Responsable del programa de GRC en ciberseguridad

 
Esta función no se limita a la redacción de políticas ni a la coordinación de auditorías. Su objetivo es hacer que la gobernanza de la seguridad sea real y cuantificable en toda la empresa mediante la creación de mecanismos operativos prácticos en torno al riesgo, los controles, las pruebas, las excepciones y la rendición de cuentas de las partes interesadas. En el plan de dotación de personal, esta función tiene como objetivo explícito seleccionar y poner en práctica el marco principal, probablemente comenzando por el NIST CSF 2.0 y ampliándolo posteriormente a SOX ITGC y SOC2 Tipo 2, ISO 27001, el NIST AI RMF, la ISO 42001 y otros requisitos para las, auditorías y necesidades internacionales. 

Justificación 

Echo está reevaluando los fundamentos de su política, incluidas las expectativas formales en materia de gobernanza de la seguridad de la información, control de acceso, seguridad de los proveedores y revisión del cumplimiento normativo. Lo que se necesita ahora es un líder capaz de convertir esas políticas en un sistema operativo de gobernanza duradero, con una responsabilidad clara, disciplina en la gestión de pruebas, gestión de excepciones y rendición de cuentas cuantificable. 

Requisitos de contratación 

Tus funciones 

• Selección la selección, la adopción y la puesta en práctica del marco principal de ciberseguridad de Echo y la estructura de normas relacionada, tomando como probable nivel de gestión . 

• Crear y mantener un modelo de responsabilidad de control que abarque las áreas de Tecnología, Ingeniería, Plataforma, Redes, EUC, Activos, Datos, Integraciones y Seguridad 

• Convertir las políticas existentes en prácticas operativas cuantificables, gestionar las expectativas, los requisitos de documentación, la periodicidad de las revisiones y los flujos de trabajo para casos excepcionales 

• Colaborar con los equipos de arquitectura de seguridad, ingeniería y operaciones para garantizar que las expectativas en materia de gobernanza sean prácticas, tengan una base técnica sólida y sean aplicables 

• Llevar a cabo evaluaciones de riesgos y controles empresariales, lo que incluye facilitar los debates sobre el diseño de los controles, su eficacia y las prioridades de corrección 

• Crear una estructura de biblioteca de pruebas y definir al mismo tiempo ritmos repetibles de recopilación, revisión, reutilización y actualización 

• Mejorar los flujos de trabajo de los cuestionarios de seguridad mediante respuestas estandarizadas, la reutilización de pruebas, las expectativas en cuanto al nivel de servicio y una atribución de responsabilidades más clara 

• Coordinar la evaluación de seguridad de terceros y ayudar a definir los niveles de seguridad, los requisitos mínimos de seguridad, las expectativas en materia de documentación y los procedimientos de escalado 

• Colaborar con Auditoría Interna y las partes interesadas de la empresa en las iniciativas de preparación, las revisiones de cumplimiento y el apoyo a la auditoría operativa 

• Realizar un seguimiento de las excepciones a las políticas, las deficiencias de control, los compromisos de corrección y las acciones pendientes hasta su resolución, incluyendo la designación clara de los responsables y los plazos correspondientes. 

• Realizar revisiones del acceso de los usuarios conforme a SOX ITGC y SOC2/ISO27001 

• Aportar información sobre la gestión de la seguridad en relación con los requisitos de seguridad de los proveedores, las obligaciones contractuales y las expectativas de revisión continua 

• Elaborar informes para la dirección sobre la madurez del marco, la responsabilidad de los controles, la vigencia de las políticas, la disponibilidad de pruebas, el estado de las excepciones y las tendencias de riesgo 

• Liderar la evolución y el apoyo a las capacidades de cumplimiento normativo continuo para mejorar la visibilidad de los controles, la actualidad de las pruebas y la preparación para las auditorías 

• Gestionar y desarrollar el centro de confianza de la organización, incluyendo la documentación de seguridad publicada, los materiales de garantía dirigidos a los clientes y los procesos que garantizan que el contenido se mantenga actualizado y sea compatible. 

Cómo se define el éxito 

En los primeros 60 a 90 días, se espera que esta función elabore un paquete de decisiones marco, defina el modelo de titularidad de los controles, ponga en marcha una estructura de biblioteca de pruebas, mejore el funcionamiento de los cuestionarios y establecer flujos de trabajo prácticos para las excepciones y la incorporación de terceros. A lo largo de 12 meses, el éxito se traducirá en que la adopción del marco sea cuantificable, la responsabilidad de los controles sea visible, la evidencia sea reutilizable, la diligencia debida con los clientes y las auditorías sea menos reactiva, y las excepciones a las políticas y las deficiencias de control se gestionen de forma activa. 

