Terna, gestore della rete di trasmissione nazionale (RTN), è impegnata nel processo di transizione ecologica e come regista del sistema elettrico e abilitatore della Twin Transition (transizione energetica e innovazione digitale), ha il compito di sviluppare una rete in grado di gestire una sempre migliore integrazione delle rinnovabili e consentire la progressiva decarbonizzazione del sistema, garantendo al contempo il costante bilanciamento tra energia prodotta e consumata. 

Vuoi essere protagonista della transizione energetica e vuoi dare il tuo contributo per la costruzione del sistema energetico di domani?

Terna, è alla ricerca di una persona da inserire nel ruolo di Offensive Security Specialistper la sede di Roma.

Attività Principali 

Il/la candidato/a sarà coinvolto/a si occuperà di:

• Supporto alle attività di Penetration Test e Vulnerability Assessment in ambito ICT classico
• Supporto alle attività di Penetration Test e Vulnerability Assessment in ambito industriale (OT) e dei sistemi embedded
• Supporto alla progettazione e realizzazione di reportistica orientata alle vulnerabilità applicative (Report Applicazioni)
• Supporto alla gestione dei Piani di Rientro relativi alle attività di assessment effettuate dell’unità
• Supporto nella gestione delle infrastrutture di VMS aziendale Security Center di Tenable e di PT Pentera
• Progettazione, sviluppo e gestione di strumenti necessari al monitoraggio dei piani di rientro;
• Progettazione, sviluppo e gestione di strumenti necessari alle attività di Penetration Test con gli strumenti Open Source e quelli attualmente in uso (Metasploit, Pentera...) e loro interfacciamento con il sistema di reportistica centralizzato;
• Progettazione e Sviluppo di interfacce verso strumenti aziendali per gestione delle attività di VA/PT (ARCHER, ServiceNow, Splunk, CMDB, IPAM, etc.) e per la produzione della relativa reportistica.

Requisiti necessari

• Laurea triennale STEM con esperienza nel ruolo di almeno 5 anni o Laurea Magistrale con almeno 3 anni di esperienza;
• Qualifiche: Offensive Security Specialist, Security Analyst, Penetration Tester, Red Team Operator;
• Sono richieste sia competenze di tipo tecnico nella valutazione di scenari di attacco variegati e potenzialmente complessi, nell’impiego di informazioni di threat intelligence raccolte o recepite, nella valutazione delle minacce per il contesto di Terna, ma anche comunicative nel suggerire possibili contromisure da adottare, nel produrre la relativa reportistica e proporre proattivamente azioni atte a mitigare il rischio residuo.

È richiesta esperienza in:

• tematiche di Vulnerability Assessment e Penetration Test, in particolare si richiede al candidato di aver maturato almeno 5 anni di esperienza per infrastrutture critiche italiane o internazionali sia in ambito Information Technology (IT) e Operational Technology (OT)
• progettazione e sviluppo di connettori/parser per permettere l’integrazione di nuove data provider da interfacciare alla piattaforma di reporting;
• proposizione e gestione di piani di rientro e nella verifica della corretta attuazione delle misure previste;
• valutazione nella applicazione di meccanismi di controllo, secondo gli standard, le best practice internazionali di riferimenti e le policy/procedure di sicurezza di Terna
• applicazione delle metodologie e degli standard ISO in materia di Risk Assessment e Risk Treatment, e degli strumenti a supporto per le due fasi del processo di gestione del rischio;
• attività di analisi forensi, sia in ambito computer che in ambito mobile;
• attività di malware analysis (ad es. tramite sandoboxing, …) e reverse engineering;
• attività di reverse engine di dispositivi embedded al fine di individuarne le vulnerabilità;
• redazione della documentazione a supporto per i processi di assessment rispetto alle normative applicabili e standard di sicurezza internazionali;
• comprensione avanzata di architetture IT, crittografia, reti, sistemi operativi e sicurezza delle applicazioni, a seconda dell'ambito di valutazione (hardware/software);
• conformità ISO/IEC 17025, ovvero capacità di operare in conformità agli standard di qualità per i laboratori di prova.

