Offensive Security Specialist
Terna Visualizza tutti gli annunci
- Roma
- Tempo indeterminato
- Full time
- Supporto alle attività di Penetration Test e Vulnerability Assessment in ambito ICT classico
- Supporto alle attività di Penetration Test e Vulnerability Assessment in ambito industriale (OT) e dei sistemi embedded
- Supporto alla progettazione e realizzazione di reportistica orientata alle vulnerabilità applicative (Report Applicazioni)
- Supporto alla gestione dei Piani di Rientro relativi alle attività di assessment effettuate dell'unità
- Supporto nella gestione delle infrastrutture di VMS aziendale Security Center di Tenable e di PT Pentera
- Progettazione, sviluppo e gestione di strumenti necessari al monitoraggio dei piani di rientro;
- Progettazione, sviluppo e gestione di strumenti necessari alle attività di Penetration Test con gli strumenti Open Source e quelli attualmente in uso (Metasploit, Pentera...) e loro interfacciamento con il sistema di reportistica centralizzato;
- Progettazione e Sviluppo di interfacce verso strumenti aziendali per gestione delle attività di VA/PT (ARCHER, ServiceNow, Splunk, CMDB, IPAM, etc.) e per la produzione della relativa reportistica.
- Laurea triennale STEM con esperienza nel ruolo di almeno 5 anni o Laurea Magistrale con almeno 3 anni di esperienza;
- Qualifiche: Offensive Security Specialist, Security Analyst, Penetration Tester, Red Team Operator;
- Sono richieste sia competenze di tipo tecnico nella valutazione di scenari di attacco variegati e potenzialmente complessi, nell'impiego di informazioni di threat intelligence raccolte o recepite, nella valutazione delle minacce per il contesto di Terna, ma anche comunicative nel suggerire possibili contromisure da adottare, nel produrre la relativa reportistica e proporre proattivamente azioni atte a mitigare il rischio residuo.
- tematiche di Vulnerability Assessment e Penetration Test, in particolare si richiede al candidato di aver maturato almeno 5 anni di esperienza per infrastrutture critiche italiane o internazionali sia in ambito Information Technology (IT) e Operational Technology (OT)
- progettazione e sviluppo di connettori/parser per permettere l'integrazione di nuove data provider da interfacciare alla piattaforma di reporting;
- proposizione e gestione di piani di rientro e nella verifica della corretta attuazione delle misure previste;
- valutazione nella applicazione di meccanismi di controllo, secondo gli standard, le best practice internazionali di riferimenti e le policy/procedure di sicurezza di Terna
- applicazione delle metodologie e degli standard ISO in materia di Risk Assessment e Risk Treatment, e degli strumenti a supporto per le due fasi del processo di gestione del rischio;
- attività di analisi forensi, sia in ambito computer che in ambito mobile;
- attività di malware analysis (ad es. tramite sandoboxing, …) e reverse engineering;
- attività di reverse engine di dispositivi embedded al fine di individuarne le vulnerabilità;
- redazione della documentazione a supporto per i processi di assessment rispetto alle normative applicabili e standard di sicurezza internazionali;
- comprensione avanzata di architetture IT, crittografia, reti, sistemi operativi e sicurezza delle applicazioni, a seconda dell'ambito di valutazione (hardware/software);
- conformità ISO/IEC 17025, ovvero capacità di operare in conformità agli standard di qualità per i laboratori di prova.
- Delle principali metodologie utilizzate per scoring delle vulnerabilità e delle minacce informatiche;
- Approfondita dei sistemi operativi Linux, Windows, Unix
- Approfondita in ambito networking e dei principali protocolli di comunicazione (ad es. TCP/IP, UDP, IPSEC, HTTP, HTTPS, protocolli di routing, etc.)
- Di tecniche e linguaggi di programmazione di scripting (con particolare riferimento a Python e bash)
- Dei principali standard di gestione della sicurezza delle informazioni (ISO 27001, NIST 800-53, COBIT etc.)