Lo que aportas 

• 5+ años de experiencia en ciberseguridad, GRC, riesgos de seguridad, preparación para auditorías, operaciones de cumplimiento normativo o funciones relacionadas, con experiencia demostrada en la creación o el desarrollo de modelos operativos de gobernanza 

• Más de 2 años de experiencia en GRC en una empresa que cotiza en bolsa. 

• Experiencia en controles de TI relacionados con la ley SOX. 

• Segúnconforme a los requisitos normativos y de la SEC para una empresa que cotiza en bolsa. 

• Amplia experiencia en la puesta en práctica del Marco de Seguridad de la Información del NIST (NIST CSF) y en la adaptación de los controles a marcos como la norma ISO 27001, la ley SOX, el SOC 2 o marcos similares. 

• Experiencia en la creación o el desarrollo de programas de gobernanza de la seguridad en entornos empresariales complejos con múltiples partes interesadas en el ámbito técnico 

• Experiencia en evaluaciones de riesgos, revisiones del diseño de controles, gestión de excepciones y seguimiento de medidas correctivas 

• Sólidos conocimientos sobre los riesgos de terceros, las evaluaciones de seguridad de los proveedores, los cuestionarios de seguridad y los flujos de trabajo de gobernanza que van más allá de las evaluaciones puntuales 

• Experiencia colaborando con equipos técnicos para influir en los resultados en materia de arquitectura, ingeniería y operaciones de una forma práctica y técnicamente sólida. 

• Capacidad para plasmar el lenguaje de las políticas y los marcos normativos en prácticas operativas concretas, expectativas de implicación y datos cuantificables 

• Sólidas habilidades de redacción, gestión de las partes interesadas y comunicación con la dirección 

Requisitos deseables 

• Experiencia en GRC en una empresa que cotiza en bolsa en materia de requisitos de información ante la SEC y las autoridades reguladoras, es decir, 10K, 8K. 

• Experiencia en el apoyo a iniciativas de auditoría o preparación relacionadas con SOC 2, ISO 27001, CTPAT, SOX o similares 

• Experiencia en la gestión de pruebas, pruebas de control, coordinación de auditorías internas o procesos de verificación relacionados 

• Experiencia con plataformas de cumplimiento de cumplimiento continuo, incluyendo la automatización de pruebas, la supervisión de controles y los flujos de trabajo de preparación para auditorías 

• Experiencia en la gestión de un centro de confianza o un portal similar de garantía al cliente, así como en mantener la documentación de seguridad actualizada y reutilizable 

• Conocimiento de los entornos tecnológicos empresariales que abarcan los ámbitos de la seguridad en la nube, la identidad, los terminales, las redes y las aplicaciones. 

• Conocimiento de los marcos de gobernanza de la IA, por ejemplo, el el Marco de Gestión de Riesgos de la IA (RMF) del NIST y la norma ISO 42001. 

Echo Global Logistics un proveedor líder de servicios de gestión del transporte basados en la tecnología. Como empresa externa de de logística , simplificamos la gestión del transporte para nuestros clientes y transportistas, encargándonos de tareas cruciales para que puedan centrarse en lo que mejor saben hacer. De costa a costa, de muelle a muelle y en todos los principales modos de transporte, Echo conecta a las empresas que necesitan enviar sus productos con transportistas que transportan la mercancía de forma rápida, segura y rentable. 

Por qué es importante este puesto 

Echo ya cuenta con una base normativa, que incluye expectativas formales en materia de gobernanza de la seguridad de la información, control de acceso, seguridad de los proveedores y revisión del cumplimiento normativo. Lo que se necesita ahora es un líder capaz de convertir esas políticas en un sistema operativo de gobernanza duradero, con una responsabilidad clara, una disciplina ,  gestión de excepciones y una rendición de cuentas cuantificable. 

Resumen del entorno laboral y las exigencias físicas: 

Este puesto se desarrolla en un entorno de oficina y requiere el uso de un ordenador y el teléfono y otros equipos de oficina según sea necesario para desempeñar las funciones. El nivel de ruido en el entorno de trabajo es el habitual en de una oficina con una distribución de espacio diáfana. El empleado puede enfrentarse a interrupciones frecuentes a lo largo de la jornada laboral. El empleado tiene que, con frecuencia, estar sentado, hablar o escuchar. 

Todos los candidatos que cumplan los requisitos serán tenidos en cuenta para el puesto, independientemente de su raza, color, religión, sexo, orientación sexual, identidad de género, origen nacional, condición de persona con discapacidad que cumpla los requisitos, o condición de veterano de la guerra de Vietnam u otro veterano protegido.