Ingeniería en sistemas computacionales, licenciatura en informática o carrera afín.
mínimo 4 años de experiencia en implementación y operación de programas de gestión de riesgos de seguridad y operacionales. Evaluación de riesgos bajo marcos reconocidos como: nist risk management framework (rmf) o iso/iec. Análisis de amenazas y vulnerabilidades en ambientes híbridos (on-premise y cloud). Evaluación de impacto al negocio, análisis de criticidad y dependencia tecnológica. Elaboración de planes de tratamiento de riesgos e informes ejecutivos.
actividades:
* liderar y ejecutar evaluaciones de riesgos de seguridad y operacional a nivel organizacional, por proyecto, área y por activo.
* coordinar con áreas técnicas y de negocio para identificar amenazas, vulnerabilidades y riesgos.
* desarrollar mapas de riesgo, matriz de criticidad y planes de mitigación.
* identificar y realizar seguimiento a los riesgos y amenazas de seguridad relacionados con los procesos de seguridad.
* desarrollar, actualizar y mantener políticas, procedimientos y manuales relacionados con los procesos de seguridad de la información, en la empresa.
* generar reportes técnicos y ejecutivos para stakeholders clave.
* recomendar controles técnicos, administrativos y físicos alineados a los resultados del análisis de riesgos.
* aumentar la base de conocimientos del área de information security.
* supervisar el cumplimiento de cada política y procedimiento aplicable.
* promover la cultura de gestión de riesgos de seguridad en la organización a través de capacitaciones.
conocimientos necesarios:
* dominio del ciclo de vida del riesgo: identificación, análisis, evaluación, tratamiento, comunicación, monitoreo.
* profundo conocimiento, al menos de los siguientes marcos de riesgo: nist rmf (sp 800-37, sp 800-30) e iso/iec 27005:2018.
* conducir evaluaciones de riesgos de seguridad y operacionales con las diversas áreas de la empresa.
* conocimiento práctico en metodologías de análisis de impacto al negocio (bia) y continuidad operativa (bcp/drp).
* diseño e implementación de controles de seguridad para mitigar riesgos.
* habilidad para comunicar hallazgos técnicos y estratégicos de forma clara y ejecutiva.
* capacidad de liderazgo e influencia transversal en equipos multidisciplinarios.
* evaluación de riesgos de terceros y proveedores, incluyendo revisiones de seguridad y controles inherentes.
* documentación de políticas, procesos y procedimientos de seguridad de la información.
* generación de reportes técnicos y ejecutivos de riesgo, incluyendo mapas de calor, matrices de riesgo y presentaciones para la dirección.
* pensamiento analítico y crítico, con capacidad para evaluar situaciones complejas desde una perspectiva de riesgo y tomar decisiones informadas.
* liderazgo e influencia transversal, con capacidad para coordinar y guiar a las demás áreas de evaluación hacia una visión común de gestión del riesgo.
* comunicación efectiva, tanto oral como escrita, con habilidad para traducir conceptos técnicos en lenguaje comprensible para stakeholders no técnicos.
* orientación a resultados, con enfoque en la resolución proactiva de problemas, cumplimiento de objetivos y entrega de valor al negocio.
* colaboración y trabajo en equipo.
conocimientos deseados:
* pci slc
* iso 27005
* iso 27001
* nist cybersecurity framework
* samm
* certificados en seguridad y/o gestión de riesgos (cissp, iso 27001 auditor o implementador, crisc, cgrc, cc, a+, etc)
* experiencia amplia en herramientas de gestión de riesgos.
* experiencia en evaluación de riesgos en entornos regulados (financieros, salud, industria, gobierno)