Chief Cybersecurity Officer

About the Project:

The Eglinton Crosstown West Extension will bring the Eglinton Crosstown LRT another 9.2 kilometres farther west, creating a continuous rapid transit line from the east end of Toronto into Mississauga. The Stations, Rail, and Systems (SRS) package encompasses the design, construction, integration, and commissioning of key project components.

Position Overview:

The Chief Cybersecurity Officer (CCSO) is responsible for the overall cybersecurity governance, risk management, and assurance of the Project across all Systems and Subsystems, including command, control, communications, signaling, power, OT/ICS, and supporting IT environments.

This role serves as Project Co's designated authority and primary point of contact for all cybersecurity matters with the Contracting Authority, Independent Safety Assessor (ISA), system security officers, and relevant stakeholders. The CCSO ensures that cybersecurity is embedded by design, aligned with Schedule 29 requirements, and implemented in accordance with recognized rail, OT, and industrial cybersecurity standards throughout the Project lifecycle.

Key Responsibilities:

1. Cybersecurity Governance & Accountability

• Act as Project Co's Chief Cybersecurity Officer as defined under Schedule 29, with accountability for all cybersecurity obligations across the Project.
• Establish and maintain the cybersecurity governance framework, including roles, responsibilities, accountability, escalation paths, and decision authority.
• Lead cybersecurity participation in system integration governance, interface management, and assurance forums.

2. Cybersecurity Program & Risk Management

• Develop, maintain, and oversee the Cybersecurity Risk Management Program, aligned with IEC 62443, NIST, and other applicable standards.
• Direct cybersecurity threat and vulnerability risk assessments (TVRA) for Systems Under Consideration (SUCs), including zones, conduits, interfaces, and data flows.
• Define, track, and report risk-based KPIs, residual risk positions, and remediation actions.

3. Security-by-Design & Systems Assurance

• Ensure cybersecurity controls are designed, implemented, and verified across all Systems and Subsystems, based on system criticality and network zone classification.
• Oversee the development of defensible architectures, secure remote access models, segmentation strategies, and zero-trust principles where applicable.
• Confirm alignment between ECWE cybersecurity design and ECLRT operational cybersecurity, identifying and resolving exposure points created through system integration.

4. Standards Compliance & Assurance

• Ensure compliance with applicable cybersecurity standards and guidance, including:
• IEC 62443 series
• CLC/TS 50701
• NIST SP 800-series
• ISO/IEC 27001/27002
• APTA cybersecurity standards
• Coordinate cybersecurity inputs to System Security Submissions, assurance documentation, and Independent Safety Assessor (ISA) reviews.
• Support Contracting Authority and ISA verification and validation activities, including audits, testing, and assessments.

5. Incident Response, Monitoring & Resilience

• Establish and maintain incident response, contingency, and recovery plans, and lead tabletop exercises and stakeholder workshops.
• Ensure continuous monitoring through network monitoring, SIEM integration, and threat intelligence processes.
• Act as the lead authority for cybersecurity incident notification, investigation, root cause analysis, and lessons learned in accordance with Schedule 29 requirements.

6. Third-Party, Vendor & Interface Security

• Oversee cybersecurity risk management for third-party systems, vendors, and contractors, including assurance of interfaces with Contracting Authority and Operator systems.
• Ensure secure integration of external systems without introducing new vulnerabilities to existing operational environments.
• Validate that configuration management, access controls, and change management processes are enforced across all interfaced systems.

7. Cybersecurity Deliverables & Lifecycle Management

• Direct the preparation, review, and submission of all Cybersecurity Deliverables required under Schedule 29 and Appendix B.
• Ensure deliverables are reviewed, approved, and baselined in accordance with Schedule 10 – Review Procedure prior to system implementation.
• Maintain controlled configuration baselines and documentation to support rollback, auditability, and lifecycle traceability.

8. Reporting & Stakeholder Engagement

• Serve as the primary cybersecurity liaison with the Contracting Authority, ISA, Operator, and emergency response agencies.
• Provide regular cybersecurity status updates, risk summaries, and assurance reporting to Project leadership and review bodies.
• Ensure timely, accurate, and defensible communication of cybersecurity posture throughout the Project Term.

Qualifications:

• Experience: Minimum 10 years in cybersecurity, with demonstrated leadership experience in rail, transit, or critical infrastructure environments.
• Domain Expertise: Strong background in OT/ICS security, industrial automation systems, and cyber-physical risk management.
• Standards Knowledge: Proven experience applying IEC 62443, NIST, ISO/IEC 27001, and transportation-sector cybersecurity frameworks.
• Certifications (Preferred): CISSP, CISM, CISA, or equivalent.
• Leadership & Communication: Ability to lead multidisciplinary teams and communicate complex cybersecurity risks to technical and non-technical stakeholders.