Caro usuário, habilite o javascript para que esse site funcione corretamente.

Analista GRC e Third Party Sênior

CLT (Efetivo)Remoto (Home Office)VIPRemotoEmpresa Confidencial (Cadastre-se)

* Salário: R$ 11.000 a R$ 20.000 por mês (estimado)

* O valor exibido é uma estimativa calculada com base em dados públicos e referências do mercado. Não garantimos que este seja o salário oferecido para esta vaga específica.

Área: Tecnologia da Informação

Nível: Senior

Profissional com formação em Segurança da Informação, TI, Engenharia, Administração, Direito ou áreas correlatas. Experiência em estruturação e normatização de ciclo de vida da gestão de terceiros(end to end). Atuar como responsável por garantir a resiliência operacional da organização, com a cadeia de suprimentos, implementando processos, fluxos automatizados, transparentes, auditáveis, aderentes às normas e políticas da organização, gerenciando riscos, além de priorizar alinhamento tecnológico, de conformidade e de negócio.

Principais Responsabilidades

Conduzir de ponta a ponta a viabilização do processo de gestão de terceiros da empresa, realizando interações com as áreas relacionadas, fornecedores e parceiros contratados.

  • Seleção e Due Diligence: Conduzir avaliações prévias (onboarding) de segurança, privacidade e conformidade de novos parceiros.

  • Análise de Risco de Terceiros: Avaliar relatórios SOC2, certificações ISO e preenchimento de questionários de segurança, determinando riscos residuais.

  • Auditorias de Terceiros: Capaz de definir processos para execução de auditorias para validar a eficácia dos controles dos fornecedores.

  • Gestão de Quarta Parte: Monitorar riscos na cadeia de suprimentos estendida (fornecedores dos fornecedores).

  • Estabelecer Planos de Aceitação: Criar protocolos formais de validação que garantam que um serviço/sistema contratado só acesse produção, se atender aos requisitos mínimos de segurança, privacidade e técnicos.

  • Definição de SLAs e Métricas: Estruturar Acordos de Nível de Serviço (SLA) técnicos e indicadores de desempenho (KPIs/KRIs) voltados para segurança e disponibilidade.

  • Checklist de Go-Live: Garantir que o processo de seleção seja baseado em dados e conformidade técnico-negocial.

  • Frameworks: Domínio prático ISO27001, NIST RMF, COBIT 2019, ISO42001(IA).

  • Escrita Normativa: Redigir procedimentos operacionais, políticas, planos de resposta a incidentes e descrição de fluxos de forma clara e objetiva.

  • Automação de Workflows: Converter fluxos de conformidade manuais em processos lógicos e automatizados para ganho de eficiência.

  • Monitoramento Contínuo: Implementar acompanhamento de conformidade.



Atribuições Técnicas (Formação em Segurança)

Devido à experiência requerida com gestão de terceiros, este analista deve ser capaz de:

  • Escopo e Avaliação de Criticidade: Definir o nível de criticidade do terceiro, e sensibilidade dos dados, determinando o rigor da Due Diligence.

  • Due Diligence Técnica: Analisar evidências técnicas de segurança dos fornecedores, relatórios de Pentest, scans de vulnerabilidades e configurações de criptografia de dados;

  • Negociação de Cláusulas Técnicas: Redigir e revisar os anexos de segurança dos contratos, garantindo o "Direito a Auditoria", tempos de resposta para incidentes e notificações obrigatórias de violação de dados.

  • Auditorias de Campo ou Remotas: Conduzir auditorias com amostragem de evidências para verificar se o que foi declarado no contrato está sendo executado operacionalmente.

  • Gestão de Plano de Ação: Gerir o ciclo de correção de falhas encontradas durante a avaliação, acompanhando o fornecedor até a mitigação do risco detectado.

  • Offboarding: Estabelecer checklist de saída, garantindo o expurgo de dados, devolução de ativos e revogação imediata de credenciais em sistemas de identidade (SSO/IAM).

  • Continuidade de Negócio: Avaliar se o plano de Disaster Recovery (DRP) do fornecedor está alinhado ao RTO/RPO da empresa.

Requisitos Técnicos

  • Domínio de Frameworks de Terceiros: Conhecimento profundo em Shared Assessments (SIG/CAIQ) e NIST SP 800-161 (Cybersecurity Supply Chain Risk Management).
  • Análise de Relatórios de Auditoria: Capacidade de interpretar relatórios SOC, identificando controles do usuário que a empresa precisa implementar, para que o serviço do terceiro seja seguro.
  • Segurança em Nuvem: Entender o Modelo de Responsabilidade Compartilhada (AWS, Azure, GCP) para identificar quais riscos são do provedor e quais são do fornecedor de software (SaaS).
  • Conhecimento em APIs e Integração: Fazer requisições técnicas sobre segurança para avaliar riscos em integrações entre o ecossistema da empresa e o terceiro.
  • Gestão de Quarta Parte: Habilidade técnica para mapear dependências críticas de sub-operadores (entender que a falha de um data center de terceiro pode causar impacto sistêmico na operação).
  • DevSecOps: Entendimento sobre segurança na esteira de desenvolvimento (SAST/DAST).
  • Segurança de IA: Mitigação de riscos em modelos de IA.

Habilidades Comportamentais

  • Visão de Negócio: Associar criticidade de serviços à classificação da informação e priorizações.
  • Comunicação Consultiva: Entre áreas técnicas e de negócio para refinamento de documentos.
  • Decisão Baseada em Dados: Transparência e redução de falhas por meio de evidências auditáveis.

Diferenciais(certificações) - pelo menos 1 delas efetivamente

  • CRISC (Certified in Risk and Information Systems Control).

  • CISM ou CISSP (pela base em segurança).

  • ISO 27001 Lead Implementer.

  • CTPRP (Certified Third-Party Risk Professional) - Diferencial.

Compartilhar: FacebookTwitterLinkedInwhatsapp
Reportar erro nesta vaga