Expert ou experte Gestion des risques pour la sécurité des renseignements de tiers - #110915

Canadian National Railway


Date: 1 week ago
City: Toronto, ON
Contract type: Full time

Au CN, nous travaillons ensemble pour faire avancer notre entreprise et l’Amérique du Nord. Intégrez notre équipe Services informatiques et de la technologie (I et T), un élément essentiel du moteur qui nous maintient en mouvement. De l’architecture d’entreprise aux technologies opérationnelles, nos équipes font appel à la méthodologie Agile pour automatiser et numériser notre chemin de fer pour assurer l’optimisation et la sécurité de nos activités et permettre à notre personnel de se consacrer à des tâches à valeur ajoutée. Vous pourrez approfondir vos compétences et bâtir votre carrière dans notre culture tissée serrée et axée sur la sécurité, où nous travaillons ensemble comme UNE ÉQUIPE. Nous offrons des carrières valorisantes car notre travail fait une différence. Embarquez avec nous!

Résumé des fonctions

La raison d’être de ce poste est d’assurer le maintien et la croissance d’une pratique de Gestion du risque lié aux tiers afin de soutenir la mission d’accroître l’autonomie de l’entreprise en développant sa résilience contre l’évolution des cybermenaces. Cette tâche sera possible par la gouvernance des programmes, le développement de politiques et de lignes directrices, les évaluations des risques, les clauses de contrats, le suivi continu, les évaluations de conformité, l’assurance de la conformité réglementaire, la diligence raisonnable et les processus de sélection, le développement et la maintenance de technologies et d’outils, la transformation infonuagique de même que la sensibilisation des intervenants et la communication avec ces derniers.

La personne titulaire de ce poste veille au développement et aux activités de la fonction de sécurité de tierces parties au sein du bureau du chef de la sécurité de l’information (CISO). Cette personne interagit avec différents intervenants principaux au sein de l’I et T et de l’entreprise de manière à influencer l’adoption de changements pour les besoins des tiers en matière de gestion du risque pour les fournisseurs, les clients, les filiales et les outils et plateformes infonuagiques, et à les amener à un niveau pouvant être géré et harmonisé à la tolérance au risque pour les activités commerciales du CN. La personne en poste agit à titre de ressource principale sachant appliquer des connaissances technologiques profondes à la coordination des activités de plusieurs groupes internes et d’organismes tiers, afin de favoriser l’atteinte des objectifs commerciaux en amenant la gestion des risques à un niveau acceptable pour ces entités.


Principales responsabilités

Planification et développement des pratiques

  • Harmoniser la sécurité de l’information des tiers aux objectifs organisationnels de l’entreprise
  • Superviser une vaste gamme d’activités liées à la sécurité des renseignements des fournisseurs tiers, aux solutions, aux filiales et aux clients, y compris de grandes initiatives d’impartition (p. ex. l’infrastructure de l’I et T et le Bureau de service des Services gérés)
  • Élaborer et mettre à jour un ensemble de politiques et de lignes directrices particulières pour la protection des actifs du CN gérés par des tierces parties ou auxquelles ces dernières ont accès
  • Créer et mettre à jour des pratiques de Gestion du risque lié au tiers, y compris un cadre d’évaluation et de gestion du risque lié aux tiers
  • S’assurer que les exigences en matière de sécurité de l’information sont intégrées aux processus d’approvisionnement
  • Surveiller de manière proactive les tendances émergentes et l’évolution constante des menaces de sécurité afin de trouver des idées novatrices pouvant placer le CN dans une position de chef de file au sein du secteur

Exploitation et exécution

  • Détecter, évaluer et signaler les risques élevés et critiques concernant les tierces parties
  • Gérer et soumettre à un échelon supérieur les incidents tels que les faiblesses de contrôle matériel importantes et les atteintes à la sécurité et travailler en collaboration avec le Centre des opérations de sécurité au besoin
  • Signaler les cas de non-conformité et les risques élevés critiques aux intervenants des services concernés
  • Rédiger et négocier les modalités contractuelles à l’interne et auprès de partenaires et fournisseurs externes pour permettre au CN d’atteindre ses objectifs commerciaux en matière de sécurité de l’information
  • S’assurer que les politiques et les lignes directrices du CN en matière de sécurité de l’information liées à des tiers respectent les exigences réglementaires pour la protection de la sécurité et de la confidentialité (p. ex. directives de la TSA, exigences de la Loi sur la protection des cybersystèmes essentiels, lois sur la confidentialité, etc.)
  • Améliorer les processus existant par l’innovation et l’amélioration continues
  • Agir à titre d’expert ou d’experte
  • Stimuler l’activité d’intervenants internes et externes en leur communiquant des exigences liées aux technologies et aux processus
  • Offrir du leadership et une expertise sur des questions relatives à la sécurité de l’information liée aux tierces parties auprès des intervenants internes, y compris les équipes de l’I et T, l’Approvisionnement, la Vérification interne, les Affaires juridiques, la Gestion des installations et les Assurances.
  • Découvrir et mettre de l’avant des occasions d’innover et influencer les autres groupes afin de soutenir et mettre en œuvre des changements qui pourront créer de la valeur pour l’entreprise
  • Agir à titre de mentor, permettre le transfert de connaissances et déléguer des tâches de soutien

