Analista de Riscos e Controles de Segurança - Pleno (GRC)

Descrição

Resumo da Vaga: O time de Segurança da Informação busca um profissional para atuar com foco na gestão de riscos e controles internos, monitorando ameaças. Principais Destaques: 1. Atuação com gestão de riscos e controles internos de segurança da informação 2. Condução do processo de Gestão de Riscos de Segurança da Informação 3. Apoio a processos de auditoria, conformidade e governança Se você busca aprender coisas novas, trabalhar em um ambiente dinâmico e desafiador, esta pode ser a sua oportunidade! O time de **Segurança da Informação** tem como missão implementar e realizar manutenção de um sistema de gestão de segurança da informação que garanta a confidencialidade, integridade e disponibilidade da informação crítica para o negócio, além de apoiar e orientar os setores e colaboradores do Asaas, através de ações educativas para disseminar as boas práticas de segurança. Você irá atuar com foco na gestão de riscos e controles internos de segurança da informação, monitorando ameaças que podem impactar o negócio. Se interessou pela oportunidade mas não reside em Joinville? Não tem problema, possibilitamos o trabalho **remoto/home office.** **Responsabilidades e atribuições** * Conduzir o **processo de Gestão de Riscos de Segurança da Informação e Cibersegurança** ponta a ponta: identificação, análise, avaliação, tratamento, aceitação e monitoramento contínuo; * Manter e evoluir o **Inventário/Registro de Riscos (Risk Register)**, garantindo rastreabilidade (causa, impacto, probabilidade, controles existentes, plano de ação, dono do risco, prazos e status); * Planejar e executar **avaliações de risco** para iniciativas, mudanças e projetos (ex.: novos sistemas, integrações, mudanças de arquitetura, cloud, terceiros, novas tecnologias); * Avaliar e acompanhar a **efetividade de controles de Segurança da Informação**, apoiando as áreas na implementação, evidência e melhoria contínua (controles preventivos, detectivos e corretivos); * Definir e acompanhar **planos de tratamento** (mitigação, transferência, aceitação ou eliminação), realizando follow\-up com os responsáveis e apoiando na priorização baseada em risco; * Elaborar **relatórios executivos e operacionais** de riscos, tendências e exposição (ex.: KRIs, heatmaps, status de ações, exceções e riscos residuais) para públicos técnicos e de liderança; * Apoiar processos de **auditoria, conformidade e governança** (internas/externas), garantindo alinhamento com políticas, normas e requisitos regulatórios aplicáveis; * Atuar em conjunto com times de Segurança, Infra/Cloud, Engenharia, Produto, Jurídico para **incorporar requisitos de segurança** e reduzir riscos desde a origem. * Operar e aprimorar o processo de **Gestão de Riscos de Terceiros** (onboarding, classificação/criticidade, due diligence, avaliação, aprovação, reavaliações periódicas e encerramento); * Conduzir **avaliações de segurança de fornecedores e parceiros** (questionários, análise documental, evidências, calls técnicas), avaliando postura de segurança e resiliência; * Avaliar riscos associados a **acesso a dados, integrações, subcontratados (fourth parties)**, hospedagem em nuvem, tratamento de dados financeiros e requisitos de continuidade; * Apoiar a definição e revisão de **cláusulas contratuais** e requisitos mínimos de segurança (ex.: SLA de incidentes, criptografia, logs, pentest, segregação, notificação, requisitos de continuidade); * Gerenciar **exceções e planos de ação** de fornecedores e parceiros, incluindo acompanhamento de remediação e recomendação de decisões baseadas em risco. **Requisitos e qualificações** * Graduação em andamento ou concluída em **Segurança da Informação, Sistemas de Informação, Ciência da Computação, Engenharia** ou áreas correlatas. * Experiência prévia atuando com **Gestão de Riscos em Segurança da Informação / Cibersegurança** (GRC), incluindo avaliação, tratamento e monitoramento; * Vivência na condução de **risk assessments** (projetos, mudanças, processos e fornecedores), com habilidade de traduzir riscos técnicos em impacto de negócio; * Conhecimento prático de **frameworks e normas** de segurança e controles, como: * **ISO/IEC 27001** (controles e SGSI) e noções de gestão de riscos (ex.: **ISO 27005** ou abordagem equivalente); * **NIST Cybersecurity Framework (CSF)** / **NIST 800\-53** (ou modelos similares); * **CIS Controls** (ou referência equivalente para controles técnicos); * Experiência ou familiaridade com **TPRM**: classificação de criticidade, questionários de segurança, análise de evidências, gestão de planos de ação e reavaliações; * Capacidade de produzir **documentação clara e auditável**, incluindo políticas, padrões, relatórios de risco e registros de decisões (aceitação/exceção); * Boa comunicação e habilidade de **gestão de stakeholders** (negociação de prazos, cobrança de ações, alinhamento com times técnicos e não técnicos); **Informações adicionais** Diferenciais: * Foco em TPRM (Third\-Party Risk Management \| Gestão de Riscos de Terceiros) Informações Adicionais: * Carga horária de 8h por dia (seg a sex \- não compensamos os sábados); * Contratação CLT. **Somos uma Fintech,** Instituição de Pagamento credenciada pelo Banco Central do Brasil e **temos como propósito maximizar a produtividade das empresas através da tecnologia.** Oferecemos uma solução completa para gestão de cobranças, pagamentos, antecipações de recebíveis e atendemos mais de 200 mil clientes divididos entre profissionais autônomos, microempreendedores individuais (MEI) e grandes empresas. Nosso sonho começou em 2010, em Joinville/SC e acreditamos que o céu não é o limite para o nosso crescimento. Não é à toa que atualmente nosso time está em vários cantos do Brasil! **Mais de 1\.000 pessoas sonham junto com o Asaas, de forma colaborativa, inovadora, eficiente, com autonomia e liberdade para voar alto.** Voos altos exigem recursos para viver e trabalhar melhor, além de liberdade para administrá\-los. Por isso, acolhemos e cuidamos do nosso time oferecendo benefícios que apoiam seu crescimento pessoal e profissional: **Para saúde e bem\-estar:** temos assistência médica e odontológica sem coparticipação, seguro de vida, auxílio para compra de medicamentos e para realizar atividades físicas. Além disso, a Neon é nossa parceira para cuidar da saúde financeira do time e a Zenklub para a saúde física e mental (oferecemos 4 sessões mensais de terapia ou nutricionista gratuitas). Na sede, também temos *quick massage.* **Para alimentação e família:** nosso benefício alimentação é flexível, por meio de um cartão de crédito, bandeira Visa. O saldo pode ser usado como cada um desejar. Na sede, temos *free food* e, para as famílias, oferecemos auxílio creche, programa de apoio parental e licença maternidade e paternidade estendida. **Para educação e crescimento:** além de um ambiente de desafios e muito desenvolvimento, temos uma plataforma de treinamentos *in company e* disponibilizamos auxílio educação que subsidia 70% de mensalidades de graduações e idiomas, bem como a compra de cursos e livros, para que nosso time nunca pare de aprender. **Para o trabalho remoto de qualidade:** oferecemos auxílio Home Office, equipamentos de trabalho, auxílio mobília e temos parceria com a WOBA, para os nossos colaboradores usarem coworkings em todo o Brasil quando desejarem. Conheça nossa sede, em Joinville/SC, **nesse tour virtual****!** **Extras, porque o Dream Team merece:** temos *Day Off* no mês do aniversário, auxílio Happy Hour, bonificação por indicação de novos colaboradores, bonificação baseada em metas anuais, plano de *Stock Option*s e um ambiente leve, *no dress code!*