Risk, Compliance and Security Manager (CISO) [#4717]

Apply Now

Company: ALTEO

Location: Montreal, QC H1A 0A1

Description:

Alteo is looking for a Risk, Compliance and Security Manager (CISO) for a permanent position based in Montreal.

Your main role will be to define the strategic axes and objectives in terms of information security, operational risks and compliance. You will implement the ISMS, as well as the risk control system, and will be responsible for ensuring platform compliance and certification. In particular, you will reinforce the ISMS, implement operational risk management, deploy the permanent control system, promote it and oversee its implementation throughout the organization, ensure that the IT continuity plan is maintained in operational condition, and implement data governance.

Responsibilities:
  • Set up the organization and governance of the business unit management activity
    • Establish, with the support of general management, a framework for the organization and governance of the activity, with regular monitoring and reporting bodies.
    • Develop lasting relationships with all contacts involved in the performance of his/her mission.
    • Contribute, as required, to studies and discussions on risk, security, compliance and data governance.
    • Promote the added value of risk management and level 1 permanent control activities within the business unit, and ensure smooth communication with Group-level control functions.
  • Manage legal, regulatory and contractual compliance on IS security and personal data protection issues at business unit level
    • Recommend a compliance framework: identify the risks of non-compliance and ensure the implementation of appropriate preventive measures with regard to the Group's main compliance principles and legal, regulatory and contractual provisions.
    • Ensure compliance of contracts (customers, suppliers, employees) and contractual clauses to meet security, confidentiality and personal data protection requirements.
    • Implement all group instructions and procedures relating to compliance.
    • Ensure transparency and accountability in decision-making related to risks and compliance (reporting and record-keeping, etc.).
    • Ensure compliance with legal and regulatory obligations applicable to the business unit, drawing on the expertise of the Group's transverse functions in this area.
    • Raise awareness and encourage employees within the business unit to report breaches of the code of conduct or compliance issues (through whistle-blowing channels and investigations, etc.).
  • Information System Security Management
    • Define the governance and organization of information security within the business unit.
    • Define and obtain approval from management and the Group CISO for IS security guidelines and objectives for all activities within its scope.
    • Define and implement the general IS security policy. Implement IS security procedures.
    • Identify, analyze and assess risks, threats and consequences (risk mapping).
    • Define and deploy IS risk management plans.
    • Raise awareness and provide training on security and data protection issues: promote the IT security charter to all users.
    • Manage IT security incidents: activate crisis units in the event of an IS incident, and ensure the necessary coordination with the departments involved.
    • Ensure that IS audits and penetration tests are carried out, in line with IS strategy, management needs, and regulatory and contractual requirements.
    • Carry out actions to reinforce the security culture within the business unit, and ensure the involvement of all players in IS risk management, so that everyone takes full ownership of their role, the benefit/risk cost is advantageous for the Group, and the level of residual risk accepted is aligned with the risk appetite defined by management.
    • Define and manage the IT security management system (standards, tools, incident tracking, audits).
    • Monitor regulatory and technical developments to ensure that the Information Systems Security Policy is in line with these changes.
  • Permanent control
    • Define the organization and governance of the permanent control system, based on the orientations of the governing bodies.
    • Provide a permanent control framework and methodological guides to support its implementation. Ensure that they are kept up to date.
    • Assist department managers/heads in the deployment of the operational risk management and level 1 permanent control system, within their area of responsibility. Ensure follow-up.
    • Using a holistic approach, ensure that operational risks are identified and qualified (e.g.: self-assessment of risks and controls), and that the operational risk management system is deployed (e.g.: management of outsourced services, implementation and monitoring of key risk indicators (KRI).
Profile:
  • BAC in IT or equivalent
  • 8+ years' experience in a similar role
  • Experience in the electronic payment industry
  • (E.G. ISO27001, ITIL, COBIT, CEH, CISSP, CISA, CRISC, PMP)
  • Internal control reference frameworks (e.g. de IIA, ISACA...)
  • Project management
  • Team management techniques
  • IT architectures and associated tools
  • Writing techniques
  • IT risks: IT norms & standards and cyber-security Process modeling
  • Banking and finance regulatory environment
  • Customer orientation
  • Compliance with commitments
  • Taking the initiative
  • Anticipating problems
  • Reporting & Monitoring
  • Involvement in the Quality process
  • Relational skills
  • Team spirit
  • Initiative
  • Flexibility
@@@@@
Alteo est la recherche d'un Gestionnaire Risque, Conformit et Scurit (CISO) pour un poste permanent bas Montral.

Votre rle principal sera de dfinir les axes et les objectifs stratgiques en matire de scurit de l'information, risques oprationnels et conformit. Vous mettrez en uvre le SMSI, ainsi que le dispositif de contrle des risques et devrez garantir la mise en conformit des plateformes ainsi que leurs certifications. Vous devrez particulirement, renforcer le SMSI, mettre en uvre le management du risque oprationnel, dployer le dispositif de contrle permanent, le promouvoir et piloter sa mise en uvre dans l'ensemble de l'organisation, assurer le maintien en condition oprationnelle du plan de continuit informatique et mettre en uvre la gouvernance autour des donnes.