Incidence sur l’entreprise

Prise de décisions et incidence des décisions

L’expert ou l’experte Gestion des risques pour la sécurité des renseignements de tiers met en œuvre les capacités nécessaires en matière de gouvernance, de risques et de conformité pour amener les risques liés à l’information touchant les fournisseurs tiers, les solutions, les filiales et les clients à des niveaux acceptables afin de permettre à l’entreprise d’atteindre ses objectifs commerciaux.

Pour y arriver, cette personne met en place une planification stratégique, crée et tient à jour des processus et des outils et coordonne des activités auprès de différentes équipes internes et entreprises externes.

Degré d’interaction ou d’influence

L’expert ou l’experte Gestion des risques pour la sécurité des renseignements de tiers influence différents secteurs de l’entreprise et les incite à prendre des mesures, notamment les Affaires juridiques, l’Approvisionnement, la Vérification interne, la Gestion des installations, l’Assurance et différents secteurs de l’I et T. Cette personne amène aussi les filiales externes, les fournisseurs et les clients à agir.


La personne titulaire du poste a pour tâche notamment d’intégrer des exigences en matière de sécurité de l’information aux processus d’approvisionnement, de s’assurer que les systèmes d’inventaire des actifs de l’I et T comprennent des données pertinentes, d’influencer les comportements des architectes Solutions pour déterminer et atténuer les risques élevés, de négocier les modalités contractuelles auprès des Affaires juridiques et de la Gestion des installations, d’offrir une expertise aux équipes Vérification interne et Assurance, de créer des politiques en matière de cybersécurité et mener des activités de surveillance de la conformité auprès des filiales, d’influencer les agences externes et les fournisseurs de service pour mieux répondre aux besoins du CN, de travailler avec les clients sur des questions liées aux exigences en matière de sécurité et du niveau de sécurité. Cette personne interagit aussi avec différents intervenants internes et externes.

Exigences

Formation, certification et désignation

  • Baccalauréat ès sciences en informatique, en systèmes d’information ou dans un autre domaine connexe, ou une expérience professionnelle équivalente.

Compétences et connaissances

  • Vaste ensemble de compétences et grande expertise des domaines technologiques de la sécurité de l’information et de leur incidence sur les objectifs de l’entreprise
  • Capacité éprouvée à comprendre les répercussions d’activités commerciales complexes sur la sécurité ainsi que le lien entre ces activités et les solutions technologiques qui atténuent les risques et stimulent les affaires
  • Bonne connaissance des technologies existantes et émergentes de même que des principes architecturaux inhérents aux systèmes et aux technologies complexes
  • Expérience pertinente et éprouvée de la mise en œuvre d’approches structurées de résolution de problèmes
  • Connaissance suffisante des questions liées à la sécurité de l’information de tiers
  • Excellentes compétences en communications orales et écrites et sens aigu des affaires
  • Souci du détail, autonomie et niveau élevé d’engagement et de motivation personnelle
  • Facilité à établir l’ordre de priorité des tâches et à travailler dans un environnement très dynamique
  • Capacité à apprendre rapidement et à suivre le rythme d’évolution rapide des environnements technologique et de cybersécurité
  • Capacité à mener des initiatives à leurs fins avec un niveau de supervision minimal
  • Capacité à communiquer de manière claire et concise
  • Expérience de la négociation contractuelle et de la négociation auprès de fournisseurs
  • Aptitude à mener plusieurs tâches simultanément et à travailler dans plusieurs groupes de l’entreprise
  • Expérience de l’évaluation de la sécurité
  • Grande compréhension des cadres de sécurité, notamment NIST CSF, NIST SP 800-53 et ISO-270001
  • Grande compréhension des exigences réglementaires, notamment des lois SOX, LPRPDE, HIPAA et de la Transportation Security Administration
  • Connaissance approfondie des menaces à la sécurité
  • Capacité d’articuler des questions technologiques complexes dans un langage des affaires simple à l’intention du personnel de l’entreprise
  • Expérience de la création et de l’animation de présentations à l’intention de la haute direction
  • Aptitudes pour la gestion des relations
  • Expérience de l’intervention auprès de tierces parties
  • Excellent esprit méthodique
  • Certifications reconnues en sécurité (p. ex., CISSP, CISM, CRISC, CISA)


