Avviso pubblico per l’assunzione a tempo indeterminato di un IT Security Consultant - Rif. ARIA2022_CSI01
Codice: SRMF8002022027047
Domande dal: 11/08/2022 , ore 10:00
Scade il: 19/10/2022 , ore 16:00
ARIA S.p.A., con la sua struttura GOVERNO DELLA SICUREZZA DELLE INFORMAZIONI, opera per definire una metodologia comune all’interno del Sistema Regionale per promuovere un approccio al rischio informatico nel ciclo di vita end-to-end di un servizio.
Leggi di piùCodice: SRMF8002022027047
Domande dal: 11/08/2022 , ore 10:00
Scade il: 19/10/2022 , ore 16:00
Scheda informativa
-
Requisiti minimi di ammissione:
- essere in possesso di laurea triennale (da allegare). I candidati in possesso di un titolo di studio conseguito all’estero devono indicare gli estremi del provvedimento con il quale detto titolo posseduto è stato riconosciuto equipollente al corrispondente titolo di studio italiano richiesto dal presente avviso di selezione;
- essere cittadino italiano o di uno degli stati membri dell’Unione Europea con un'adeguata conoscenza della lingua italiana;
- aver raggiunto la maggiore età e non aver raggiunto il limite massimo previsto per il collocamento a riposo d'ufficio;
- godere dei diritti civili e politici, anche negli Stati di appartenenza o provenienza, secondo le vigenti disposizioni di legge;
- non essere stato escluso dall'elettorato politico attivo;
- assenza di condanne penali che impediscano, ai sensi delle vigenti disposizioni in materia, la costituzione del rapporto d’impiego con la pubblica amministrazione;
- non essere stato destituito o dispensato dall'impiego presso una pubblica amministrazione e/o presso soggetti privati tenuti ad ottemperare a normative di carattere pubblicistico in materia di assunzione di personale, per persistente insufficiente rendimento ovvero essere stato licenziato per motivi disciplinari;
- non essere decaduto da un impiego pubblico e/o licenziato presso soggetti privati tenuti ad ottemperare a normative di carattere pubblicistico in materia di assunzione di personale, per aver prodotto documenti falsi o viziati da invalidità non sanabile;
- non trovarsi in conflitto di interessi con ARIA S.p.A. per aver assunto incarichi o prestazioni di consulenza avverso l’interesse dell’Azienda;
- essere in regola con le norme concernenti gli obblighi di leva per i cittadini soggetti a tale obbligo o essere stato dispensato;
- non essere in corso nei divieti di cui all’art.53, comma 16-ter, del D.Lgs 165/2001;
- possedere tutti i requisiti minimi sopra citati, in mancanza dei quali non sarà ammissibile alle successive fasi di valutazione e assegnazione del punteggio.
Il mancato possesso dei requisiti minimi dichiarati dai candidati nella domanda di ammissione alla selezione comporta l’automatica esclusione dalla selezione stessa, ferma restando la responsabilità individuale prevista dalla vigente normativa in caso di dichiarazioni mendaci.
Si rimanda al paragrafo “Procedura di selezione” per i requisiti specifici richiesti per la posizione che saranno oggetto di valutazione.
-
La struttura di riferimento ha la responsabilità della Security governance risk management sia dell’azienda che per conto di Regione Lombardia:
- valuta i rischi e definisce le policies applicabili;
- effettua l’analisi dei rischi anche per gli enti sanitari;
- governa la sicurezza in costante raccordo con l’agenzia sulla cybersecurity nazionale e con tutti gli organi nazioni e locali preposti;
- diffonde conoscenza sulle tematiche di sicurezza informatica;
- stimola ad adottare strumenti e practice;
- governa le infrastrutture di sicurezza;
- controlla e verifica l’applicazione delle regole e linee guida definite.
La risorsa che ricerchiamo ricoprirà il ruolo di IT Security Consultant e verrà inserita nella struttura organizzativa Governo della Sicurezza delle Informazioni della Divisione Compliance e Innovazione dei Servizi supportando l’IT Security Consultant senior nelle sue principali attività.
Il ruolo trasversale dell’area, a supporto delle UO verticali, richiede:
- buone capacità relazionali ed interpersonali;
- di aver sviluppato buone doti di resilienza adattandosi velocemente ai cambi di priorità e gestendo eventuali sovrapposizioni garantendo, nel contempo, puntualità e precisione nell’esecuzione delle attività loro assegnate;
- nel processo continuo di formazione, velocità nell’apprendere il know-how trasferito.