Responsabilits:
  • Mise en place de l'organisation et la gouvernance de l'activit de gestion de l'unit d'affaires
    • Mettre en place, avec l'appui de la direction gnrale, un cadre d'organisation et de gouvernance de l'activit, avec des instances rgulires de suivi et de reporting
    • Dvelopper des relations durables avec l'ensemble des interlocuteurs intervenant dans le cadre de l'exercice de sa mission
    • Contribuer, selon les besoins, aux tudes et rflexions en matire de risque, de scurit, de conformit et de gouvernance des donnes
    • Promouvoir la valeur ajoute de l'activit de gestion des risques et du contrle permanent niveau 1 au sein de l'unit d'affaires, et assurer une communication fluide avec les fonctions de contrle au niveau du Groupe
  • Gestion de la conformit lgale, rglementaire et contractuelle sur les volets scurit du SI et protection des donnes caractre personnel au niveau de l'unit d'affaires
    • Recommander un cadre de conformit : recenser les risques de non-conformit et s'assurer de la mise en uvre des dispositifs de prvention appropris au regard des grands principes de conformit du Groupe et des dispositions lgales, rglementaires et contractuelles
    • S'assurer de la conformit des contrats (clients, fournisseurs, collaborateurs) ainsi que des clauses contractuelles pour rpondre aux exigences de scurit, de confidentialit, et celles lies la protection des donnes caractre personnel
    • Dcliner et dployer toutes les instructions et procdures groupe relatives la conformit
    • Assurer la transparence et la responsabilisation dans la prise de dcisions lies aux risques et la conformit (rapports et tenue de dossiers...)
    • Veiller au respect des obligations lgales et rglementaire applicables l'unit d'affaires en s'appuyant sur l'expertise des fonctions transverse Groupe en la matire
    • Sensibiliser et inciter les collaborateurs au sein de l'unit d'affaires de signaler les infractions au code de conduite ou aux problmes de conformit ( travers des canaux de dnonciation et enqutes...)
  • Gestion de la Scurit du systme d'information
    • Dfinir la gouvernance et l'organisation de la scurit de l'information au sein de de l'unit d'affaires
    • Dfinir et faire valider par le management et le RSSI Groupe les orientations et les objectifs de scurit du SI pour l'ensemble des activits de son primtre.
    • Dfinir et mettre en uvre la politique gnrale de scurit du SI. Mettre en place les procdures lies la scurit des SI.
    • Identifier, analyse et value les risques, les menaces et les consquences (cartographie des risques)
    • Dfinir et dployer les plans de traitement des risques SSI
    • Sensibiliser et former aux enjeux de la scurit et de la protection des donnes : assure la promotion de la charte de scurit informatique auprs de tous les utilisateurs
    • Grer les incidents de scurit IT : dclencher les cellules de crise en cas de sinistre SI, et assurer la coordination ncessaire auprs des services impliqus
    • S'assurer de l'exercice des missions d'audit et de tests d'intrusion sur le SI, suivant la stratgie SSI, les besoins du management, et les exigences rglementaires et contractuelles.
    • Mener les actions de renforcement de la culture scurit au sein de l'unit d'affaires, et s'assurer de l'implication de tous les acteurs dans la gestion des risques de SSI, afin que chacun s'approprie pleinement son rle, que le cot bnfice/risques soit avantageux pour le Groupe, et que le niveau de risque rsiduel accept soit align avec l'apptence aux risques dfini par le management
    • Dfinir et piloter le systme de management de scurit informatique (norme, outils, suivi des incidents, audits)
    • Suivre les volutions rglementaires et techniques afin de garantir l'adquation de la Politique de scurit des systmes d'information avec ces volutions.
  • Assurer le Contrle permanent
    • Dfinir, partir des orientations des organes dirigeant, l'organisation et la gouvernance du dispositif de contrle permanent
    • Mettre disposition un rfrentiel de contrle permanent et des guides mthodologique pour accompagner son implmentation. En assurer la mise jour
    • Assister les managers/responsables services dans le dploiement du dispositif de gestion des risques oprationnels et de contrle permanent de niveau 1, sur son primtre de responsabilit. En assurer le suivi.
    • Avec une approche holistique, s'assurer que les risques oprationnels sont identifis et qualifis (ex : auto-valuation des risques et des contrles), que le dispositif de maitrise des risques oprationnels est dploy (ex : pilotage des prestations de services externaliss, mise en place et suivi des indicateur cls de risques (KRI).


Profil:
  • BAC en TI ou l'quivalent
  • 8+ annes d'exprience dans un rle similaire
  • Exprience dans l'industrie de la montique
  • ISO27001, ITIL, COBIT, CEH, CISSP, CISA, CRISC, PMP)
  • Cadres de rfrence de contrle interne (ex : de IIA, ISACA...)
  • Gestion de projets
  • Techniques de management des quipes
  • Architectures TI et outils associs
  • Techniques de rdaction
  • Risques IT: normes & standards IT et cyber-scurit Modlisation des processus
  • Environnement rglementaire bancaire et financier
  • Orientation Client
  • Respect des Engagements
  • Prise d'initiative
  • Anticipation des problmes
  • Reporting & Monitoring
  • Implication dans la dmarche Qualit
  • Aisance relationnelle
  • Esprit d'quipe
  • Initiative
  • Flexibilit

Similar Jobs