ESPECIALISTA DE SEGURIDAD EN LA NUBE - BNP Paribas
El departamento de Riesgos de las Tecnologías de la Información y las Comunicaciones (TIC) forma parte de las funciones ORC de RISK del Grupo dentro de BNP Paribas. Es parte de la 2ª Línea de Defensa (2LOD) bajo el Director de Riesgos Cibernéticos y Tecnológicos del Banco. Entre otros, el departamento tiene la responsabilidad de identificar los riesgos tecnológicos clave para el Banco e influenciar a los socios comerciales y tecnológicos para que tomen decisiones acertadas de gestión de riesgos.
Esto se logra mediante la entrega de:
Evaluaciones de riesgos de aplicaciones e infraestructura que trabajan con los equipos de negocios y tecnología para identificar problemas de seguridad en sistemas nuevos y existentes, y acordar las acciones correspondientes para mitigar o aceptar riesgos. Seguimiento de problemas y acciones acordadas hasta su finalización.
Evaluaciones de riesgos horizontales: evalúan los riesgos de la tecnología en relación con un tema o tecnología en particular en toda la organización. Algunos ejemplos pueden ser evaluaciones del proceso de cambio del firewall, procesamiento de aplicaciones> $ 5 millones por día, aplicaciones alojadas en la nube, etc.
Evaluaciones de riesgos verticales: evaluación de riesgos para un producto, servicio, tecnología o infraestructura. Por ejemplo, podemos completar una evaluación vertical de nuestra solución de trabajo remoto (incluida la infraestructura, aplicaciones, datos, amenazas, etc.) o nuestra conectividad a Internet.
Colaboración con los equipos de Negocios y Tecnología para ayudarles a comprender su perfil de riesgo de tecnología e influir en sus decisiones de gestión de riesgos.
PRINCIPALES RESPONSABILIDADES:
Una de las iniciativas TIC de ORC de RIESGO incluye mejorar la capacidad de seguridad de la nube en todo el Grupo y establecer una comunidad global para discutir problemas, riesgos y alinearse con la hoja de ruta estratégica.
Las responsabilidades clave del especialista en seguridad en la nube incluyen:
Involucrarse con las partes interesadas de C-suite en todo el Grupo para comprender la seguridad actual de la nube estatal.
Realice análisis de causa raíz y recomiende oportunidades de mejora de procesos / identifique riesgos y controles de mitigación relevantes.
Trabajar con el líder de la función para preparar presentaciones a nivel de la junta directiva sobre observaciones, vacíos y la hoja de ruta de remediación global, incluida la estrategia de seguridad en la nube, los planes de remediación y las soluciones de diseño.
Prepare y aplique estándares y directrices para la seguridad de la nube a nivel mundial.
Cree una comunidad global para discutir problemas, riesgos y alinearlos con procesos y herramientas estandarizados.
Proporcionar asesoramiento experto en iniciativas de primera línea de defensa.
Ayudar con problemas relacionados con la auditoría.
Preparar / contribuir al desarrollo de controles de prueba independientes.
Apoye a la comunidad RISK ORC a nivel mundial para definir mejores modelos de madurez para pruebas independientes.
Entorno de gestión de riesgos:
Identificación y evaluación: asegúrese de que la identificación y evaluación de los riesgos operacionales se realicen de manera efectiva en toda la organización mediante la correlación de los comentarios de Auditoría, Recopilación y análisis de datos de pérdida interna, Recopilación y análisis de datos externos, Autoevaluaciones de control de riesgos, Mapeo de procesos de negocio, KPI y KRIs, Análisis de Escenarios, y Medición Cuantificada y Análisis Comparativo.
Monitoreo e informes: implemente un proceso para monitorear regularmente los perfiles de riesgo operacional y la exposición importante a las pérdidas y proporcionar mecanismos adecuados de reporte a la junta, la alta gerencia y las líneas de negocios. La captura de datos y los informes de riesgo operacional se deben mejorar continuamente y proporcionar un circuito de retroalimentación para mejorar las políticas, procedimientos y prácticas de gestión de riesgos.
Control & Mitigation mejora la efectividad del programa de Controles Internos al revisar el entorno de control, el proceso de evaluación de riesgos, las actividades de control, la información y las actividades de comunicación y monitoreo. Evaluar estrategias de respuesta al riesgo operacional. Validar las opciones de transferencia de riesgos.
Universidad:
• Cualificaciones profesionales relevantes para TI, seguridad de la información y continuidad del negocio y (como un título universitario, CISSP, MBCI, CBCP, CISM o CRISC).
• Buen conocimiento de temas de TIC.
Perfil personal
• Tiene la capacidad comprobada de pensar fuera de la caja, desafiar las normas de la industria y adaptarse rápidamente a los requisitos cambiantes.
• Los candidatos deben poder aplicar un enfoque de consultoría.
• Excelente en la capacidad de comprender cómo y por qué los procesos y las soluciones están diseñados para ofrecer resultados específicos.
• Es consciente de sí mismo, anticipa problemas, se adapta y los encuentra de frente.
• Modelo a seguir, promoción de una cultura de buena conducta y contribución para mantener dicha cultura.
