IT Security - Information Risk Officer

In cadrul departamentului de Securitate a Informatiei se asigura de existenta si evaluarea cadru eficient de management al riscurilor IT și de securitate informatică la nivelul întregii bănci digitale, cu accent pe evaluarea, monitorizarea și controlul riscurilor cibernetice și operaționale, inclusiv cele generate de furnizorii terți de servicii TIC, în conformitate cu cerințele Regulamentului DORA și reglementările naționale aplicabile.

Responsabilități principale

Managementul riscurilor IT & de securitate:

- Proiectează și menține cadrul de management al riscurilor IT și cibernetice.

- Evaluează periodic riscurile IT și de securitate asociate activelor informatice, proceselor de business și serviciilor externe.

- Definește, documentează și menține registrul de riscuri IT și planurile de tratare a riscurilor.

- Redactează și prezintă rapoarte periodice privind expunerea la risc IT/cibernetic și eficacitatea controalelor.

- Participă activ în procesele de securitate legate de schimbări tehnologice, noi integrări și implementări.

- Colaborează cu echipele de audit, IT, conformitate și juridic pentru a răspunde cerințelor de reglementare și audit.

Managementul riscurilor TIC aferente furnizorilor (Third Party ICT Risk):

- Creează și implementează cadrul intern de Third Party Risk Management (TPRM) conform DORA.

- Participă la procesul de onboarding și due diligence pentru furnizori TIC (inclusiv CSP, SaaS, MSSP).

- Evaluează riscurile asociate furnizorilor terți critici, inclusiv subcontractorii acestora.

- Asigură clasificarea furnizorilor în funcție de impactul asupra continuității operaționale și securității.

- Verifică existența și aplicabilitatea controalelor de securitate la nivelul furnizorilor, în acord cu cerințele contractuale și SLA.

- Colaborează cu echipa juridică pentru revizuirea contractelor și includerea clauzelor de reziliență operațională, notificare incidente și auditabilitate.

- Monitorizează riscurile aferente furnizorilor pe toată durata contractului.

- Participa in procesul de definire de exit strategy pentru furnizorii TIC critici (ex: planuri de migrare, testări, back-up provider).

- Participă la exerciții de testare a continuității și rezilienței împreună cu furnizorii critici.

Activități zilnice și recurente:

- Monitorizarea incidentelor, vulnerabilităților și schimbărilor în infrastructura IT și în relațiile cu furnizorii.

- Actualizarea registrului de riscuri IT și TPRM, documentarea planurilor de tratament și urmărirea implementării lor.

- Coordonarea periodică a evaluărilor de risc aferente furnizorilor existenți (reevaluare anuală / bazată pe eveniment / audit extern).

- Participarea la comitete de risc, securitate, achiziții TIC și proiecte.

- Analiza și avizarea documentației contractuale pentru furnizori TIC noi sau existenți.

- Menținerea relației cu echipele tehnice, de support, de achiziții și cu furnizorii din perspectiva gestionării riscurilor și stabilirea de planuri de acțiune corective.

Competente tehnice:

-Experiență de minim 3 ani în domeniul securității IT, risk management sau audit IT, preferabil în sectorul financiar.

-Înțelegere avansată a cerințelor DORA, EBA ICT Guidelines, NIS2, ISO/IEC 27001/27005, NIST CSF.

-Experiență în managementul relației cu furnizori TIC și în procese de due diligence, onboarding și exit.

-Cunoștințe privind cloud security, infrastructuri critice și riscurile aferente serviciilor SaaS, IaaS, PaaS.

-Cunoștințe despre drepturile de audit, clauze SLA, BCP/DR din contractele TIC.

-Familiaritate cu procesele ITIL, în special incident/change/problem management în context externalizat.

Competente sociale

-Proactivitate, autonomie si asumarea responsabilitatilor

-Gandire analitica si abordare structurala a problemelor

-Abilitati de comunicare excelente, orala si in scris

-Abilitati de negociere si de gestionare eficienta a relatiilor cu parti externe