Le principali aree di responsabilità sono:
- Definire ed assicurare l'implementazione delle procedure connesse alla sicurezza dei sistemi informatici e del patrimonio informativo;
- garantire la compliance tra le attività di security governance e le policies di governo dell’organizzazione;
- assicurare l’implementazione di analisi funzionali e di processo finalizzate all'individuazione dei potenziali rischi di perdita/violazione dei dati e/o interruzione dei servizi, secondo il piano di prevenzione definito;
- elaborare e portare ad approvazione piani, procedure e strumenti per assicurare la protezione attiva e passiva dei dati e delle risorse, in termini di confidenzialità (accessi non autorizzati), integrità (perdita o modifica anche accidentale);
- promuovere, informare e sensibilizzare l'organizzazione sull'implementazione e il rispetto delle procedure connesse con la sicurezza dei sistemi informatici e del patrimonio informativo.
Solo i CV in possesso di tutti i requisiti minimi (come illustrato nel paragrafo “Chi può partecipare”) saranno ammissibili per le successive fasi di valutazione e di assegnazione del punteggio. La valutazione avviene sulle dichiarazioni rilasciate nel CV.
-
La domanda di partecipazione può essere presentata, a partire dalle ore 10:00 del 11/08/2022 ed entro e non oltre le ore 16:00 del 19/10/2022, esclusivamente online, attraverso il sistema informativo di Regione Lombardia dedicato ai bandi www.bandi.regione.lombardia.it per accedere al quale occorre registrarsi e autenticarsi:
- per i cittadini italiani sia residenti in Italia che all’estero, e per i soggetti stranieri residenti in Italia iscritti al servizio sanitario nazionale:
- con il PIN della tessera sanitaria CNS (in tal caso sarà necessario quindi aver richiesto il PIN presso uno degli sportelli abilitati presenti nella Regione di appartenenza, portando con sé la tessera sanitaria e un documento d’identità valido e di essersi dotati di un lettore di smartcard e di aver caricato sul proprio computer il software per il suo utilizzo);
- con lo SPID (Sistema Pubblico di Identità Digitale https://www.spid.gov.it/).
Le modalità di attribuzione dello SPID per ciascun Identity Provider sono comunque immediatamente visibili sul sito: https://www.spid.gov.it/richiedi-spid e, con specifico riferimento agli italiani all’estero, si consiglia di visitare il link https://www.spid.gov.it/domande-frequenti (“Può avere SPID anche un cittadino italiano residente all’estero?”)
A seguito dell’inserimento nel sistema informativo dei dati richiesti, verrà automaticamente generata la domanda di adesione che non richiederà la sottoscrizione da parte del presentatore nel caso di accesso tramite CNS o SPID. Dopo aver preso visione della domanda generata dal sistema e avendo verificato la correttezza di tutte le dichiarazioni presenti nella stessa, si potrà procedere all’invio della domanda al protocollo.
- per i SOLI candidati appartenenti a paesi membri dell’Unione europea di cittadinanza non italiana, che non hanno la residenza in Italia, tramite registrazione e autenticazione al sistema informativo sopra citato con username e password.
La domanda di partecipazione dovrà essere corredata da:
- fotocopia di un documento di identità in corso di validità, per i SOLI candidati appartenenti a paesi membri dell’Unione europea di cittadinanza non italiana, che non hanno la residenza in Italia, e che si autenticano al sistema informativo sopra citato con username e password;
- curriculum vitae in lingua italiana;
- attestato del titolo di studio.
Alle dichiarazioni rese nel Curriculum vitae si riconosce valore di autocertificazione ai sensi e per gli effetti del DPR n. 445/2000 s.m.i., pertanto non è richiesto al candidato di allegare tutta la documentazione a comprova di quanto dichiarato, fermo restando che ARIA S.p.A. si riserva di richiedere tutta la documentazione inerente i requisiti dichiarati e/o di procedere alla verifica delle dichiarazioni rese prima dell’assunzione e che, in caso di falsa dichiarazione, procederà a denunciare l’accaduto alle competenti autorità, con riserva di agire per il risarcimento dei danni subiti.
La Commissione di Selezione di cui al paragrafo “Procedura di selezione” si riserva, in ogni caso, di verificare, anche a campione e in ogni fase della procedura, la veridicità delle dichiarazioni rese e attestate dai candidati in fase di presentazione del CV e di tutte le dichiarazioni ad esso eventualmente allegate.
