Tester di penetrazione interno per la sicurezza informatica

Descrizione del lavoro

Il settore Information Security & BCM, sotto la guida del Group Chief Information Security Officer (CISO) e facente parte dell’organizzazione del Chief Operating Officer (COO), definisce, guida e coordina le attività relative alla sicurezza delle informazioni all’interno di EFG International e delle sue unità globali. Stiamo cercando un Cybersecurity Internal Penetration Tester per supportare il quadro di gestione dei rischi ICT e garantire la conformità ai requisiti normativi (FINMA, DORA e normative del settore finanziario pertinenti).

Compiti

Il candidato prescelto sarà responsabile dello svolgimento di valutazioni interne proattive della sicurezza dell'infrastruttura bancaria, delle applicazioni e dei controlli. Tra i compiti principali figurano:

• Pianificazione, definizione dell'ambito e esecuzione di test di penetrazione interni su piattaforme bancarie centrali e applicazioni aziendali, con particolare attenzione ai servizi che supportano funzioni critiche e fondamentali
• Sviluppo di scenari di test basati su modelli di minaccia realistici per il settore bancario (frodi, esfiltrazione di dati, escalation dei privilegi, movimenti laterali verso sistemi critici, ecc.)
• Esecuzione di test pratici su reti interne, server, dispositivi finali, applicazioni web, API, ambienti di lavoro cloud, Active Directory e altri sistemi infrastrutturali fondamentali
• Documentazione dei risultati in relazioni chiare e basate sul rischio, corredate di prove e raccomandazioni concrete rivolte a un pubblico sia tecnico che non tecnico
• Stretta collaborazione con i team responsabili delle infrastrutture, dello sviluppo, del DevOps e della gestione dei rischi per supportare i piani di risoluzione e i nuovi test, al fine di garantire che i risultati critici vengano monitorati e portati a termine nell'ambito dei processi del CISO e di governance
• Sviluppo e manutenzione di metodi di test interni, scenari di test e strumenti a supporto di valutazioni ripetibili ed efficienti
• Collaborazione con il team SOC o di risposta agli incidenti per individuare e migliorare le capacità di rilevamento e reazione
• Rimanere aggiornati sulle nuove minacce, vulnerabilità, TTP ecc. e sulla loro integrazione nei test interni

Requisiti

I requisiti includono:

• Esperienza nel campo della sicurezza informatica, dell'informatica o in settori affini
• 3-5 anni di esperienza pratica nel campo dei test di penetrazione o nel Red Team, con comprovata esperienza su reti interne, applicazioni web e API; l'esperienza nella sicurezza offensiva o difensiva costituisce un forte vantaggio
• Ottima conoscenza dei protocolli di rete, dei sistemi operativi (Windows, Linux) e delle tecnologie web e cloud; la familiarità con le architetture bancarie di base costituisce un vantaggio
• Padronanza dei principali strumenti e tecniche di attacco (ad es. Burp Suite, Metasploit, framework simili a Cobalt Strike, strumenti basati su Kali) e capacità di eseguire test manuali al di là dell'uso degli strumenti
• Conoscenza approfondita dei principi di programmazione sicura e delle vulnerabilità più comuni nelle applicazioni (ad es. OWASP Top 10) ai fini della valutazione di obiettivi web e API
• Certificazioni professionali quali OSCP, OSGP o altre certificazioni simili in materia di sicurezza offensiva, in regola
• Ottime capacità comunicative e capacità di spiegare risultati tecnici complessi