Risk Manager

Viseven Group — міжнародна MarTech компанія, що спеціалізується на інтерактивному контенті та хмарних рішеннях для глобальних фармацевтичних компаній з 2009 року. Постійне зростання та саморозвиток закладені в нашій корпоративній ДНК. Наші унікальні розробки та підходи активно використовуються більш ніж у 50 країнах світу. Рішення Viseven представлені на великих галузевих заходах у Барселоні, Філадельфії, Лондоні тощо.
Команда, яка швидко зростає, включає понад 700+ висококваліфікованих технічних і нетехнічних експертів: front- і back-end розробників, BA фахівців та менеджерів, які створюють, локалізують і налаштовують програми у офісах по всьому світу: Житомир (Україна), Таллінн (Естонія), Познань (Польща), Нью-Делі (Індія), Бриджвотер (США).
Security Risk Manager — це фахівець з управління ризиками інформаційної безпеки, який відповідає за ідентифікацію, оцінку та моніторинг ризиків, пов'язаних із захистом інформаційних активів організації. Основні обов'язки включають розробку та впровадження стратегій зменшення ризиків, проведення регулярних оцінок безпеки, забезпечення відповідності міжнародним стандартам (наприклад, ISO 27001), а також комунікацію з власниками ризиків та ІТ-командою. Security Risk Manager також координує впровадження контролів безпеки, аналізує кіберзагрози та гарантує ефективність заходів захисту. 

Знання та розуміння:

• Засоби контролю ІТ-безпеки, управління ризиками та відповідністю.
• Вимоги ІТ-безпеки для захисту інформації та інформаційних активів.
• Норми міжнародних та національних стандартів:
• ISO/IEC 27001-2
• ISO/IEC 27005
• NIST 800−53.

Необхідний досвід:

• Мінімум 2 роки роботи у сфері інформаційної безпеки та кібербезпеки;
• Впровадження фреймворку ISO 27001;
• Практичний досвід у хмарних обчисленнях, кіберризиках, мережевій безпеці, управлінні базами даних, SOCv2;
• Оцінка ризиків, розробка та впровадження контролів для зниження ризиків.

Навички:

• Виявлення ризиків та рекомендації щодо їх мінімізації;
• Сильні навички усного та письмового спілкування;
• Управління ризиками та розробка планів дій;
• Знання скорингу вразливостей (CVSS), аналіз вразливостей (CWE, CVSS) та розробка компенсуючих контролів.

Технології:

• Загальне розуміння засобів інформаційної безпеки (FW, Proxy, IPS/IDS, WAF, SIEM, DLP, EDR);
• Знання хмарних технологій (AWS), контейнеризації (Kubernetes), CI/CD, DevOps, cloud-native apps.

Регуляторні вимоги:

• Знання регуляторних документів з інформаційної безпеки (ISO 27001, GDPR, CCPA).

Сертифікація:

• Перевага надається сертифікатам: CISSP, CISM, ISO 27001 LI або аналогічним.

Інші навички:

• Високі комунікаційні навички та вміння презентувати матеріал;
• Знання управлінських інструментів (Jira);
• Англійська мова на рівні Upper-Intermediate;
• Аналітичні здібності, комунікабельність, системний підхід, стресостійкість, старанність, відповідальність.

Функціональні обов’язки:

• Актуалізація методології:
o Оновлення методології управління ризиками інформаційної безпеки та кібербезпеки.

• Інвентаризація активів:
o Організація інвентаризації активів, формування та актуалізація реєстру операційно-технологічних активів.o Визначення рівнів критичності активів, формування та актуалізація реєстру критичних операційно-технологічних активів.

• Ідентифікація та оцінка ризиків:
o Визначення обсягу управління ризиками.o Розуміння внутрішніх і зовнішніх факторів, що впливають на інформаційну безпеку.o Визначення критеріїв ризику та прийнятних рівнів ризику.o Ідентифікація вразливостей, загроз та ризиків інформаційної безпеки.o Оцінка можливих наслідків впливу загроз на активи з врахуванням вразливостей.o Оцінка ризиків під час розробки із використанням методологій OWASP Threat Modeling, STRIDE, PASTA.o Проведення оцінювання ризиків операційно-технологічної інфраструктури та впроваджуваних систем і сервісів.o Вибір відповідних заходів для зниження ризиків до прийнятного рівня.o Оптимізація витрат та ефективності заходів захисту.o Підготовка плану оброблення ризиків.o Оцінка ефективності впроваджених заходів.o Постійне спостереження за ризиками та ефективністю заходів обробки ризиків.o Виявлення змін у середовищі, які можуть вплинути на ризики.o Забезпечення належного рівня інформованості про ризики та заходи з їх управління серед всіх зацікавлених сторін.o Взаємодія з експертами та зацікавленими сторонами для покращення процесу управління ризиками.

• Розробка регламентуючих документів:
o Розроблення та актуалізація політик, регламентів, процедур та інструкцій з ризик-менеджменту.

• Оцінка постачальників:
o Оцінка ризиків постачальників та ведення реєстру.

• Аудити:
o Участь у внутрішніх та зовнішніх аудитах інформаційної безпеки та кібербезпеки в частині ризик менеджменту.

• Взаємодія та координація:
o Проведення воркшопів з бізнес- та ІТ-власниками.o Взаємодія із зацікавленими сторонами для покращення управління ризиками.o Підготовка звітів щодо управління ризиками та контролями.

• Автоматизація та моніторинг:
o Автоматизація процесів управління ризиками.o Моніторинг ефективності впроваджених контролів і ризиків.o Підтримка процесу відповідності регуляторним вимогам.o Документування, підтримка KPI/OKR та звітність.

Що ми пропонуємо?Команда має для нас велике значення, тому ми цінуємо її та надаємо можливість кожному ділитися своїм баченням, втілювати власні ідеї, зростати у професійному середовищі, зберігаючи баланс між роботою та особистим життям.Приєднавшись до Viseven, ви отримаєте:· Конкурентоспроможну винагороду та регулярний перегляд заробітної плати· Професійне та кар'єрне зростання· Оплачувану відпустку - 18 робочих днів на рік (20 робочих днів після 2 років співпраці)· Лікарняний без підтверджуючих документів - 4 робочих дні на рік· Документально оформлений лікарняний - 20 робочих днів на рік· Відпустку по сімейних обставинах - 3 оплачуваних робочих дні (у разі одруження, народження дитини або тяжкої втрати)· Комплексне медичне страхування (включаючи курс масажів та фізіопроцедур)· Курси вивчення англійської мови· Можливість участі в професійних форумах і конференціях· Регулярні корпоративні заходи та тімбілдінги· Досвідчену команду та дружню атмосферу· Приємне робоче середовище: комфортний, повністю обладнаний офіс та можливість працювати вдома