Non verranno prese in considerazione e saranno escluse le domande:
- pervenute oltre i termini previsti dall’Avviso;
- incomplete;
- prive del Curriculum vitae o che alleghino un CV in formato illeggibile;
- contenenti documentazione e informazioni che non risultino veritiere.
Tutti i dati personali trasmessi dai candidati con l’istanza di partecipazione alla selezione, ai sensi del GDPR e del D.lgs. n. 196/2003 s.m.i., saranno trattati esclusivamente ai fini della selezione e dell’affidamento dell’incarico presso la Società.
La presentazione della domanda di partecipazione alla presente procedura ha valenza di piena accettazione delle condizioni riportate nell'avviso.
Ai sensi della normativa vigente, la ricerca si intende estesa a entrambi i sessi. (L 903/77).
-
Le candidature pervenute saranno valutate da un’apposita Commissione, istituita dopo la scadenza del termine del presente avviso, mediante valutazione e comparazione dei curricula e dei colloqui individuali, sulla base dei requisiti definiti nel presente avviso e, in particolare, tenendo conto della qualificazione professionale, delle esperienze maturate nel settore di riferimento, delle competenze tecniche e specialistiche.
Saranno ammessi a valutazione tutti quei CV in possesso dei requisiti minimi. Le valutazioni saranno effettuate assegnando un massimo di 100 punti così suddivisi:
- Per la valutazione su titoli e dichiarazioni dal CV, saranno assegnati da 0 punti fino a 60 punti secondo una scala incrementale definita dalla Commissione;
- fino a 40 punti complessivi per il colloquio che mirerà a verificare la candidatura nel suo complesso e la documentazione a supporto richiesta oltre al CV. La Commissione potrà definire il criterio con cui attribuire il punteggio allo scopo di valorizzare le esperienze professionali più significative rispetto alla posizione.
Requisiti specifici richiesti per l’ammissione alla lista di idoneità con punteggio massimo maturabile 60 punti:
Oggetto di valutazione è il possesso dei requisiti di seguito illustrati, ai quali viene riconosciuto un punteggio massimo di 60 su 100 punti totali così distribuiti:
Requisito 1 - Formazione (massimo 7 punti): oggetto di valutazione saranno i percorsi formativi aggiuntivi (laurea magistrale, master, corsi intensivi, laurea aggiuntiva, etc.) rispetto al requisito minimo di laurea Triennale.
I percorsi di studio in ambito ICT come le specializzazioni post-universitarie in Cyber Security costituiscono titolo preferenziale.
Requisito 2 - Esperienza nella PA (massimo 5 punti): è richiesta un’esperienza minima di 1 anno all’interno di una società a controllo pubblico.
L’esperienza deve essere espressamente dichiarata nel CV.
Requisito 3 - Esperienza specifica (massimo 20 punti): é richiesta un’esperienza lavorativa minima di 5 anni in ruoli similari a quello previsto dal presente avviso maturata in società di consulenza e/o grandi realtà del settore ICT.
L’esperienza deve essere espressamente dichiarata nel CV.
Requisito 4 - Competenze e conoscenze (massimo 15 punti): oggetto di valutazione sarà il grado di conoscenza di:
- tematiche di Security Governance (policies, processi, metodologie);
- strumenti e metodologie di Risk Assessment, Risk Management, Remediation;
- strumenti e metodologie relativi alle tematiche DevSecOps e Application Security (come DAST, SAST, CI-CD pipeline);
- principali framework, metodologie e standard internazionali di Information Security e Risk Management (come ISO/IEC 27001, NIST, PCI DSS, GDPR, ecc.).
La presenza di attestati di partecipazione a corsi o di certificazioni rilasciate da Enti accreditati costituiscono elementi preferenziali nelle valutazioni.
Requisito 5 - Lingua inglese (massimo 5 punti): é richiesta una buona conoscenza della lingua inglese (comprensione orale e scritta).
La presenza di attestati di partecipazione a corsi o di certificazioni rilasciate da Enti accreditati da cui si evincono il possesso di tale requisito, costituiscono elementi preferenziali nelle valutazioni.
Requisito 6 – Ulteriori requisiti (massimo 8 punti):
- Formazione specifica e/o esperienza nella conduzione di progetti complessi;
- conoscenza di soluzioni tecnologiche di sicurezza informatica (ad esempio Firewall, SIEM, Identity&Access Governance, Data Security&Protection, IDS/IPS, Fraud Detection, Data Masking&Tokenization, PKI);
- conoscenza degli approcci di implementazione di un sistema di gestione della SICUREZZA dei sistemi informatici e del patrimonio informativo e certificazioni in ambito (come CISSP, ISO/IEC 27001 Lead Implementer, IAPP Certified Information Privacy Technologists);
- conoscenza modelli di valutazione dei rischi di sicurezza e certificazione di risk management (come CRISC, CAP);
- certificazioni e training in ambito DevSecOps (come CSSLP, DevSecOps Foundation-Practitioner, GIAC Cloud Security Automation).
