamente di supporto su Clienti di diverse Industries, diverse Complessità organizzativa e maturità • Conoscenza dei principali framework GRC applicati agli ambienti cloud: CSA CCM, ISO 27017/27018, NIST SP 800-53, CIS Benchmarks per i principali provider (AWS, Azure, GCP) • Familiarità con i temi di Cloud Governance: gestione delle identità e degli accessi (IAM), segregation of duties in ambienti cloud, continuous compliance monitoring • Capacità di gestione parallela di più progetti e priorità, con approccio strutturato e orientamento al risultato • Spiccate capacità di redazione documentale, con esperienza nella produzione di policy, procedure, report direzionali e deliverable consulenziali • Fluenza in lingua italiana e inglese professionale, scritto e parlato • Interesse o conoscenza di base delle implicazioni di sicurezza e compliance legate all'intelligenza artificiale (AI Act europeo, OWASP Top 10 for LLM, etc.)

Elementi preferenziali • Aver seguito almeno un ciclo completo di certificazione ISO 27001 — dalla fase di implementazione iniziale fino al rinnovo triennale • Esperienza su framework settoriali quali TISAX, PCI-DSS, SOC 2 Type II • Conoscenza di strumenti GRC e piattaforme di compliance automation (es. OneTrust, ServiceNow GRC, Archer, Vanta) • Esperienza in progetti di adeguamento NIS2 o DORA, con particolare riferimento a organizzazioni in settori regolamentati • Conoscenza dell'AI Act europeo e delle sue implicazioni in ambito cybersecurity (valutazione rischi per sistemi AI, requisiti per high-risk AI, integrazione con framework GRC) • Aver operato in contesti internazionali o con clienti in settori ad elevata regolamentazione (financial services, healthcare, pubblica amministrazione) • Certificazioni professionali rilevanti: CISM, CRISC, CISSP, ISO 27001 Lead Auditor/Implementer, CCSP (Certified Cloud Security Professional)

Cosa ti offriamo • Inserimento diretto con inquadramento e retribuzione commisurati all'effettiva seniority e al profilo del candidato • Coinvolgimento su progetti diversificati in termini di settore, dimensione e complessità • Contesto professionale in crescita, con possibilità di contribuire attivamente alle scelte metodologiche e allo sviluppo delle practice interne • Smart Working / Benefit aziendali