A Grant Thornton Brasil, uma das maiores firmas de auditoria, consultoria e outsourcing do mundo, busca um(a) Analista de GRC para fortalecer sua equipe de Tecnologia da Informação em São Paulo.
O profissional atuará internamente, no modelo de trabalho híbrido, de forma estratégica na proteção dos ativos de informação da firma e de seus clientes, garantindo conformidade regulatória e maturidade em segurança nos ambientes Microsoft Azure e M365.
Responsabilidades:
-
Desenvolver, implementar e manter o framework de GRC da empresa, alinhado com as melhores práticas e normas internacionais (ex: ISO 27001, ISO 27701, NIST, LGPD, GDPR).
-
Conduzir avaliações de riscos de segurança da informação e privacidade de dados nos ambientes internos e de clientes e parceiros.
-
Elaborar, revisar e atualizar políticas, processos, procedimentos e controles de segurança da informação e privacidade de dados.
-
Planejar e acompanhar auditorias internas e externas, garantindo a conformidade com os requisitos normativos e regulatórios.
-
Gerenciar o programa de conscientização em segurança da informação e privacidade de dados, promovendo treinamentos e campanhas de comunicação.
-
Monitorar o cumprimento das políticas e controles de segurança, identificando desvios e propondo ações corretivas.
-
Atuar como ponto focal para auditorias externas e internas, fornecendo informações e evidências necessárias;
-
Apoiar a implementação e monitoramento da política de uso de ferramentas de IA Generativa, alinhada com as diretrizes da GTIL e com frameworks como ISO/IEC 42001;
-
Conduzir avaliações de segurança de fornecedores e parceiros (due diligence de SI), conforme critérios estabelecidos pela firma;
-
Revisar cláusulas de segurança da informação em contratos com clientes e fornecedores;
-
Desenvolver e reportar indicadores de conformidade, risco e maturidade de segurança para a gestão e comitês executivos;
-
Coordenar/validar respostas a auditorias internacionais, preparando evidências em formato padronizado.
-
Manter-se atualizado sobre as tendências em GRC, segurança da informação e privacidade de dados, buscando constantemente aprimorar os processos e controles.
-
Elaborar relatórios de GRC para a gestão, apresentando o status da conformidade, os riscos identificados e as ações implementadas.
Qualificações:
-
Experiência em GRC, com foco em segurança da informação e privacidade de dados.
-
Conhecimento das normas ISO 27001 e ISO 27701.
-
Experiência na condução/acompanhamento de auditorias internas e externas.
-
Habilidade em elaborar políticas, processos, procedimentos e controles de segurança da informação e privacidade de dados.
-
Conhecimento em frameworks de segurança da informação (ex: NIST Cybersecurity Framework, CIS Controls).
-
Conhecimento em regulamentações de privacidade de dados (ex: LGPD, GDPR).
-
Familiaridade com os serviços e recursos de segurança do Microsoft Azure e M365.
-
Excelentes habilidades de comunicação verbal e escrita.
-
Capacidade de trabalhar em equipe e de forma independente.
-
Inglês intermediário/avançado.
Diferenciais:
-
Certificações ISO 27001 Lead Auditor ou Implementer
-
ISO 27701 Lead Auditor ou Implementer
-
Certified Information Systems Security Professional (CISSP)
-
Certified Information Security Manager (CISM)
-
Certified Information Privacy Professional (CIPP)
-
Microsoft certifications relacionadas a segurança em Azure e M365
-
Experiência com ferramentas de GRC
-
Conhecimento em gestão de riscos utilizando metodologias como ISO 31000
-
Experiência em projetos de implementação de sistemas de gestão de segurança da informação e privacidade de dados
