Chief Information Security, Risk and Compliance [#4901]

Alteo is looking for a Chief Information Security, Risk and Compliance for a permanent position based in Montreal.

Your main role will be to support the maturation of the IT risk management and compliance system in order to address the organization's key challenges: implementing a security management system in accordance with international standards; measuring, managing, and controlling operational risks; ensuring platform compliance with payment market requirements; implementing and testing platform and service resilience mechanisms; responding to customer requirements in terms of security, business continuity, compliance, and data protection; managing operational risks and ongoing controls; contributing to the organization's cross-functional initiatives and activities.

Based on the group's strategy, you will be required to strengthen the measures deployed, implement operational risk management, deploy the permanent control system, promote and oversee its implementation, ensure that the IT continuity plan remains operational, and implement data governance.

Responsibilities:

> Setting up the organization and governance of the business for North America

• Establish an organizational and governance framework for the business linked to its management, with regular monitoring and reporting.
• Develop lasting relationships with all stakeholders involved in the exercise of its mission.
• Contribute, as needed, to studies and discussions on risk, security, compliance, and data governance.
• Promote the “added value” of risk management, business continuity, compliance (including data protection), and ongoing control, and ensure smooth communication.

> Information system security and resilience

• Implement information security governance and organization for North America.
• Define and obtain management approval for information system security guidelines and objectives for all activities within its scope.
• Define and implement the general information system security policy. Implement procedures related to information system security.
• Identify, analyze, and assess risks, threats, and consequences (risk mapping).
• Study the system for controlling risks related to information system security, taking into account regulatory and legal requirements, as well as customer requirements.
• Define and deploy plans for dealing with information system security risks.
• Raise awareness and provide training on data security and protection issues: promote the IT security charter to all users.
• Manage IT security incidents: activate crisis units in the event of a disaster and ensure the necessary coordination with the departments involved.
• Ensure that audits and intrusion tests are carried out in accordance with the strategy, management needs, and regulatory and contractual requirements.
• Lead initiatives to strengthen the security culture within the Canadian business and ensure that all stakeholders are involved in risk management, so that everyone fully embraces their role, the cost-benefit/risk ratio is favorable, and the accepted level of residual risk is aligned with the risk appetite defined by management.
• Define and oversee the IT security management system (standards, tools, incident tracking, audits, etc.).
• Monitor regulatory and technical developments to ensure that the information systems security policy is in line with these developments.
• Support the pre-sales team in due diligence exercises conducted by customers in the North American region. Contribute to related projects and ensure compliance with contractual requirements.
• Establish the framework and ensure the resilience of the provisions put in place for clients.
• Ensure that annual tests are carried out, in coordination with clients and teams.
• Ensure that existing certifications are maintained and that areas not covered (ISO 27001) are certified.
• Ensure the production of SOC2 Type II reports at the required frequency.

> Permanent control

• Define, based on the guidelines of the governing bodies, the organization and governance of the permanent control system.
• Assist managers/service managers in the deployment of the operational risk management and permanent control system at level 1, within their scope of responsibility. Ensure follow-up.
• Using a holistic approach, ensure that operational risks are identified and qualified (e.g., self-assessment of risks and controls) and that the operational risk management system is deployed (e.g., management of outsourced services, implementation and monitoring of key risk indicators).

> Compliance and personal data protection

Ensure legal, regulatory, and contractual compliance with regard to information system security and personal data protection at the regional level:

• Recommend a compliance framework: identify non-compliance risks and ensure that appropriate prevention measures are implemented in accordance with the group's key compliance principles and legal, regulatory, and contractual provisions.
• Ensure the compliance of contracts (customers, suppliers, employees) and contractual clauses to meet security, confidentiality, and personal data protection requirements.
• Develop and implement all compliance-related instructions and procedures.
• Ensure transparency and accountability in risk and compliance-related decision-making (reports and record-keeping, etc.).
• Ensure compliance with applicable legal and regulatory obligations by drawing on the expertise of cross-functional group functions in this area.
• Raise awareness and encourage employees to report violations of the code of conduct or compliance issues (through reporting channels and investigations, etc.).

> Team management

• Build and supervise the team of controllers under your hierarchical responsibility.
• Ensure the development, expertise, and skills advancement of employees in the respective risks to be covered.
• Ensure the setting of annual objectives and employee evaluations.