In particolare, si richiedono al candidato conoscenze:

• Delle principali metodologie utilizzate per scoring delle vulnerabilità e delle minacce informatiche;
• Approfondita dei sistemi operativi Linux, Windows, Unix
• Approfondita in ambito networking e dei principali protocolli di comunicazione (ad es. TCP/IP, UDP, IPSEC, HTTP, HTTPS, protocolli di routing, etc.)
• Di tecniche e linguaggi di programmazione di scripting (con particolare riferimento a Python e bash)
• Dei principali standard di gestione della sicurezza delle informazioni (ISO 27001, NIST 800-53, COBIT etc.)
• Della normativa sulla Privacy/GDPR e dei Provvedimenti del Garante, sia in ambito Italiano che Europeo
• Dei processi, delle procedure operative IT e dei sistemi di controllo in ambito IT
• Delle principali architetture infrastrutturali ed applicative tipiche di una large enterprise
• Nella definizione di KPI/KRI di monitoraggio della sicurezza

Per i candidati sono richieste le certificazioni di settore con livello "professional" e/o "expert". Si riporta di seguito un elenco esemplificativo, ma non esaustivo:

• OSCP - OffSec Certified Professional
• OSWE - OffSec Web Expert
• OSEP - OffSec Experienced Penetration Tester
• BSCP - Burp Suite Certified Practioner
• CRTP - Certified Red Team Professional
• CRTE - Certfied Red Team Expert
• CRTO - Certified Red Team Operator
• CRTL - Certfied Ret Team Lead
• OPST OSSTMM Professional Security Tester (ISECOM)
• OPSA OSSTMM Professional Security Analyst (ISECOM)
• eCPPT (eLearnSecurity Certified Professional Penetration Tester)
• sCRE (eLearnSecurity Certified Reverse Engineer)
• CIFI - Certified Information Forensics Investigator
• CFIP - Certified Forensic Investigation Professional
• CISA - Certified Information Security Auditor
• CISSP - Certified Information System Security Professional
• CISM - Certified Information Security Manager

Costituiscono titolo preferenziale

• Conoscenza Approfondita dei Common Criteria (ISO/IEC 15408): Comprensione teorica e pratica dello standard, inclusi i livelli di garanzia (EAL), i componenti di sicurezza, i profili di protezione (PP) e i Security Target (ST).
• Metodologia di Valutazione (CEM - ISO/IEC 18045): Abilità nell'applicazione delle metodologie per la valutazione dei prodotti ICT, valutando se le funzioni di sicurezza soddisfano gli obiettivi dichiarati e le minacce.
• Analisi delle Vulnerabilità e Testing: Capacità di identificare vulnerabilità note, analizzare la documentazione tecnica, condurre test di penetrazione e verifica funzionale sull'oggetto della valutazione (TOE - Target of Evaluation).
• Conoscenza dei Sistemi EUCC: Padronanza delle nuove linee guida e regole per la certificazione europea basata sul Regolamento Delegato (UE) 2024/1305 (EUCC), subentrato allo schema nazionale italiano.

Conoscenze linguistiche:

• Buona conoscenza della lingua inglese parlata e scritta

Capacità e attitudini personali:

• Attitudine al problem solving, spiccate capacità di analisi, forte approccio analitico e root cause analysis.
• Capacità di lavorare in team in ambiti complessi.
• Completano il profilo ottime capacità comunicative, precisione, autonomia organizzativa e uno spiccato orientamento al raggiungimento dei risultati.

Sede di lavoro
Roma, Via Attilio Benigni

Offriamo un contesto in cui le persone possano in modo efficace collaborare, essere intraprendenti e partecipare alla costruzione di un ambiente di lavoro innovativo e orientato al benessere organizzativo. Siamo impegnati a valorizzare l'unicità di tutti in una comunità di lavoro inclusiva e a prendere in considerazione le candidature con le qualifiche richieste, offrendo pari opportunità di lavoro.​ Assicuriamo a tutte le nostre persone un programma di on boarding, sessioni di training mediante Terna Academy e processi di sviluppo per il miglioramento personale.  

È possibile candidarsi entro e non oltre il 22/04/2026 cliccando su “Candidati ora”. Referente per la selezione: Simona Sapio - talentacquisition@terna.it

Ricordiamo che i CV inviati tramite e-mail non verranno presi in considerazione. I candidati considerati in linea con il profilo saranno contattati nelle prossime settimane. Ringraziamo tutti gli altri che hanno inviato la propria candidatura per l’interesse dimostrato verso il nostro Gruppo e confermiamo che la candidatura sarà tenuta in considerazione nel caso di ulteriori future opportunità professionali.