- Della normativa sulla Privacy/GDPR e dei Provvedimenti del Garante, sia in ambito Italiano che Europeo
- Dei processi, delle procedure operative IT e dei sistemi di controllo in ambito IT
- Delle principali architetture infrastrutturali ed applicative tipiche di una large enterprise
- Nella definizione di KPI/KRI di monitoraggio della sicurezza
- OSCP - OffSec Certified Professional
- OSWE - OffSec Web Expert
- OSEP - OffSec Experienced Penetration Tester
- BSCP - Burp Suite Certified Practioner
- CRTP - Certified Red Team Professional
- CRTE - Certfied Red Team Expert
- CRTO - Certified Red Team Operator
- CRTL - Certfied Ret Team Lead
- OPST OSSTMM Professional Security Tester (ISECOM)
- OPSA OSSTMM Professional Security Analyst (ISECOM)
- eCPPT (eLearnSecurity Certified Professional Penetration Tester)
- sCRE (eLearnSecurity Certified Reverse Engineer)
- CIFI - Certified Information Forensics Investigator
- CFIP - Certified Forensic Investigation Professional
- CISA - Certified Information Security Auditor
- CISSP - Certified Information System Security Professional
- CISM - Certified Information Security Manager
- Conoscenza Approfondita dei Common Criteria (ISO/IEC 15408): Comprensione teorica e pratica dello standard, inclusi i livelli di garanzia (EAL), i componenti di sicurezza, i profili di protezione (PP) e i Security Target (ST).
- Metodologia di Valutazione (CEM - ISO/IEC 18045): Abilità nell'applicazione delle metodologie per la valutazione dei prodotti ICT, valutando se le funzioni di sicurezza soddisfano gli obiettivi dichiarati e le minacce.
- Analisi delle Vulnerabilità e Testing: Capacità di identificare vulnerabilità note, analizzare la documentazione tecnica, condurre test di penetrazione e verifica funzionale sull'oggetto della valutazione (TOE - Target of Evaluation).
- Conoscenza dei Sistemi EUCC: Padronanza delle nuove linee guida e regole per la certificazione europea basata sul Regolamento Delegato (UE) 2024/1305 (EUCC), subentrato allo schema nazionale italiano.
- Buona conoscenza della lingua inglese parlata e scritta
- Attitudine al problem solving, spiccate capacità di analisi, forte approccio analitico e root cause analysis.
- Capacità di lavorare in team in ambiti complessi.
- Completano il profilo ottime capacità comunicative, precisione, autonomia organizzativa e uno spiccato orientamento al raggiungimento dei risultati.
Roma, Via Attilio BenigniOffriamo un contesto in cui le persone possano in modo efficace collaborare, essere intraprendenti e partecipare alla costruzione di un ambiente di lavoro innovativo e orientato al benessere organizzativo. Siamo impegnati a valorizzare l'unicità di tutti in una comunità di lavoro inclusiva e a prendere in considerazione le candidature con le qualifiche richieste, offrendo pari opportunità di lavoro. Assicuriamo a tutte le nostre persone un programma di on boarding, sessioni di training mediante Terna Academy e processi di sviluppo per il miglioramento personale.È possibile candidarsi entro e non oltre il 22/04/2026 cliccando su “Candidati ora”. Referente per la selezione: Simona Sapio - talentacquisition@terna.itRicordiamo che i CV inviati tramite e-mail non verranno presi in considerazione. I candidati considerati in linea con il profilo saranno contattati nelle prossime settimane. Ringraziamo tutti gli altri che hanno inviato la propria candidatura per l'interesse dimostrato verso il nostro Gruppo e confermiamo che la candidatura sarà tenuta in considerazione nel caso di ulteriori future opportunità professionali.Candidati oraIniziaAttendi...Link utiliTERNA S.p.A. - Capitale sociale € 442.198.240 interamente versato - Sede Legale in Italia, Viale Egidio Galbani, 70 - 00156 Roma - Tel +39 06 83138111 Registro delle Imprese di Roma - Codice fiscale e Partita IVA 05779661007 - R.E.A. di Roma 922416