GERENTE RIESGO TECNOLOGICO Y CIBERSEGURIDAD - QUITO

Propósito general

Dirigir, evaluar y controlar con orientación estratégica y liderazgo las actividades relacionadas a las distintas etapas de la Gestión de Riesgos Tecnológicos y Ciberseguridad a los que se encuentra expuesta la Organización, así como la implementación de metodologías que permitan la identificación, análisis, evaluación, tratamiento, monitoreo y comunicación de los riesgos tecnológicos y de ciberseguridad asociados a los procesos (propios o delegados a terceros); a fin de garantizar la creación y protección de valor a sus partes interesadas y minimizar las pérdidas provocadas por la materialización de los riesgos tecnológicos y de ciberseguridad, afectación a productos o servicios, a través del tratamiento oportuno de los riesgos, de acuerdo a las mejores prácticas de la industria, lineamientos de la Vicepresidencia de Riesgo Integral y la normativa legal vigente.

Actividades

• Dirigir y establecer la estrategia para la gestión de los riesgos tecnológicos y de ciberseguridad.​
• Proponer e implementar las metodologías, modelos y procedimientos tendientes a que la Entidad administre efectivamente sus riesgos tecnológicos y de ciberseguridad, así como asegurar que estas metodologías son integrales con las metodologías globales de gestión de riesgos no financieros que se llevan a cabo desde la Gerencia de Riesgos No Financieros.​
• Dirigir y controlar la implementación de las políticas y estándares de gestión de riesgos tecnológicos de acuerdo a lo establecido en la estrategia y en la normativa.​
• Aportar información y coordinarse con la gerencia de Riesgos No Financieros para aportar una visión global que incluya los riesgos tecnológicos y de ciberseguridad, así como estar coordinado con otras áreas relevantes como Continuidad de Negocio y Ciberseguridad. ​
• Dirigir y controlar los proyectos relacionados con la gestión de los riesgos tecnológicos para el Banco.​
• Participar en procesos de generación de nuevas operaciones, productos y/o servicios; analizar las propuestas e identificar posibles riesgos tecnológicos.​
• Aprobar el inventario de procesos priorizados desde la perspectiva de riesgos y asegurar la definición de controles que mitiguen los riesgos tecnológicos y de ciberseguridad.​
• Planificar el proceso de identificación de riesgos relativos al ámbito tecnológico y de ciberseguridad.​
• Definir y controlar los esquemas de monitoreo y controlar las actividades de seguimiento a la ejecución de los planes de mitigación de los riesgos tecnológicos y de ciberseguridad, gestión y monitoreo del perfil de riesgos, alertas y KRIs asociados a dichos riesgos.
• Presentar al Comité de Riesgos los principales resultados obtenidos en la gestión de riesgos tecnológicos y de ciberseguridad: comportamiento de los mayores riesgos y emergentes, avances en la ejecución de los planes de mitigación definidos por las Unidades Ejecutoras, así como cualquier otra información que dichos comités estimen necesaria.​
• Presentar los principales resultados obtenidos dentro de la gestión de riesgos tecnológicos a la Superintendencia de Bancos, auditores externos, bancos corresponsales, calificadoras de riesgos, Auditoría Interna, etc.​
• Asegurar que la Institución tiene el conocimiento oportuno sobre regulaciones emitidas por entidades de control, en lo referente a riegos tecnológicos y de ciberseguridad.​

Actividades Adicionales

• Evaluar los riesgos tecnológicos emergentes surgidos de la adopción de nuevas tecnologías (Cloud, Inteligencia Artificial, etc.), entrada en vigor de nuevas normativas aplicables y comunicarlos a los órganos de gobierno correspondientes para su gestión.​
• Implementar acciones tendientes a generar en la organización una cultura de gestión de riesgos, que incluye dirigir y controlar la implementación de acciones de capacitación a empleados en temas relacionados con la gestión de los riesgos tecnológicos.​
• Definir y actualizar las políticas específicas de riesgos tecnológicos y de ciberseguridad alineadas con el apetito de riesgo definido por el directorio.​
• Dirigir y monitorear el cumplimiento de los umbrales definidos para el apetito de riesgos tecnológicos y de ciberseguridad y requerir acciones de remediación en caso de ser necesario.​
• Coordinar y controlar el cumplimiento oportuno del procedimiento de mitigación de debilidades en el ámbito de los riesgos tecnológicos y identificadas por Auditoría Interna o Entes de Control, así como el monitoreo de indicadores clave de remediación.

Educación

• Estudios universitarios concluidos en el campo de la tecnología: Ingeniería en Sistemas, Ingeniería Informática, Ciencias de la Computación o afines​

• Estudios complementarios de Administración y Dirección de Empresas, Finanzas, Economía, Ingeniería Comercial y/o de Procesos, Gestión de Riesgos o afines

Experiencia

• Gestión de Riesgos tecnológicos​

• Control Interno en el ámbito tecnológico​

• Auditoría TI​

• Riesgo Operativo

Conocimiento

• Estándares nacionales e internacionales: ITIL, Cobit, Togaf, CISA, COSO​

• Conocimiento fuerte en entornos Cloud en las diferentes modalidades IaaS, PaaS, SaaS​

• Conocimiento en infraestructuras centralizadas y distribuidas (Unix, AIX, Linux, Wintel)​

• Normativa vigente relacionada con la gestión de riesgos, foco en factor tecnología​

• Conocimiento y práctica de DevSecOps y marcos metodológicos ágiles, Kanban y Scrum ​

• Conocimiento del ciclo de vida de desarrollo de proyectos PMI​

• Experiencia en una función de 2LoR, riesgo tecnológico / operacional o Auditoría Interna​

• Herramientas ofimáticas (nivel avanzado)

Generales

•    Cumplir las funciones de Dueño o Coordinador de proceso según sea designado en el mapa y matriz respectivos; con énfasis en la gestión holística de los procesos, que incluye su diseño, optimización, control y mejora continua. En estos roles de dueño o coordinador, la administración del proceso representa una gestión integral del desempeño de su proceso, los recursos habilitantes de los mismos, su permanente ejecución y despliegue de mejora continua y acciones correctivas y preventivas.

•    Ejecutar las actividades y tareas señaladas para el Rol de Dueño/ Coordinador de Proceso, que constan en  la Metodología de Gestión por Procesos de Banco Pichincha C.A.

•    Impulsar la integración e implementación del Sistema de Gestión de Seguridad y Salud y Ambiente. Revisar sus roles y responsabilidades

•    Participar como BRIGADISTA DE EMERGENCIA o MIEMBRO del COMITÉ O SUBCOMITÉ PARITARIO DE SEGURIDAD Y SALUD cuando así se lo requiera y garantizar su participación como la de sus dirigidos, si son nombrados.

Competencias