Analista | Riscos Cibernéticos

>> Sobre a vaga

Estamos com vagas de Analista Pleno e Analista Sênior de Riscos Cibernéticos para integrarem à nossa equipe Riscos Corporativos.

Nosso time é apaixonado por análise de risco e tecnologia, comprometido em elevar a maturidade dos nossos controles para proteger nossos ativos digitais, garantir a integridade das informações da empresa e mitigar os riscos aos quais estamos expostos neste mundo amplamente digital. Valorizamos profissionais que têm um forte entendimento em gestão de riscos, especialmente em relação à Lei Sarbanes-Oxley (SOx), e que possuam um perfil analítico e crítico.

O candidato ideal se destacará em nossa equipe se tiver uma verdadeira curiosidade e entusiasmo por identificar e estressar cenários de riscos, além de resolver problemas complexos que possam surgir nos ambientes de tecnologia e segurança da informação. Aqui, você terá a oportunidade de colaborar com diversas unidades de negócios, trabalhar em projetos desafiadores e contribuir para a construção de uma cultura de segurança robusta e proativa. Se você é alguém que gosta de se aprofundar em análises, busca constantemente melhorias e está disposto a enfrentar desafios em um ambiente dinâmico, você encontrará um lugar ideal para crescer e se desenvolver conosco.

Responsabilidade e atribuições:

• Desenvolver e manter atualizados os mapeamentos de riscos e controles de tecnologia e segurança da informação, através da autoavaliação de riscos e controles, colaborando com as diversas unidades de negócios e suas especialidades, com as plataformas e com os experts teams de segunda e primeira linha de defesa para identificar, avaliar e documentar riscos e controles de tecnologia e segurança da informação.
• Realização de análise e compreensão de processos/atividades por meio de reuniões e orientações com proprietários de processos e partes interessadas envolvidas.
• Realizar avaliação e testes de controles e análise de efetividade: definir escopo e amostras de teste, executar testes de controles e documentar resultados.
• Realização de análises críticas sobre a situação atual de exposição a riscos tecnológicos e de segurança da informação, propondo recomendações para reforçar os controles mitigatórios.
• Avaliação de novos produtos e recursos: avaliar os possíveis riscos tecnológicos e de segurança da informação associados ao lançamento de novos produtos, serviços ou recursos/soluções, colaborando com as equipes de desenvolvimento de produtos para garantir que as estratégias de mitigação de riscos sejam integradas às fases de projeto e implementação.
• Monitoramento de incidentes: realizar análises completas de incidentes de segurança reportados pela primeira linha para identificar e levantar problemas operacionais (findings), mapear riscos e controles associados e identificar eventuais perdas operacionais, liderando investigações para determinar as causas básicas e implementar ações corretivas para evitar a recorrência ou minimizar impactos de possíveis incidentes que não possam ser evitados.
• Análises de causa raiz: liderar a análise de eventos de riscos tecnológicos e de segurança da informação, identificando problemas e ajudando a primeira linha de defesa a definir ações corretivas para tratamento de causa e mitigação dos riscos.
• Avaliação de fornecedores: avaliar os possíveis riscos tecnológicos e de segurança da informação associados a prestação de serviços por terceiros, colaborando com a primeira linha de defesa na identificação e endereçamento de eventuais problemas para garantir que as estratégias de mitigação de riscos sejam atendidas.
• Gerenciamento de problemas: identificar, documentar e rastrear problemas de riscos tecnológicos e de segurança da informação e acompanhar a resolução e a implementação de ações corretivas, mantendo as partes interessadas informadas sobre o progresso e os resultados.
• Conduzir treinamento e conscientização relacionadas a riscos tecnológicos e de segurança da informação para funcionários em todos os níveis da organização, garantindo que todos entendam seus papéis e responsabilidades.
• Trabalhar em estreita colaboração com outras equipes dentro da organização, bem como com fornecedores, clientes e reguladores (locais e internacionais), para garantir uma abordagem integrada da gestão de riscos.
• Avaliar continuamente os planos de resposta a incidentes de segurança para identificar áreas de melhoria e garantir que a organização esteja preparada para enfrentar eventos adversos.
• Suporte à crises relacionadas a incidentes de segurança.
• Suporte a comunicação externa (reguladores locais e internacionais).
• Suporte a apresentações para comitês e comissões de riscos e auditoria.

Requisitos e qualificações:

• Experiência em gerenciamento de riscos, auditoria interna/externa, órgãos reguladores ou áreas semelhantes.
• Conhecimento de produtos de investimento e processos de corretagem.
• Experiência no setor bancário ou de serviços financeiros.
• Experiência em trabalhos de avaliações de riscos e controles suportados por estruturas framworks de riscos e controles internos (por exemplo, COSO, ISO31000, ISO27005 e etc).
• Experiência em trabalhos de avaliação de riscos e controles com base em normas e padrões de auditoria internacional (ISA e PCAOB)
• Amplo conhecimento da Lei Sarbanes-Oxley (SOx) e experiência consolidada em testes de ITGC (IT General Controls) para SOx.
• Amplo conhecimento sobre regulamentações nacionais (onshore) e internacionais (offshore) aplicadas as instituições financeiras e seguradoras (Bacen, CVM, SEC, CIMA e etc).
• Alta senso analítico e de resolução de problemas, com a capacidade de traduzir informações técnicas complexas em percepções claras.
• Habilidades de comunicação clara, concisa e objetiva.
• Adaptabilidade a uma forma dinâmica de trabalho e a resultados de curto prazo.
• Habilidades comprovadas em gerenciamento de partes interessadas e influência.
• Grande senso de priorização e gerenciamento de tarefas.
• Experiência em relatórios e comunicação de riscos, incluindo a apresentação de problemas e recomendações à liderança executiva e às partes interessadas relevantes para garantir uma compreensão clara do cenário de riscos tecnológicos e de segurança da informação.
• Experiência anterior consolidada em áreas de riscos e controles internos de tecnologia e segurança da informação.
• Experiência desejável em infraestrutura, redes, segurança da informação.
• Alta capacidade de conduzir análises dos processos de negócios e do ambiente tecnológico e avaliações de impacto nos negócios, identificando ameaças potenciais e desenvolvendo estratégias eficazes de mitigação.
• Conhecimento em sistemas, soluções e serviços de tecnologia e segurança da informação.
• Conhecimento em ferramentas de GRC.
• Conhecimentos acerca de frameworks de tecnologia e segurança da informação (ISO27000, COBIT, ITIL, NIST, CIS e etc)
• Inglês intermediário

Diferenciais:

• Especialização (Pós/MBA) em cibersegurança ou governança de tecnologia/segurança da informação.
• Certificações relacionadas tecnologia e segurança da informação (ISO27000, COBIT, ITIL, CISA, CISM, CRISK, CISSP e etc)
• Habilidades avançadas de comunicação em inglês, tanto escrita quanto verbal.

“Se te oferecem um lugar em um foguete, não pergunte qual é o assento, apenas embarque.” 

Sheryl Sandberg