Manager, Cyber Security & Compliance

Employer Info

Edmonton International Airport is a self-funded, not-for-profit corporation whose mandate is to drive economic prosperity for the Edmonton Region. YEG is Canada’s fastest-growing major airport over the past 10 years, the fifth-busiest airport by passenger traffic and the largest major Canadian airport by land area. YEG offers non-stop connections to over 50 destinations across Canada, the US, Mexico, the Caribbean and Europe. At YEG you become part of a tightly knit team, working in a supportive environment, dedicated to fulfilling our vision of more flights to more places.

Description

The Manager, Cyber Security & Compliance will report directly to the Director, Technology Operations & Cyber Security. This role is expected to interface across the Technology and Innovation SBU as well as with the leaders of the business units to both share risk information and our cybersecurity goals with those individuals and to solicit their involvement in achieving higher levels of enterprise security through information sharing and co-operation.

This role performs two core functions for the enterprise. The first is establishing an enterprise security stance through policy, architecture and training processes. Additionally, this leader will have oversight of any vulnerability audits and assessments including ensuring appropriate remediations and controls (Process, Policy, and Technology) are instantiated to mitigate risk. The second is to identify, manage, and report on our risk and compliance activities. The incumbent will own the technology and innovation risk register and will actively identify, triage and remediate risks that currently exist and that are introduced through projects, operational change, technology change and/or regulatory requirements. Responsibilities will include performing reviews, assessments and cyber/controls assurance, conducting research, and facilitating communication to internal and external stakeholders where necessary. The position will monitor, coordinate, and implement policies, standards, procedures, controls, and guidelines to support security, compliance, and audit requirements.

Le ou la gestionnaire, Cybersécurité et Conformité relèvera directement de la direction, Activités technologiques et Cybersécurité. La personne titulaire de ce poste doit assurer les relations avec l’ensemble de l’unité stratégique sectorielle technologie et innovation ainsi qu’avec les responsables des unités sectorielles afin de les informer à la fois au sujet des risques et de nos objectifs en matière de cybersécurité, et de solliciter leur contribution à l’amélioration de la sécurité de l’entreprise, ce qui implique l’échange de renseignements et la collaboration.

Ce poste assure deux fonctions essentielles pour l’entreprise. La première consiste à établir un cadre sécuritaire pour l’entreprise au moyen de processus en matière de politiques, d’architecture et de formation. La personne responsable supervisera en outre les audits et les évaluations des vulnérabilités et veillera à la mise en place de mesures correctives et contrôles appropriés (processus, politique et technologie) pour atténuer les risques. La seconde consiste à identifier, gérer et rendre compte de nos activités en matière de risques et de conformité. La personne retenue sera responsable du registre des risques liés à la technologie et à l’innovation et s’emploiera activement à cerner, trier et corriger les risques existants et ceux issus de projets, de changements opérationnels, de changements technologiques ou d’exigences réglementaires. Au nombre des responsabilités, on trouve la réalisation de contrôles, d’évaluations et certitude liée au contrôle et au cybercontrôle, de la recherche et la simplification de la communication avec les parties prenantes à l’interne et à l’externe, le cas échéant. La personne retenue surveillera, coordonnera et mettra en œuvre des politiques, des normes, des procédures, des contrôles et des lignes directrices afin de satisfaire aux exigences en matière de sécurité, de conformité et d’audit.

You might be wondering what you can expect in a typical day at work. Every day will bring new opportunities, focusing on key responsibilities, including:

Strategy and Planning
• Improve existing technology risk and assurance programs and processes.
• Develop, review, and modify information security and privacy policies.
• Design and execute assurance procedures to assess and measure compliance with its security policies and procedures. For example: Random review of configurations of key assets to ensure they have been implemented to prevent cyber-attack (hardened, patched, passwords changed etc.). Review project requirements to ensure security risks have been assessed and included within the design of a solution.
• Create and maintain the enterprise’s security architecture design.
• Create, and maintain the enterprise’s security awareness training program.
• Create and maintain the enterprise’s security documents (policies, standards, baselines, guidelines and procedures).
• Create and maintain the enterprise’s Business Continuity Plan and Disaster Recovery Plan, where appropriate.
• Determine whether a security incident violates a privacy principle or legal standard requiring legal action and ensure these are communicated to our Privacy officer and Risk Management team.
• Work closely with Airport Security, both regulatory and corporate
• Participate in Airport Threat Risk & Vulnerability assessments
• Develop relationships with various Governmental agencies pertaining to Cyber Security (CBSA, CBP, RCMP, RCMP IBET, TC, CATSA, CSIS & others) – A Secret Clearance will assist with development of these relationships.
Compliance and Assurance
• Manages compliance testing and monitoring of current and future regulatory obligations, and other regulatory matters as required.
• Conducts internal security risk assessments and security compliance audits.
• Establishes IT security audit procedures relevant: GDPR, PCI-DSS, ISO 2700-1, NIST 800-23,
• Coordinates third-party audits including maintaining close linkage with our Internal Audit, Privacy and Risk Management team.
Acquisition & Deployment
• Maintain up-to-date knowledge of the IT security industry including awareness of new or revised security solutions, improved security processes and the development of new attacks and threat vectors.
• Recommend additional security solutions or enhancements to existing security solutions to improve overall enterprise security as per the enterprise’s existing procurement processes.
• Oversee the deployment, integration and initial configuration of all new security solutions and of any enhancements to existing security solutions in accordance with standard best operating procedures generically and the enterprise’s security documents specifically.
Operational Management
• Ensure the confidentiality, integrity and availability of the data residing on or transmitted to/from/through enterprise workstations, servers and other systems and in databases and other data repositories.
• Ensure the enforcement of enterprise security standards and procedures.
• Supervise all investigations into problematic activity and provide on-going communication with senior management.
• Supervise the design and execution of vulnerability assessments, penetration tests and security audits.
• Oversee the security awareness training program for all employees to ensure consistently high levels of compliance with enterprise security documents.
• Engage in ongoing communications with peers in the Solution Delivery, Analytics and Service Management and Infrastructure teams as well as the various business groups to ensure enterprise wide understanding of security goals, to solicit feedback and to foster co-operation.
Communication