Profile:

• Bachelor's/Master's Degree in IT or equivalent
• 10+ years of experience in information systems auditing/control.
• Proficiency in the banking and financial regulatory environment (business knowledge, operational risks, controls).
• Experience in the electronic banking industry (an asset).
• ISO27001, ITIL, COBIT, CEH, CISSP, CISA, CRISC, PMP certification (an asset).
• Experience as a team manager.
• Solid knowledge of IT, IT architecture, and related tools.
• Solid knowledge of IT risk management, norms and standards, and cybersecurity.
• Solid knowledge of process modeling and internal control frameworks (e.g., IIA, ISACA, etc.).
• Proficiency in communication and facilitation tools and project management.
• Excellent ability to analyze situations and operations, ability to synthesize information.
• Managerial skills, good interpersonal skills, and ability to work with multicultural teams.
• Proactive, ability to persuade.
• Listening and negotiation skills, communication and diplomacy.
• Leadership, initiative.
• Rigorous, pragmatic, and methodical.

@@@@@
Alteo est à la recherche d'un Directeur Sécurité, Risque et Conformité pour un poste permanent basé à Montréal.

Votre rôle principal sera d'accompagner la montée en maturité du dispositif de l’activité autour de la gestion des risques TI et conformité afin de répondre aux principaux enjeux de l'organisation: la mise en œuvre d’un système de management de la sécurité selon les standards internationaux; la mesure, la gestion et le pilotage des risques opérationnels; la mise en conformité des plateformes au niveau des exigences des marchés du paiement; la mise en place des mécanismes de résilience des plateformes et services et leur test; la réponse aux exigences clients sur les volets de la sécurité, la continuité d’activité, la conformité et protection des données; la gestion des risques opérationnels et contrôle permanents; contribuer aux initiatives et activités transversales de l'organisation.
Sur la base de la stratégie du groupe, vous devrez renforcer les dispositifs déployés, mettre en œuvre le management du risque opérationnel, déployer le dispositif de contrôle permanent, le promouvoir et piloter sa mise en œuvre, assurer le maintien en condition opérationnelle du plan de continuité informatique et mettre en œuvre la gouvernance autour de la donnée.

Responsabilités:

> Mise en place de l’organisation et de la gouvernance de l’activité pour l'Amérique du Nord

• Mettre en place un cadre d’organisation et de gouvernance de l’activité lié à sa direction, avec des instances régulières de suivi et de reporting.
• Développer des relations durables avec l’ensemble des interlocuteurs intervenant dans le cadre de l’exercice de sa mission.
• Contribuer, selon les besoins, aux études et réflexions en matière de risque, de sécurité, de conformité et de gouvernance des données.
• Promouvoir la « valeur ajoutée » de l’activité de gestion des risques, de la continuité d’activité, de la conformité (protection de données inclus) et du contrôle permanent, et assurer une communication fluide.

> Sécurité et résilience des systèmes d’information

• Décliner la gouvernance et l’organisation de la sécurité de l’information pour l'Amérique du Nord.
• Définir et faire valider par le management les orientations et les objectifs de sécurité des systèmes d’information pour l’ensemble des activités de son périmètre.
• Définir et mettre en œuvre la politique générale de sécurité des systèmes d’information. Mettre en place les procédures liées à la sécurité des systèmes d’information.
• Identifier, analyser et évaluer les risques, les menaces et les conséquences (cartographie des risques).
• Etudier le dispositif de maitrise des risques liées à la sécurité des systèmes d'information, en considération les exigences réglementaires et légales, ainsi que les exigences des clients.
• Définir et déployer les plans de traitement des risques de sécurité des systèmes d'information.
• Sensibiliser et former aux enjeux de la sécurité et de la protection des données : assure la promotion de la charte de sécurité informatique auprès de tous les utilisateurs.
• Gérer les incidents de sécurité informatique : déclencher les cellules de crise en cas de sinistre, et assurer la coordination nécessaire auprès des services impliqués.
• S’assurer de l’exercice des missions d’audit et de tests d’intrusion, suivant la stratégie, les besoins du management, et les exigences réglementaires et contractuelles.
• Mener les actions de renforcement de la culture sécurité au sein de l’activité au Canada, et s’assurer de l’implication de tous les acteurs dans la gestion des risques, afin que chacun s’approprie pleinement son rôle, que le coût bénéfice/risques soit avantageux, et que le niveau de risque résiduel accepté soit aligné avec l’appétence aux risques définis par le management.
• Définir et piloter le système de management de sécurité informatique (norme, outils, suivi des incidents, audits…).
• Suivi des évolutions réglementaires et techniques afin de garantir l’adéquation de la politique de sécurité des systèmes d’information avec ces évolutions.
• Accompagner l’équipe d’avant-vente dans les exercices de Due Diligence conduit par les clients de la région Amérique du nord. Contribuer dans les projets y afférents, et assurer le respect des exigences contractuelles.
• Mettre en place le cadre et s’assurer de la résilience des dispositions mis en place pour les clients.
• Assurer la réalisation des tests annuels, en coordination avec les clients et les équipes.
• Assurer le maintien des certifications existantes, et la certification des périmètres non couverts (ISO 27001).
• Assurer la production des rapports SOC2 Type II à la fréquence exigée.

