Consultor/A Seguridad Sistemas

ID de la solicitud: 252491

Únase a un equipo ganador con un propósito claro,  comprometido con el logro de resultados en una cultura inclusiva y de alto desempeño.

Propósito

Proveer servicios de consultoría especializada en Seguridad de la Información para proyectos tecnológicos y sistemas regulados, asegurando que los estándares, controles y mejores prácticas de seguridad sean incorporados desde la fase de diseño de las soluciones. El puesto aplica técnicas formales de modelado de amenazas (por ejemplo STRIDE) para identificar riesgos de seguridad, apoyar la toma de decisiones informadas durante todo el ciclo de vida del proyecto, dar seguimiento a la implementación de controles y evaluar la postura de seguridad mediante un análisis formal de riesgos, incluyendo la determinación y documentación de riesgos residuales.

El consultor asegura la alineación con los requerimientos regulatorios para sistemas críticos y regulados (SPEI, SPID, INDEVAL, BDT, SIBUC, AUDI, SAM, SAIF, SICAM, SIAC, RSP), requerimientos de Banco de México (Banxico), la normativa interna de Scotiabank y buenas prácticas internacionales como ISO/IEC 27001, NIST y OWASP.

Responsabilidades 

Análisis de Riesgos y Evaluación de Controles
•    Aplicar modelado de amenazas utilizando metodologías como STRIDE, identificando límites de confianza, flujos de información y escenarios de abuso en sistemas y aplicaciones.
•    Realizar análisis de amenazas, riesgos y vulnerabilidades (TRA) para proyectos nuevos o cambios relevantes, integrando requerimientos regulatorios y normativa interna.
•    Asegurar la incorporación de controles de seguridad desde etapas tempranas del ciclo de vida de los sistemas (security by design).
•    Evaluar controles de seguridad para sistemas regulados ( SPEI, SPID, INDEVAL, BDT, SIBUC, AUDI, SAM, SAIF, SICAM, SIAC, RSP), incluyendo integridad, disponibilidad, confidencialidad, trazabilidad, no repudio y segregación de funciones.
•    Dar seguimiento a la implementación de controles de seguridad, validando evidencias, efectividad y cumplimiento. Escalando oportunamente desviaciones relevantes.
•    Realizar evaluaciones de seguridad: revisiones de diseño, configuraciones, análisis de vulnerabilidades y pruebas de seguridad en aplicaciones.
•    Elaborar informes de seguridad con escenarios de riesgo, evaluación de controles, riesgos residuales y recomendaciones para la toma de decisiones.
•    Brindar asesoría experta sobre políticas, estándares y procesos de Seguridad de la Información, así como sobre mejores prácticas internacionales.
•    Participar en comités y foros de seguridad, riesgo y cumplimiento, colaborando con áreas internas y terceros.
•    Revisar y proveer punto de vista experto a los planes de tratamiento de riesgos acordados con las áreas técnicas y de negocio.

Seguimiento a la Implementación
•    Dar seguimiento activo a la implementación de los controles de seguridad definidos durante el proyecto, verificando su correcta adopción.
•    Identificar desviaciones, riesgos emergentes o controles incompletos y escalar oportunamente cuando el riesgo supere el nivel aceptable.
•    Colaborar con equipos de TI, proveedores y terceros para asegurar la remediación de hallazgos de seguridad.

Gobierno, Normatividad y Mejores Prácticas
•    Brindar asesoría experta sobre políticas, estándares, procesos y guías de Seguridad de la Información.
•    Participar en comités y foros locales e internacionales relacionados con Seguridad de la Información y Seguridad Cloud.
•    Colaborar en evaluaciones de seguridad a terceros, proveedores y esquemas de outsourcing, especialmente cuando involucren

Educación / Experiencia 
Formación
•    Licenciatura o Ingeniería en Sistemas, Informática, Seguridad de la Información o afín.
•    Deseable posgrado o diplomado en Seguridad de la Información o Seguridad Cloud.
Experiencia
•    Experiencia en consultoría de seguridad para proyectos tecnológicos, preferentemente en instituciones financieras.
•    Experiencia en diseño, evaluación y revisión de controles de seguridad para sistemas regulados (SPEI, SPID, INDEVAL, BDT, SIBUC, AUDI, SAM, SAIF, SICAM, SIAC, RSP) mediante los manuales DE operación de Banxico respectivamente.
•    Experiencia en atención a auditorías y requerimientos regulatorios (Banxico).
•    Experiencia práctica en modelado de amenazas (STRIDE u otras metodologías).
•    Participación en análisis de riesgos, arquitectura segura y seguimiento de controles durante proyectos.

