Descrizione azienda Il nostro cliente è una piattaforma no-code e self-provisioning che consente di creare agenti e modelli di intelligenza artificiale in tempo reale, destinati a istituzioni finanziarie, fintech e piattaforme di digital asset. L’azienda fornisce modelli decisionali agentic AI, spiegazioni audit-ready e avanzate capacità di modellazione per ambiti quali credit scoring, rilevazione frodi, risk modelling, churn prediction, customer retention, customer rating e molto altro. La loro missione è portare nel mondo TradFi e DeFi soluzioni decisionali basate su IA trasparenti, conformi, pronte per l’AI Act e ad alte prestazioni. Per utilizzare il prodotto non sono richieste competenze tecniche o di data science. Posizione Panoramica del Ruolo Siamo alla ricerca di una figura senior, operativa e hands‑on che assuma la piena responsabilità della progettazione, implementazione e gestione dei programmi di sicurezza delle informazioni, resilienza operativa e governance dell’intelligenza artificiale. Il ruolo ha responsabilità end‑to‑end e copre l’intero ciclo di vita dei framework di compliance e certificazione, con un forte orientamento all’integrazione nei processi aziendali. Ambiti di responsabilità principali: Progettazione e gestione dell’Information Security Management System (ISMS) Conduzione della certificazione ISO/IEC 27001 e degli audit di sorveglianza Implementazione della DORA e integrazione della resilienza operativa ICT Implementazione della conformità all’EU AI Act su prodotti e operazioni Progettazione e certificazione dell’AI Management System (ISO/IEC 42001) Questo ruolo non è una funzione di compliance isolata: la conformità è integrata nei processi aziendali, non aggiunta a posteriori. Contesto Organizzativo e Collaborazioni La persona selezionata opererà con il supporto diretto di: CEO – sponsorship esecutiva, allineamento strategico, autorità in ambito audit CTO – architettura tecnica, controlli di sicurezza, processi di ingegneria System Administrator / Infrastructure Lead – cloud, accessi, operazioni Head of Data Science – ciclo di vita dell’AI, governance dei modelli, validazione Consulenti esterni Roadmap di Certificazione e Regolamentazione (Obiettivo Primario) Il ruolo guiderà la realizzazione dei seguenti obiettivi, in sequenza: ISO/IEC 27001 – certificazione iniziale, messa in esercizio dell’ISMS e audit readiness DORA – gestione del rischio ICT, test di resilienza, incident reporting EU AI Act – governance dell’AI basata sul rischio, controlli di lifecycle e post‑market monitoring ISO/IEC 42001 – certificazione e mantenimento dell’AI Management System Responsabilità Principali 1. Information Security Management System (ISO/IEC 27001) Ownership dell’ISMS Progettare, implementare e mantenere l’ISMS in conformità alla ISO/IEC 27001 Definire ambito, contesto e parti interessate dell’ISMS in collaborazione con il management Stabilire e mantenere: Statement of Applicability (SoA) Metodologia di risk assessment e risk treatment Obiettivi di sicurezza e KPI Risk Management Condurre valutazioni del rischio di sicurezza delle informazioni con il contributo di: CTO e team di ingegneria System administration e infrastruttura Mantenere risk register e piani di trattamento del rischio Policy & Controlli Redigere e aggiornare policy e procedure di sicurezza Collaborare con CTO e System Admin per garantire l’effettiva applicazione tecnica dei controlli Assicurare che policy e controlli siano pratici, implementati e auditabili Audit e Certificazione Guidare gli audit di certificazione ISO 27001 (Stage 1 e Stage 2) Essere il punto di contatto principale per auditor ed enti di certificazione Coordinare le management review Gestire e chiudere le non conformità 2. Digital Operational Resilience Act (DORA) Rischio ICT e Resilienza Implementare la gestione del rischio ICT conforme a DORA Definire e testare procedure di resilienza, backup e disaster recovery Incident Management & Reporting Progettare processi di classificazione ed escalation degli incidenti Coordinare la risposta agli incidenti con i team tecnici Garantire il rispetto delle tempistiche di segnalazione regolamentare Third-Party Risk Collaborare con procurement, CTO e legal per la gestione del rischio dei fornitori ICT Garantire la supervisione dei fornitori ICT critici 3. Conformità all’EU AI Act Framework di AI Governance Definire il framework di governance dell’AI insieme all’Head of Data Science Classificare i sistemi AI e definirne lo scopo previsto Stabilire meccanismi di human oversight e controlli di mitigazione del rischio Lifecycle & Monitoring Integrare la governance AI in: Sviluppo dei modelli Pipeline di deployment Processi di change management Coordinare la gestione degli incidenti AI e il post‑market monitoring 4. AI Management System (ISO/IEC 42001) Ownership dell’AIMS Progettare e mantenere l’AI Management System Allineare l’AIMS all’ISMS per il riuso dei controlli Collaborare con l’Head of Data Science sulla governance del ciclo di vita dell’AI Certificazione e Audit Guidare gli audit di certificazione ISO/IEC 42001 Coordinare la raccolta delle evidenze e il coinvolgimento degli stakeholder Promuovere il miglioramento continuo 5. Integrazione tra Framework Normativi Allineare e riutilizzare i controlli tra: ISO/IEC 27001 DORA EU AI Act ISO/IEC 42001 Evitare duplicazioni attraverso un unico framework di controllo Garantire tracciabilità tra requisiti normativi e controlli 6. Tooling, Documentazione e Integrazione nei Processi Gestire strumenti GRC (es. Drata) Creare e mantenere: Policy Procedure Risk register Evidenze di controllo Integrare la compliance in: Ingegneria Sviluppo prodotto Onboarding fornitori Incident response Formare i team e diffondere la consapevolezza Requisiti Requisiti ed Esperienza Requisiti Obbligatori 3+ anni di esperienza in sicurezza delle informazioni, GRC o risk management Esperienza comprovata nella certificazione ISO/IEC 27001 end-to-end Solida conoscenza di: Framework di risk management Sicurezza cloud Software Development Lifecycle (SDLC) Esperienza di lavoro diretto con auditor e regolatori Requisiti Preferenziali Esperienza pratica nell’implementazione della DORA Esperienza in AI governance o AI risk management Familiarità con ISO/IEC 42001 o framework AI equivalenti Esperienza in settori regolamentati (fintech, SaaS, prodotti AI-driven) Competenze Chiave Profonda conoscenza degli standard dei sistemi di gestione Capacità di tradurre requisiti normativi in controlli operativi Eccellenti capacità di documentazione e scrittura di policy Forte stakeholder management Approccio pragmatico e risk-based (non orientato al semplice adempimento) Comfort nel lavorare a stretto contatto con team di ingegneria e prodotto Indicatori di Successo (12–18 mesi) ISO/IEC 27001 certificata e operativa Controlli DORA integrati nei processi aziendali Framework di conformità EU AI Act attivo e auditabile Certificazione ISO/IEC 42001 ottenuta Audit prevedibili, a basso attrito e ripetibili Altre informazioni Ruolo ad alta ownership in startup in rapida crescita. Flessibilità, possibilità di full remote. RAL offerta: circa 15% in più rispetto alla retribuzione attuale. Trasferte (2 giorni al mese ravvicinati) per meeting di team a Milano. Possibile partecipazione a workshop con clienti o conferenze a Milano. Milano, Italia IT - AI Expert #J-18808-Ljbffr