GERENTE DE RISCOS- KSAs

CONHECIMENTO

Conhecimento de conceitos e protocolos de rede de computadores e metodologias de segurança de rede.
Conhecimento de processos de gestão de riscos (por exemplo, métodos de avaliação e mitigação de riscos).
Conhecimento de leis, regulamentos, políticas e ética no que se refere à segurança cibernética e privacidade.
Conhecimento dos princípios de segurança cibernética e privacidade.
Conhecimento de ameaças e vulnerabilidades cibernéticas.
Conhecimento de impactos operacionais específicos de lapsos de cibersegurança.
Conhecimento das ferramentas de avaliação de defesa cibernética e vulnerabilidade e suas capacidades.
Conhecimento de criptografia e conceitos de gerenciamento de chaves criptográficas
Conhecimento da arquitetura de segurança da informação corporativa da organização.
Conhecimento dos requisitos de avaliação e validação da organização.
Conhecimento do processo de Avaliação e Autorização de Segurança.
O conhecimento dos princípios de segurança cibernética e privacidade usados para gerenciar riscos relacionados ao uso, processamento, armazenamento e transmissão de informações ou dados.
Conhecimento das fontes de disseminação de informações de vulnerabilidade (por exemplo, alertas, avisos, errata e boletins).
Conhecimento dos princípios de cibersegurança e privacidade e requisitos organizacionais (relevantes para confidencialidade, integridade, disponibilidade, autenticação, não repúdio).
Conhecimento dos requisitos da Estrutura de Gestão de Riscos (RMF).
Conhecimento dos princípios e métodos de segurança da tecnologia da informação (TI) (por exemplo, firewalls, zonas desmilitarizadas, criptografia).
Conhecimento dos métodos atuais do setor para avaliar, implementar e disseminar ferramentas e procedimentos de avaliação, implementação e disseminação de segurança em tecnologia da informação (TI), monitoramento, detecção e remediação utilizando conceitos e recursos baseados em padrões.
Conhecimento de novas e emergentes tecnologias de tecnologia da informação (TI) e cibersegurança.
Conhecimento de ameaças e vulnerabilidades de segurança de sistemas e aplicativos (por exemplo, estouro de buffer, código móvel, scripting entre sites, linguagem processual/linguagem de consulta estruturada [PL/SQL] e injeções, condições de corrida, canal secreto, replay, ataques orientados para o retorno, código malicioso).
Conhecimento de princípios e métodos de análise estruturada.
Conhecimento de ferramentas de diagnóstico de sistemas e técnicas de identificação de falhas.
Conhecimento dos objetivos e objetivos da tecnologia da informação corporativa (TI) da organização.
Conhecimento de Práticas de Gestão de Riscos da Cadeia de Suprimentos (NIST SP 800-161)
Conhecimento dos principais processos de negócios/missões da organização.
Conhecimento das leis, estatutos aplicáveis,não tão sómente limitado a LGPD.
Conhecimento de tecnologia da informação (TI) segurança da cadeia de suprimentos e políticas de gerenciamento de riscos da cadeia de suprimentos, requisitos e procedimentos.
Conhecimento de sistemas críticos de infraestrutura com tecnologia de comunicação da informação que foram projetados sem considerações de segurança do sistema.
Conhecimento de conceitos de arquitetura de segurança de rede, incluindo topologia, protocolos, componentes e princípios (por exemplo, aplicação de defesa em profundidade).
Conhecimento de conceitos de arquitetura de segurança e modelos de referência em arquitetura corporativa (por exemplo,
Zachman, Federal Enterprise Architecture [FEA]).
Conhecimento de modelos de segurança (por exemplo, modelo Bell-LaPadula, modelo de integridade Biba, modelo de integridade Clark-Wilson).
Conhecimento dos padrões de segurança de dados de Informações Pessoalmente Identificáveis (PII).
Conhecimento das normas de segurança de dados da Indústria de Cartões de Pagamento (PCI).
Conhecimento das normas de segurança de dados de Informações de Saúde Pessoal (PHI).
Conhecimento de leis, políticas, procedimentos ou governança relevantes para a segurança cibernética para infraestruturas críticas.
Conhecimento dos princípios de confidencialidade, integridade e disponibilidade.
Conhecimento de sistemas embarcados.
Conhecimento de princípios, ferramentas e técnicas de teste de penetração.
Conhecimento de controles relacionados ao uso, processamento, armazenamento e transmissão de dados.
Conhecimento dos riscos de segurança de aplicativos (por exemplo, lista top 10 do Projeto de Segurança de Aplicativos Abertos).

 

HABILIDADES

Habilidade em discernir as necessidades de proteção (ou seja, controles de segurança) de sistemas de informação e redes.
habilidade para aplicar princípios de Cibersegurança e privacidade aos requisitos organizacionais (relevantes para confidencialidade, integridade, disponibilidade, autenticação, não repúdio).

TALENTOS

Talento de avaliar e prever requisitos de mão-de-obra para atender aos objetivos organizacionais.
Talento de desenvolver políticas, planos e estratégia em conformidade com leis, regulamentos, políticas e normas de apoio às atividades cibernéticas organizacionais.
Talento de coordenar operações cibernéticas com outras funções de organização ou atividades de suporte.
Talento de identificar parceiros externos com interesses comuns de operações cibernéticas.
Talento de interpretar e aplicar leis, regulamentos, políticas e orientações relevantes para os objetivos cibernéticos da organização.
Talento de trabalhar em departamentos e unidades de negócios para implementar os princípios e programas de privacidade da organização e alinhar objetivos de privacidade com objetivos de segurança.
Talento de relacionar estratégia, negócios e tecnologia no contexto da dinâmica organizacional.
Talento de entender questões de tecnologia, gestão e liderança relacionadas aos processos de organização e resolução de problemas.
Talento de entender os conceitos e questões básicas relacionadas ao ciber e seu impacto organizacional.
Talento de aplicar princípios de Cibersegurança e privacidade aos requisitos organizacionais (relevantes para confidencialidade, integridade, disponibilidade, autenticação, não repúdio).
Talento de identificar sistemas de infraestrutura críticos com tecnologia de comunicação da informação que foram projetados sem considerações de segurança do sistema.