• Proactividad, transparencia y clara rendición de cuentas para la determinación y gestión de riesgos de comportamiento.
• Excelentes habilidades en resolución de problemas, presentación y consulta.
• Trabajo en equipo con compañeros y gestión.
• Fuertes habilidades de gestión de proyectos, pragmatismo y nivel de nforme.
Habilidades comunicativas excepcionales, tanto escritas como orales.
Experiencia previa
• Experto en tecnología de seguridad en la nube con experiencia práctica en un entorno de nube en primer lugar.
• Debe poder articular y documentar los enfoques de diseño e implementación para arquitecturas de nube seguras.
• Conocimiento detallado de los controles de nube de seguridad sustentables y basados en riesgo requeridos por una institución financiera.
• Conocimiento detallado de los modelos de entrega, seguridad y despliegue en la nube para la oferta de IaaS, incluida la comprensión de IBM Bluemix, Amazon Web Services (AWS) y las plataformas de Microsoft Azure.
• Conocimiento práctico de los estándares de seguridad en la nube, incluidos NIST, CIS, NCSC e ISO.
• Experiencia con el Centro de datos definido por software (SDDC) y la WAN definida por software (SD-WAN).
• Experiencia en la creación de soluciones en la nube en tecnologías de seguridad, como la información de seguridad y la gestión de eventos (SIEM), la infraestructura de clave pública (PKI), la seguridad de la red, la seguridad de la nube, los cortafuegos, la detección / prevención de intrusiones, el malware, la seguridad del correo electrónico, el filtrado de contenido web. Protección contra DDoS, Seguridad de control industrial, Seguridad de dispositivos móviles, Detección y respuesta de puntos finales, Gestión de parches, Tecnologías engañosas, Protección de pérdida de datos, Seguridad de aplicaciones e Identidad y Gestión de acceso.
• Comprensión de Cloud Access Security Broker (CASB) en los servicios SaaS e integración de CASB a los servicios SOC / SIEM.
• Buena comprensión de las aplicaciones financieras, incluidas las interdependencias, el conflicto de intereses y las responsabilidades de la organización.
• Una sólida mentalidad de riesgo con la comprensión de los requisitos regulatorios de Riesgo de Tecnología y Continuidad del Negocio en el sector de servicios financieros.
• Conocimiento de la metodología de análisis de riesgos, especialmente en relación con la seguridad en la nube.
• Debe ser capaz de interactuar y coordinar el trabajo de manera eficiente y efectiva con socios comerciales y tecnológicos.
• Excelentes habilidades de comunicación e influencia, incluida la capacidad para articular problemas complejos e incorporar comentarios.
• Buen jugador de equipo, buena gestión de partes interesadas, desarrollo de relaciones, influencia, facilitación y presentación de habilidades.
• Buena capacidad auditiva y analítica, incluyendo:
o Ser capaz de llegar rápidamente a una conclusión reflexiva y centrada en el negocio.
o Capacidad de cooperar y trabajar bien con otros adoptando un estilo accesible.
o Importante ya que trabajamos en estrecha colaboración con un amplio y diverso conjunto de proveedores y clientes.
o Habilidad para ver la perspectiva del cliente, es decir, desde un punto de vista empresarial, la solución más segura no siempre es viable o realista considerando los costos y beneficios.
o Demostrar un enfoque profesional tranquilo, con un buen entendimiento de la entrega dentro de las limitaciones de tiempo y la necesidad de escalar / informar a la gerencia del departamento según corresponda.
o Adaptar el enfoque personal a situaciones, individuos, grupos y culturas.
o Es flexible en relación con la realización del trabajo.
o Asumir la responsabilidad de sus acciones y ser abierto y honesto cuando las cosas han ido mal, y celebrar los éxitos cuando las cosas han ido bien.
o Ser riguroso y completo, especialmente al registrar y rastrear problemas hasta llegar a una conclusión.
o Capacidad de administrar su carga de trabajo para cumplir con los objetivos realistas y las prioridades establecidas en conjunto con la administración.
o Demostrar un alto nivel de compromiso y auto-motivación, combinado con entusiasmo y un interés genuino en el papel de la evaluación de riesgos en los negocios.
• Capacidad para expresar opiniones con claridad y fluidez, tanto oralmente como por escrito.
• Considera a la audiencia, evitando la jerga técnica donde sea necesario y apropiado.
• Trabaja de forma iterativa, entregando rápida y frecuentemente para producir documentos y resultados de alta calidad que requieren poco o ningún trabajo
Ubicación primaria: ES-MD-Madrid
Tipo de empleo: Estándar / Permanente
Trabajo: CUMPLIMIENTO Y CONTROL PERMANENTE
Nivel de educación : Licenciatura o equivalente (> = 3 años)
Nivel de experiencia : Al menos 3 años.
Programar: A tiempo completo
Competencias de comportamiento : Habilidad para colaborar / Trabajo en equipo, Creatividad e innovación / Resolución de problemas, Habilidad para sintetizar / simplificar, Pensamiento crítico, Centrado en el cliente, Habilidades de comunicación oral y escrita, Escucha activa, Impacto personal / Habilidad para influir, Atención al detalle / rigor , Habilidades organizativas