> Contrôle permanent

• Définir, à partir des orientations des organes dirigeant, l’organisation et la gouvernance du dispositif de contrôle permanent.
• Assister les managers/responsables services dans le déploiement du dispositif de gestion des risques opérationnels et de contrôle permanent de niveau 1, sur son périmètre de responsabilité. En assurer le suivi.
• Avec une approche holistique, s’assurer que les risques opérationnels sont identifiés et qualifiés (ex : auto-évaluation des risques et des contrôles), que le dispositif de maitrise des risques opérationnels est déployé (ex : pilotage des prestations de services externalisés, mise en place et suivi des indicateurs clés de risques).

> Conformité et protection des données à caractère personnel

Assurer la conformité légale, réglementaire et contractuelle sur les volets sécurité des systèmes d'information et protection des données à caractère personnel au niveau de la région :

• Recommander un cadre de conformité : recenser les risques de non-conformité et s’assurer de la mise en œuvre des dispositifs de prévention appropriés au regard des grands principes de conformité du groupe et des dispositions légales, réglementaires et contractuelles.
• S’assurer de la conformité des contrats (clients, fournisseurs, collaborateurs) ainsi que des clauses contractuelles pour répondre aux exigences de sécurité, de confidentialité, et celles liées à la protection des données à caractère personnel.
• Décliner et déployer toutes les instructions et procédures relatives à la conformité.
• Assurer la transparence et la responsabilisation dans la prise de décisions liées aux risques et à la conformité (rapports et tenue de dossiers…).
• Veiller au respect des obligations légales et réglementaire applicables en s’appuyant sur l’expertise des fonctions transverse groupe en la matière.
• Sensibiliser et inciter les collaborateurs à signaler les infractions au code de conduite ou aux problèmes de conformité (à travers des canaux de dénonciation et enquêtes…)

> Gestion d'équipe

• Constituer, puis superviser l’équipe de contrôleurs placée sous sa responsabilité hiérarchique.
• Assurer le développement, l’expertise et la montée en compétences des collaborateurs sur les risques respectifs à couvrir.
• Assurer la fixation des objectifs annuels et les évaluations des collaborateurs.

Profil:

• Bac/Maîtrise en TI ou l'équivalent.
• 10+ années d'expérience en audit/contrôle en systèmes d’information.
• Maîtrise de l’environnement réglementaire bancaire et financier (connaissance métiers, risques opérationnels, contrôles).
• Expérience dans l'industrie de la monétique (un atout).
• Certification ISO27001, ITIL, COBIT, CEH, CISSP, CISA, CRISC, PMP (un atout).
• Expérience comme gestionnaire d'équipe.
• Solides connaissances en TI, architecture TI et outils associés.
• Solides connaissances en gestion des risques TI, normes et standards, cyber-sécurité.
• Solides connaissances en modélisation des processus, des cadres de référence de contrôle interne (ex : de IIA, ISACA...)
• Maîtrise des outils de communication et d’animation et de la gestion de projets.
• Excellente capacité d’analyse des situations et des opérations, esprit de synthèse.
• Qualités managériales, bon relationnel et aptitudes à travailler avec des équipes multiculturelles.
• Etre force de proposition, capacité à convaincre.
• Ecoute et négociation, communication et diplomatie.
• Leadership, esprit d’initiative.
• Rigoureux, pragmatique et méthodique.