Certificaciones (deseables)
•    CISSP, CISM, CRISC, CISA.
•    ISO/IEC 27001 (implementador o auditor).
•    Certificaciones o formación en gestión de riesgos, continuidad del negocio o seguridad de aplicaciones (OWASP/NIST).

Conocimientos Técnicos Clave
•    Gestión de riesgos de TI y Seguridad de la Información, incluyendo identificación, análisis, tratamiento y seguimiento de riesgos en proyectos tecnológicos y sistemas críticos.
•    Marcos, estándares y buenas prácticas internacionales de Seguridad de la Información, tales como ISO/IEC 27001, NIST, COBIT y OWASP Top 10, y su aplicación práctica en entornos regulados.
•    Modelado de amenazas, utilizando metodologías como STRIDE, incluyendo identificación de límites de confianza, flujos de información, superficies de ataque y escenarios de abuso.
•    Análisis de riesgos basado en escenarios, considerando impacto al negocio, probabilidad, controles existentes y determinación de riesgo residual.
•    Seguridad de aplicaciones, incluyendo revisión de diseño, gestión de vulnerabilidades, pruebas de seguridad y controles a lo largo del ciclo de vida de desarrollo de sistemas (SDLC).
•    Diseño y evaluación de controles de seguridad para garantizar confidencialidad, integridad, disponibilidad, trazabilidad y no repudio de la información.
•    Experiencia trabajando bajo los manuales de operación de Banxico para sistemas regulados como SPEI, SPID, INDEVAL, BDT, SIBUC, AUDI, SAM, SAIF, SICAM, SIAC, RSP.
•    Conocimiento de requerimientos regulatorios de la industria financiera, incluyendo sistemas regulados como SPEI, SPID, INDEVAL, BDT, SIBUC, AUDI, SAM, SAIF, SICAM, SIAC, RSP. así como atención a auditorías y observaciones del Banco de México (Banxico).
•    Alineación de controles de seguridad con normativa interna de la institución y requerimientos de auditoría interna y externa.
•    Documentación y elaboración de entregables formales de seguridad, incluyendo TRA, matrices de cumplimiento, evidencias de control e informes finales con riesgos residuales.

Competencias Clave
•    Pensamiento analítico y enfoque en escenarios de riesgo.
•    Capacidad consultiva y de influencia.
•    Comunicación clara con audiencias técnicas y no técnicas.
•    Orientación a resultados y seguimiento.
•    Atención al detalle y calidad en entregables.
•    Trabajo colaborativo con múltiples áreas.

En Scotiabank, valoramos las habilidades y experiencias únicas que cada persona aporta al banco y nos comprometemos a crear y mantener un entorno inclusivo y accesible para todos/as. Todos/as los/las empleados/as deben cumplir con las políticas, normas, códigos y directrices del banco relacionadas con la no discriminación y las adaptaciones en el lugar de trabajo.”Si necesitas algún tipo de adaptación en temas de accesibilidad durante el proceso, indícalo a nuestro equipo de Atracción de Talento”

**Bajo ninguna circunstancia solicita pruebas de embarazo, ni de VIH**

Ubicación(s):  México : Ciudad de México : Miguel Hidalgo

Scotiabank es un banco líder en las Américas. Inspirándonos en nuestro propósito corporativo, “por nuestro futuro”, ayudamos a nuestros clientes, sus familias y sus comunidades a lograr el éxito a través de una completa gama de asesoría, productos y servicios en los sectores de banca personal y comercial, gestión patrimonial, banca privada, corporativa y de inversión, y mercados de capital.

En Scotiabank, valoramos las habilidades y experiencias únicas que cada persona aporta al Banco y nos hemos comprometido a crear y mantener un entorno inclusivo y accesible para todos. Si necesitas algún tipo de adaptación (como, por ejemplo, un lugar accesible para la entrevista, documentos en formato alternativo, un intérprete en lengua de señas o tecnología de asistencia, entre otras cosas) durante el proceso de reclutamiento y selección, indícalo a nuestro equipo de Reclutamiento. Si necesitas apoyo técnico, haz clic aquí. Los candidatos deben postularse directamente en línea si desean ser tomados en cuenta para este puesto. Agradecemos a todos los candidatos por su interés en esta oportunidad profesional en Scotiabank, pero solo nos comunicaremos con aquellos que hayan sidoseleccionados para una entrevista.