Responsable, Sécurité des Systèmes d'Information

Job Description

À La Corporation People, nous avons à cœur la réussite des entreprises. Nous sommes un fournisseur national de solutions d’avantages sociaux, de retraite, de patrimoine, de bien-être et de ressources humaines. Nos experts et nos solutions sont au service de plus de 20 000 clients représentant près de trois millions de Canadiens. Nous proposons des solutions personnalisées conçues pour répondre aux besoins uniques des entreprises et de leurs employés, membres et parties prenantes.

Nous nous engageons à fournir un environnement inclusif et accessible, où tous les employés et les clients se sentent valorisés, respectés et soutenus. Nous nous engageons également à constituer un personnel qui reflète la diversité des communautés dans lesquelles nous vivons et à créer un environnement dans lequel chaque employé a la possibilité de réaliser son potentiel. Si vous avez besoin de mesures d’adaptation ou d’un média substitut en lien avec un affichage de poste, veuillez écrire à careers@peoplecorporation.com.

Responsable de la sécurité des systèmes d'information ( RSSI)

Aperçu du poste:

En tant que Responsable de la sécurité des systèmes d'information ( RSSI) , vous jouerez un rôle essentiel dans la protection des actifs informationnels de l'organisation et veillerez au respect des réglementations sectorielles. Un RSSI doit posséder une combinaison de connaissances techniques et commerciales pour aider à améliorer la sécurité de l'information et le risque informatique dans tous les aspects d'une entreprise.

Les responsabilités du RSSI sont:

Fournir une expertise professionnelle aux entreprises, à la direction de la sécurité de l'information et aux responsables de la technologie en procédant à des évaluations des risques de sécurité et en identifiant des solutions de sécurité afin de garantir une prise de conscience transparente des risques à l'appui de la prise de décisions critiques. Travailler en collaboration avec les membres de l'ISO pour élaborer des politiques et des normes de sécurité de l'information et veiller à ce qu'elles soient toujours d'actualité pour toutes les entreprises participantes. Cela implique de prendre en considération un large éventail d'environnements techniques complexes, de stratégies et d'objectifs commerciaux différents, de cultures diverses et de structures organisationnelles. Recommander des initiatives de conformité et de correction en matière de sécurité pour la technologie, les processus et les services (a.) afin de garantir l'efficacité permanente du programme de sécurité de l'information, (b.) de protéger l'entreprise contre les menaces à la sécurité et (c.) de garantir la conformité avec les exigences réglementaires, celles des principaux partenaires commerciaux et celles des clients. Collaborer avec les membres de l'ISO et le responsable de la sécurité de l'information (CISO) pour élaborer et mettre en œuvre un programme permanent et évolutif de sensibilisation et de formation à la sécurité de l'entreprise, qui favorise une culture de sensibilisation, de responsabilisation et de comportement proactif. Se tenir informé du secteur de la sécurité et de la protection de la vie privée afin de se tenir au courant des meilleures pratiques, des tendances, des technologies et des exigences réglementaires en matière de sécurité de l'information, en veillant à ce que les solutions de sécurité soient appliquées avec soin et à ce qu'elles soient concurrentielles. Rechercher les meilleures pratiques, définir et recommander des améliorations à apporter à l'infrastructure de sécurité de l'entreprise pour soutenir le programme de sécurité. Gérer les incidents de sécurité majeurs pour des sites/entreprises spécifiques en surveillant et en évaluant activement les vulnérabilités et les exploits (afin de s'assurer que des mesures préventives sont prises pour protéger l'entreprise) et prendre les mesures appropriées de manière décisive et opportune, y compris les décisions critiques, les recommandations et les communications jusqu'au niveau des hauts responsables de la sécurité de l'information. Élaborer et mettre en œuvre une stratégie, des plans et des budgets de sécurité, sous la direction du CISO, pour des sites/entreprises spécifiques. Participer à l'étalonnage des performances en matière de sécurité et aux études de rentabilité afin de garantir la valeur de l'entreprise. Réaliser des analyses de rentabilité pour les solutions de sécurité en mettant l'accent sur les pratiques d'évaluation des risques. Assurer des fonctions de gestion du personnel (recrutement, coaching, évaluations, etc.) pour les subordonnés directs, selon les besoins. Développer et maintenir une compréhension approfondie de l'unité opérationnelle, des technologies, des clients, des partenaires, des alliances, des systèmes, des processus, des données et des clients. Agir en tant que principal contact ou conseiller pour la sécurité locale dans le cadre du rôle de direction de la sécurité de l'information et des partenaires commerciaux de l'informatique, ainsi que des services financiers, des ressources humaines, du service juridique et d'autres membres du personnel, le cas échéant. Assurer la direction, le soutien exécutif et l'orientation stratégique et tactique du programme de cybersécurité en soutenant les initiatives de sécurité de l'entreprise. S'engager activement auprès des entreprises partenaires pour aider une entreprise à atteindre ses objectifs en représentant le programme de sécurité et en aidant en cas d'incident de sécurité en tant que contact principal pour la communication. Participer à des réunions et conférences liées à l'entreprise, à la région ou à l'unité, ainsi qu'à des forums sectoriels associés au programme de cybersécurité. Proposer des rapports réguliers sur l'état de la cybersécurité dans l'ensemble de l'entreprise, de la région ou de l'unité concernée. Servir de contact principal pour la remontée des demandes, des problèmes de sécurité et des problèmes de sécurité de l'information. Assurer la coordination avec les équipes de gestion des crises et de réponse aux incidents de sécurité afin de contribuer à la résolution des incidents et de participer aux enquêtes. Offrir des conseils en matière de cybersécurité dans toutes les régions et fonctions, en tant que prolongement du vice-président de la sécurité de l'information de l'entreprise. Comprendre les processus, identifier et évaluer les contrôles et les risques, et proposer des contrôles et des stratégies de gestion des risques afin que l'entreprise respecte les politiques et les normes en matière de sécurité de l'information. S'informer et participer activement aux projets de sécurité dans l'ensemble de l'entreprise. Fournir des conseils en matière de reprise après sinistre et de planification de la continuité des activités lorsqu'il collabore avec les dirigeants en vue d'assurer la résilience de l'entreprise et de la cybersécurité. Maintenir à jour les connaissances relatives aux menaces de sécurité, aux vulnérabilités et aux mesures d'atténuation mises en place pour réduire la surface d'attaque ; faire circuler ces connaissances dans les unités opérationnelles. Veiller à ce que les projets d'entreprise soient axés sur la cybersécurité dès le départ. Identifier et documenter les menaces et les vulnérabilités susceptibles d'avoir un impact sur l'entreprise et les aborder régulièrement avec les unités opérationnelles. En collaboration avec les responsables de la sécurité et de l'entreprise, définir des indicateurs de performance clés (KPI) et des mesures alignées sur les initiatives de l'entreprise et les communiquer aux équipes non techniques dans des termes accessibles et compréhensibles. Motiver les unités opérationnelles à adopter des contrôles de cybersécurité. Supprimer la complexité et les obstacles qui entravent l'efficacité des contrôles de sécurité à l'échelle de l'entreprise. Vérifier que les initiatives de formation au contenu de la sécurité et la communication interne/externe sont menées régulièrement. Effectuer d'autres tâches qui lui sont confiées.

Exigences et habiletés du poste:

Au moins 10 ans d'expérience en cybersécurité (ou en technologies de l'information couplées à la cybersécurité), dont au moins 5 ans dans un rôle de praticien de la sécurité axé sur les opérations. Au moins 3 ans d'expérience de travail avec des dirigeants d'entreprise et des projets d'entreprise. 3 ans ou plus de gestion de projets de cybersécurité ou de technologies de l'information. Baccalauréat en administration des affaires, en assurance de l'information ou dans un domaine technique connexe. Une maîtrise n'est pas requise, mais un diplôme supérieur (par exemple, un MBA ou une maîtrise en assurance de l'information ou en informatique) est préférable. Certifications BISO requises : Préférable, mais pas obligatoire : CISSP, CISM, CRISC, CISA La maitrise de l'anglais est souhaitable Solides compétences en matière de communication écrite et orale à tous les niveaux de l'organisation. Capable de travailler avec des équipes diverses et de promouvoir une culture de sécurité positive à l'échelle de l'entreprise. Haut niveau d'intégrité, de fiabilité et de confiance, et capacité à représenter l'entreprise et la direction de la sécurité avec le plus haut niveau de professionnalisme. Aptitude à comprendre les priorités et les processus de l'entreprise et capacité à intégrer la cybersécurité dans l'entreprise grâce au travail d'équipe et à l'influence. Solides compétences en matière de gestion de projet, de multitâche et d'organisation. Connaissance des politiques, réglementations et cadres de sécurité nationaux et mondiaux en matière de cybersécurité. L'esprit d'initiative ne nécessite qu'une supervision minimale. Posséder des compétences générales en matière de gestion d'entreprise. Excellence dans la communication des exigences en matière de protection de la vie privée, de risques commerciaux et de mesures correctives découlant des évaluations. Une personne très organisée et efficace. Pensée stratégique et tactique avérée, compétences décisionnelles et sens des affaires

Collaboration avec S&G:

Liaison entre les SIE et les groupes d'entreprises. Interpréter les exigences de sécurité en termes commerciaux que les décideurs commerciaux peuvent comprendre. Interpréter les risques informatiques provenant de l'environnement informatique en risques commerciaux que les décideurs peuvent comprendre et comment ces risques peuvent avoir un impact sur les objectifs commerciaux. Traduire les objectifs de l'entreprise en termes permettant aux programmes de cybersécurité et de risques informatiques de s'aligner sur ces objectifs. Conformité - aider l'entreprise à respecter ses obligations contractuelles, légales et réglementaires. Soutenir l'alignement de la continuité des activités et de la reprise après sinistre informatique afin de garantir le respect des exigences en matière de cybersécurité. Se faire le champion des services liés à la sécurité et des cartes de service associées, en particulier pour les initiatives liées aux services de sécurité. Communiquer les risques commerciaux résultant d'écarts par rapport à la ligne de base définie en matière de sécurité et recommander des contrôles compensatoires pour réduire les risques. Soutenir l'organisation informatique dans l'adoption et l'évolution des processus informatiques qui incluent les contrôles de sécurité attribués (ex SDLC, IT Asset Mgt, Change Mg, Patch Mgt). Soutenir l'entreprise dans la gestion des incidents de sécurité Soutenir l'élaboration d'analyses de rentabilisation visant à promouvoir l'amélioration de la maturité en matière de cybersécurité. S'adresser aux entreprises dans un contexte de sécurité Superviser les services de sécurité applicables aux initiatives de prestation de services. Soutenir le développement et l'évolution des politiques et des normes de sécurité de l'information de l'entreprise. Promouvoir les programmes de formation et de sensibilisation à la sécurité de l'information auprès des chefs d'entreprise et des parties prenantes de l'entreprise.

PS: L'usage du masculin est dans le but d'alléger le texte.

---