Fineco Bank, gruppo bancario leader in Europa, è alla ricerca di un Cybersecurity Incident Response Lead per la sede di Milano.

Posizione

Cerchiamo un Cybersecurity Incident Response Lead da inserire nel Dipartimento ICT & Cybersecurity. La figura presidia end-to-end il programma IR, guida il coordinamento operativo durante gli incidenti e assicura verso il management una vista chiara su stato, impatto, decisioni di contenimento, rischi residui e azioni di recovery. Lavora a stretto contatto con SOC, team tecnologici e funzioni di governance, orchestrando contributi specialistici anche da team che non riportano gerarchicamente alla funzione Cybersecurity.

Non è un ruolo di SOC shift management né una posizione puramente forense o di compliance. Il focus è coordinare la risposta agli incidenti, maturare il programma IR, orchestrare i team tecnici coinvolti e tradurre l’evento cyber in decisioni operative, comunicazione manageriale ed evidenze auditabili.

Principali attività:

  • Guidare il coordinamento operativo della risposta agli incidenti di sicurezza: triage, priorità di contenimento, ricostruzione di vettore iniziale, kill chain, propagazione e blast radius, fino al coordinamento delle fasi di eradicazione e recovery con i team owner.
  • Mantenere durante gli incidenti una timeline operativa e un decision log strutturato, tracciando ipotesi, decisioni di contenimento, owner, evidenze disponibili e rischi residui.
  • Costruire, mantenere e testare il programma IR: playbook, runbook, procedure di escalation, ruoli e responsabilità, criteri di classificazione degli incidenti e meccanismi di aggiornamento continuo.
  • Contribuire all’evoluzione delle capacità di detection e response, definendo con il SOC i requisiti derivanti da incidenti reali, tabletop exercise e threat intelligence: nuovi use case, tuning delle regole, riduzione dei falsi positivi, miglioramento dei workflow SIEM/SOAR/EDR/XDR.
  • Integrare threat intelligence nel ciclo IR: tradurre indicatori di compromissione, TTP e scenari di minaccia in azioni concrete di detection, hunting, containment e hardening.
  • Condurre post-incident review strutturate: root cause analysis, misurazione dell’impatto, lesson learned, remediation roadmap e follow-up con team tecnici e management.
  • Pianificare e guidare esercitazioni periodiche, tabletop, simulazioni di crisi, sessioni collaborative con SOC, red team e blue team, per testare maturità del programma, qualità delle escalation e prontezza operativa.
  • Supportare, in raccordo con le funzioni di governance, la classificazione degli incidenti ICT/cyber ai fini regolamentari, la raccolta delle evidenze operative, la ricostruzione della timeline e la predisposizione degli elementi tecnici necessari per eventuali escalation o notifiche formali.
  • Produrre reporting tecnico e sintesi executive durante e dopo gli incidenti, assicurando una comunicazione chiara, tempestiva e coerente verso management, funzioni di governance e team operativi.

Requisiti

  • Almeno 7 anni di esperienza in incident response, security operations o cyber crisis management, con esperienza dimostrabile nel coordinamento operativo di incidenti di sicurezza in contesti enterprise complessi.
  • Padronanza operativa dei principali framework IR: ISO/IEC 27035, SANS IR Process, NIST SP 800-61 o equivalenti; utilizzo di MITRE ATT&CK per analisi delle TTP, gap detection e miglioramento dei controlli di detection/response.
  • Esperienza pratica con SIEM, EDR/XDR enterprise, strumenti di analisi forense e workflow di incident handling.
  • Solida conoscenza di reti, protocolli, log di sistema/applicativi e tecniche di analisi del traffico, con capacità di ricostruire vettori di attacco, lateral movement, escalation di privilegi e persistenza.
  • Capacità di scripting e automazione, preferibilmente Python, per supportare triage, enrichment, raccolta evidenze, automazione di task ripetitivi e personalizzazione di workflow di detection/response.
  • Conoscenza delle superfici di attacco in ambienti ibridi on-prem/cloud, con familiarità su log nativi AWS/Azure, identità cloud, workload containerizzati, scenari di propagazione e principali tecniche di containment.
  • Capacità di prendere decisioni operative di contenimento con informazioni incomplete, pressione temporale elevata e impatti potenziali su servizio, business e continuità operativa.
  • Capacità di comunicare lo stesso incidente con registri diversi: tecnico-operativo con SOC e team infrastrutturali/applicativi; sintetico, risk-based e decision-oriented verso management e governance.
  • Capacità di orchestrare team che non riportano gerarchicamente alla funzione Cybersecurity, facendo leva su processo, autorevolezza tecnica, chiarezza delle priorità e qualità della comunicazione.
  • Ottima conoscenza della lingua inglese.

Gradite:

  • Certificazioni: GCIH, GCFE o GCIA (GIAC) o simili
  • Conoscenza approfondita di ambienti Windows/Linux enterprise e Active Directory — utile per investigazioni su lateral movement e privilege escalation
  • Esperienza in ambito bancario o Financial Services regolamentato
  • Esposizione a threat intelligence platform (MISP, OpenCTI e simili) e tecniche di threat hunting proattivo
  • Esperienza nella gestione di major incident, cyber crisis exercise o war room operative in contesti regolamentati.
  • Familiarità con processi di classificazione, escalation e reporting regolamentare degli incidenti ICT/cyber in ambito finanziario.

Altre informazioni

COSA OFFRIAMO

  • Ruolo ad alta visibilità su infrastruttura tecnologica mission critical: piattaforma proprietaria, core banking e brokerage usati da 1,8 milioni di clienti in tempo reale
  • Contesto tecnico ibrido di reale complessità on-prem/cloud, dove un incidente ha impatto diretto e immediato sul business
  • Esposizione a processi regolamentari strutturati (DORA)
  • Responsabilità dirette su un perimetro d’azione rilevante, all’interno di una funzione ICT & Cyber con peso strategico per la Banca
  • Team tecnico di alto profilo, cultura orientata al problem solving

Sede di lavoro: Milano (alternanza presenza in sede e smart working)

Per ulteriori informazioni e per candidarti, visita la pagina ufficiale:

https://finecobank.intervieweb.it/jobs/cybersecurity-incident-response-lead-127863/en/

 

 

 

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: