Ingeniería en sistemas computacionales, Licenciatura en informática o carrera afín.

Mínimo 4 años de experiencia en implementación y operación de programas de gestión de riesgos de seguridad y operacionales. Evaluación de riesgos bajo marcos reconocidos como: NIST Risk Management Framework (RMF) o ISO/IEC. Análisis de amenazas y vulnerabilidades en ambientes híbridos (on-premise y cloud). Evaluación de impacto al negocio, análisis de criticidad y dependencia tecnológica. Elaboración de planes de tratamiento de riesgos e informes ejecutivos.

Actividades:

1. Liderar y ejecutar evaluaciones de riesgos de seguridad y operacional a nivel organizacional, por proyecto, área y por activo.
2. Coordinar con áreas técnicas y de negocio para identificar amenazas, vulnerabilidades y riesgos.
3. Desarrollar mapas de riesgo, matriz de criticidad y planes de mitigación.
4. Identificar y realizar seguimiento a los riesgos y amenazas de seguridad relacionados con los procesos de seguridad.
5. Desarrollar, actualizar y mantener políticas, procedimientos y manuales relacionados con los procesos de seguridad de la información, en la empresa.
6. Generar reportes técnicos y ejecutivos para stakeholders clave.
7. Recomendar controles técnicos, administrativos y físicos alineados a los resultados del análisis de riesgos.
8. Aumentar la base de conocimientos del área de Information Security.
9. Supervisar el cumplimiento de cada política y procedimiento aplicable.
10. Promover la cultura de gestión de riesgos de seguridad en la organización a través de capacitaciones.

Conocimientos necesarios:

1. Dominio del ciclo de vida del riesgo: identificación, análisis, evaluación, tratamiento, comunicación, monitoreo.
2. Profundo conocimiento, al menos de los siguientes marcos de riesgo: NIST RMF (SP 800-37, SP 800-30) e ISO/IEC 27005:2018.
3. Conducir evaluaciones de riesgos de seguridad y operacionales con las diversas áreas de la empresa.
4. Conocimiento práctico en metodologías de análisis de impacto al negocio (BIA) y continuidad operativa (BCP/DRP).
5. Diseño e implementación de controles de seguridad para mitigar riesgos.
6. Habilidad para comunicar hallazgos técnicos y estratégicos de forma clara y ejecutiva.
7. Capacidad de liderazgo e influencia transversal en equipos multidisciplinarios.
8. Evaluación de riesgos de terceros y proveedores, incluyendo revisiones de seguridad y controles inherentes.
9. Documentación de políticas, procesos y procedimientos de seguridad de la información.
10. Generación de reportes técnicos y ejecutivos de riesgo, incluyendo mapas de calor, matrices de riesgo y presentaciones para la dirección.
11. Pensamiento analítico y crítico, con capacidad para evaluar situaciones complejas desde una perspectiva de riesgo y tomar decisiones informadas.
12. Liderazgo e influencia transversal, con capacidad para coordinar y guiar a las demás áreas de evaluación hacia una visión común de gestión del riesgo.
13. Comunicación efectiva, tanto oral como escrita, con habilidad para traducir conceptos técnicos en lenguaje comprensible para stakeholders no técnicos.
14. Orientación a resultados, con enfoque en la resolución proactiva de problemas, cumplimiento de objetivos y entrega de valor al negocio.
15. Colaboración y trabajo en equipo.

Conocimientos deseados:

1. PCI SLC
2. ISO 27005
3. ISO 27001
4. NIST Cybersecurity Framework
5. SAMM
6. Certificados en seguridad y/o gestión de riesgos (CISSP, ISO 27001 auditor o implementador, CRISC, CGRC, CC, A+, etc)
7. Experiencia amplia en herramientas de gestión de riesgos.
8. Experiencia en evaluación de riesgos en entornos regulados (financieros, salud, industria, gobierno)