Compétences particulières par spécialisation

Expérience

  • Au moins 5 ans d’expérience en sécurité de l’information
  • Plus de 10 ans d’expérience de l’I et T ou plus de 5 ans d’expérience dans un poste similaire
  • De 10 à 15 ans d’expérience de travail général
  • Atouts
  • Connaissance des systèmes ferroviaires
  • Bonne compréhension des systèmes infonuagiques
  • Connaissance des systèmes de l’I et T et des technologies opérationnelles

Conditions de travail

Voyages d’affaires occasionnels (au Canada et aux États-Unis), conformément aux lignes de conduite du CN.

À propos du CN

Le CN est un chef de file mondial du transport et un partenaire commercial majeur. Essentiel pour l'économie, les clients et les communautés dans lesquelles il exerce ses activités, le CN transporte annuellement de façon sécuritaire plus de 300 millions de tonnes de ressources naturelles, de produits manufacturés et de produits finis partout en Amérique du Nord. Seul chemin de fer reliant les côtes est et ouest du Canada à la pointe sud des États-Unis avec un réseau ferroviaire de 19 500 milles, le CN et ses filiales contribuent à la prospérité des collectivités et au commerce durable depuis 1919. Le CN demeure engagé à soutenir des programmes supportant la responsabilité sociale et les initiatives de protection de l’environnement. Au CN, nous travaillons comme UNE ÉQUIPE axée sur la sécurité et nos clients, offrant l’excellence sur le plan de l’exploitation et de la chaîne d’approvisionnement pour produire des résultats.

Candidats internes: notez que le niveau du poste dépendra de l'expérience de l'employé

Le CN exige que tous les membres de son personnel soient entièrement vaccinés contre le COVID-19 et qu'ils en fournissent la preuve comme condition d'emploi. Le mandat de vaccination de la Compagnie s'étend aux membres du personnel de ses filiales en propriété exclusive ainsi qu'aux entrepreneurs, consultants, agents et fournisseurs du CN et à toute personne ayant accès aux propriétés du CN au Canada.

La forme grammaticale utilisée dans ce document vaut tant pour les hommes que pour les femmes. Le CN souscrit au principe de l’équité en emploi et invite toutes les personnes qualifiées à présenter leur candidature. Nous remercions tous les candidats de leur intérêt; cependant, nous ne communiquerons qu’avec les personnes dont la candidature sera retenue. Veuillez consulter régulièrement vos courriels, car les communications sont surtout envoyées par courrier électronique.

How to apply

To apply for this job you need to authorize on our website. If you don't have an account yet, please register.

Post a resume

Similar jobs

Patient Service Aide

SickKids, Toronto, ON
1 day ago
About SickKids Dedicated exclusively to children and their families, The Hospital for Sick Children (SickKids) is one of the largest and most respected paediatric healthcare centres in the world. As innovators in child health, we lead and partner to improve the health of children through the integration of healthcare, leading-edge research and education. Our reputation would not have been built...

Admissions Officer

George Brown College, Toronto, ON
2 days ago
Competition Number: REQ 6033 TITLE: Admissions Officer DIVISION: Office of the Registrar SALARY: Payband H, starting rate $35.06 per hour  HOURS: Monday to Friday HOURS PER WEEK: 35 LOCATION: 230 Richmond Street East STATUS: Full Time Support EFFECTIVE DATE: Immediately CLOSING: April 19, 2024 Land Acknowledgement George Brown College is located on the traditional territory of the Mississaugas of the...

Lead Inventory Specialist

RS Integrated Supply, Toronto, ON
5 days ago
ABOUT US: RS Integrated Supply is a rapidly growing leader and global provider of comprehensive supply chain services that drive increased productivity and profitability for our clients, including Supply Chain Services, Asset Services, Master Data Leadership SM and Technology. We currently deliver our highly focused expertise through integration at more than 220 customer sites across the North America, Europe, and...