Governance, Risk and Compliance Analyst en Ia Interactive

Ingeniería en sistemas computacionales, Licenciatura en informática o carrera afín.

Mínimo 4 años de experiencia en implementación y operación de programas de gestión de riesgos de seguridad y operacionales. Evaluación de riesgos bajo marcos reconocidos como: NIST Risk Management Framework (RMF) o ISO/IEC. Análisis de amenazas y vulnerabilidades en ambientes híbridos (on-premise y cloud). Evaluación de impacto al negocio, análisis de criticidad y dependencia tecnológica. Elaboración de planes de tratamiento de riesgos e informes ejecutivos.

Actividades:

• Liderar y ejecutar evaluaciones de riesgos de seguridad y operacional a nivel organizacional, por proyecto, área y por activo.
• Coordinar con áreas técnicas y de negocio para identificar amenazas, vulnerabilidades y riesgos.
• Desarrollar mapas de riesgo, matriz de criticidad y planes de mitigación.
• Identificar y realizar seguimiento a los riesgos y amenazas de seguridad relacionados con los procesos de seguridad.
• Desarrollar, actualizar y mantener políticas, procedimientos y manuales relacionados con los procesos de seguridad de la información, en la empresa.
• Generar reportes técnicos y ejecutivos para stakeholders clave.
• Recomendar controles técnicos, administrativos y físicos alineados a los resultados del análisis de riesgos.
• Aumentar la base de conocimientos del área de Information Security.
• Supervisar el cumplimiento de cada política y procedimiento aplicable.
• Promover la cultura de gestión de riesgos de seguridad en la organización a través de capacitaciones.

Conocimientos necesarios:

• Dominio del ciclo de vida del riesgo: identificación, análisis, evaluación, tratamiento, comunicación, monitoreo.
• Profundo conocimiento, al menos de los siguientes marcos de riesgo: NIST RMF (SP 800-37, SP 800-30) e ISO/IEC 27005:2018.
• Conducir evaluaciones de riesgos de seguridad y operacionales con las diversas áreas de la empresa.
• Conocimiento práctico en metodologías de análisis de impacto al negocio (BIA) y continuidad operativa (BCP/DRP).
• Diseño e implementación de controles de seguridad para mitigar riesgos.
• Habilidad para comunicar hallazgos técnicos y estratégicos de forma clara y ejecutiva.
• Capacidad de liderazgo e influencia transversal en equipos multidisciplinarios.
• Evaluación de riesgos de terceros y proveedores, incluyendo revisiones de seguridad y controles inherentes.
• Documentación de políticas, procesos y procedimientos de seguridad de la información.
• Generación de reportes técnicos y ejecutivos de riesgo, incluyendo mapas de calor, matrices de riesgo y presentaciones para la dirección.
• Pensamiento analítico y crítico, con capacidad para evaluar situaciones complejas desde una perspectiva de riesgo y tomar decisiones informadas.
• Liderazgo e influencia transversal, con capacidad para coordinar y guiar a las demás áreas de evaluación hacia una visión común de gestión del riesgo.
• Comunicación efectiva, tanto oral como escrita, con habilidad para traducir conceptos técnicos en lenguaje comprensible para stakeholders no técnicos.
• Orientación a resultados, con enfoque en la resolución proactiva de problemas, cumplimiento de objetivos y entrega de valor al negocio.
• Colaboración y trabajo en equipo.

Conocimientos deseados:

• PCI SLC
• ISO 27005
• ISO 27001
• NIST Cybersecurity Framework
• SAMM
• Certificados en seguridad y/o gestión de riesgos (CISSP, ISO 27001 auditor o implementador, CRISC, CGRC, CC, A+, etc)
• Experiencia amplia en herramientas de gestión de riesgos.
• Experiencia en evaluación de riesgos en entornos regulados (financieros, salud, industria, gobierno)