La presenza di attestati di partecipazione a corsi o di certificazioni rilasciate da Enti accreditati da cui si evincono il possesso di questi requisiti, costituiscono elementi preferenziali nelle valutazioni della Commissione.
I suddetti requisiti (minimi di ammissione e specifici) devono essere posseduti alla data di scadenza stabilita dal bando di selezione per la presentazione delle domande e devono permanere alla data effettiva di assunzione.
Si precisa che, allo scopo di consentire una corretta valutazione da parte della Commissione, è importante che, a testimonianza del possesso del requisito, il candidato fornisca informazioni puntuali e mirate dalle quali avere riscontro diretto di quanto richiesto nel profilo, specificando ad esempio date, ruolo svolto, azienda/committente, risultati conseguiti (se personali o di gruppo) nonché allegando documentazione attestante il possesso del requisito specifico secondo quanto previsto dal presente avviso. In mancanza, la Commissione si riserva di fare le valutazioni con le sole informazioni presenti nel CV.
Colloquio con punteggio massimo maturabile di 40 punti
Saranno ammessi a colloquio tutti i candidati che la Commissione riterrà idonei sulla base di un punteggio minimo da Lei stessa definito.
Nel corso del, o dei colloqui, saranno valutati la candidatura nel suo complesso, i requisiti tecnici di cui al presente avviso, nonché le capacità personali richieste dal ruolo di cui al paragrafo “Di cosa si tratta”. Oggetto di valutazione saranno, inoltre, la capacità espositiva, la motivazione al cambiamento e l’interesse a ricoprire la posizione offerta.
La Commissione si riserva, inoltre, in ogni fase della procedura, di accertare la veridicità delle dichiarazioni rese dal candidato in particolare richiedendo referenze e/o attestazioni e/o somministrando prove scritte, ove ritenute necessarie.
Gli eventuali colloqui si concluderanno entro 3 mesi dalla pubblicazione del presente avviso. Le convocazioni dei candidati ammessi a colloquio saranno effettuate con un preavviso di 3 giorni.
Lista di idoneità:
La lista di idoneità avrà validità di 12 mesi dalla data di sua approvazione. Entro tale termine la società si riserva la facoltà di utilizzarla per ulteriori assunzioni, a tempo determinato o indeterminato, nella posizione di IT Security Consultant che dovessero essere dalla medesima deliberate.
Saranno ammessi alla lista di idoneità tutti i candidati che la Commissione riterrà idonei sulla base di un punteggio minimo complessivo, da Lei stessa definito, dato dalla somma dei punteggi ottenuti dalle valutazioni su titoli e dichiarazioni e dal colloquio.
In caso di parità di punteggio, prevarrà il candidato che ha inviato per primo la domanda di partecipazione.
-
Contratto proposto:
Si procederà all’assunzione di n. 1 persona da inserire ad un livello impiegatizio con contratto a tempo indeterminato, CCNL Terziario.
Disposizioni finali
E' fatta salva la facoltà di prorogare, prima della scadenza, il termine per la presentazione delle domande nonché di riaprire il termine, modificare, sospendere o revocare la procedura, ovvero di non darvi corso in tutto o in parte, a seguito di sopravvenuti vincoli legislativi e/o finanziari, o della variazione delle esigenze organizzative della società ovvero del non soddisfacente livello delle candidature selezionate.
Sede di lavoro: Azienda Regionale per l’Innovazione e gli Acquisti S.p.A., Milano, Via T. Taramelli, 26.
Struttura di riferimento: Governo della Sicurezza delle Informazioni di ARIA S.p.A.
Termine entro cui sarà reso noto l’esito della procedura: entro 3 mesi dalla chiusura del presente avviso.
Responsabile del Procedimento: Anna Marchi – Responsabile Selezione, Inserimento e Incentivazione Risorse Umane di Aria SpA.
Il Responsabile del Procedimento di questa procedura comparativa è inteso come Garante del corretto svolgimento dell'intera Procedura di Selezione nonché delle attività di supporto alla Commissione.
Per informazioni: Lavora.con.noi@ariaspa.it