• Develop materials and tools to effectively communicate compliance and corporate requirements.
• Develop policy, plans, and strategy in compliance with laws, regulations, policies, and standards in support of organizational cyber activities.
• Collect, analyze, and prepare reports required for senior management, regulators, and other relevant stakeholders.
• Document, investigate, and report cybersecurity compliance issues and incidents, where necessary.
• Work with business leaders to ensure information security risk findings are reviewed and solutions are implemented.
• Understand, develop, and deliver meaningful reports on the program state and adherence to frameworks and standards.
• Lead the escalation and resolution of risk and compliance issues with appropriate stakeholders including physical security, privacy, legal and risk.
• Liaise with relevant parties to commission activities relating to contingency planning, business continuity management, and IT disaster recovery.

Vous vous demandez peut-être à quoi vous pouvez vous attendre au cours d’une journée de travail typique. Chaque jour apportera de nouvelles occasions, et vous devrez vous concentrer sur des responsabilités clés, comme :

Stratégie et planification
• Améliorer les programmes et les processus existants en matière de risques et d’assurance technologiques.
• Élaborer, réviser et modifier les politiques de sécurité de l’information et de protection de la vie privée.
• Élaborer et mettre en œuvre des procédures d’assurance afin d’évaluer et de mesurer la conformité avec ses politiques et procédures de sécurité. Par exemple : Vérification aléatoire des configurations des actifs clés afin de s’assurer que leur mise en œuvre permet la prévention des cyberattaques (renforcement, correctifs, modification des mots de passe, etc.) Réviser les exigences du projet pour veiller à l’évaluation des risques de sécurité et à leur prise en compte dans l’élaboration d’une solution.
• Élaborer et actualiser la conception de l’architecture de sécurité de l’entreprise.
• Élaborer et actualiser le programme de formation à la sensibilisation à la sécurité de l’entreprise.
• Élaborer et actualiser les documents de sécurité de l’entreprise (politiques, normes, lignes de base, lignes directrices et procédures).
• Élaborer et actualiser le plan de continuité des activités et le plan de reprise après sinistre de l’entreprise, le cas échéant (lignes de base, lignes directrices et procédures).
• Déterminer si un incident de sécurité enfreint un principe de protection de la vie privée ou une norme juridique qui nécessite une action en justice et veiller à la communication de ces éléments à notre personne responsable de la protection de la vie privée et à l’équipe de gestion des risques.
• Collaborer étroitement avec les services de sécurité des aéroports, d’un point de vue réglementaire et de l’entreprise.
• Participer à l’évaluation des menaces, des risques et des vulnérabilités à l’aéroport
• Tisser des liens avec diverses agences gouvernementales dans le domaine de la cybersécurité (ASFC, CBP, GRC, EIPF GRC, TC, ACSTA, SCRS et autres). L’obtention d’une cote de sécurité de niveau secret facilitera l’établissement de ces liens.
Conformité et assurance
• Gérer les tests de conformité et le suivi des exigences réglementaires actuelles et futures ainsi que d’autres questions réglementaires, le cas échéant.
• Effectuer des évaluations des risques de sécurité internes et des audits de conformité en matière de sécurité.
• Établir des procédures d’audit de la sécurité informatique pertinentes : GDPR, PCI-DSS, ISO 2700-1, NIST 800-23,
• Coordonner les audits des parties prenantes et entretenir des liens étroits avec l’équipe chargée de l’audit interne, de la protection de la vie privée et de la gestion des risques.
Acquisition et déploiement
• Actualiser ses connaissances dans le domaine de la sécurité informatique, notamment en ce qui concerne les nouvelles solutions de sécurité ou les solutions révisées, l’amélioration des processus de sécurité et la mise au point de nouvelles attaques et de nouveaux types de menace.
• Recommander des solutions de sécurité ou des améliorations aux solutions de sécurité en vigueur afin d’optimiser la sécurité générale de l’entreprise, conformément aux procédures d’achat en vigueur dans l’entreprise.
• Superviser l’exécution, l’intégration et la configuration initiale de nouvelles solutions de sécurité et d’améliorations à apporter aux solutions de sécurité en place conformément aux procédures opérationnelles exemplaires standard d’un point de vue générique et, d’un point de vue spécifique, aux documents de l’entreprise relativement à la sécurité.
Gestion de l’exploitation
• Assurer la confidentialité, l’intégrité et la disponibilité des données enregistrées ou transmises par l’intermédiaire des postes de travail, des serveurs et d’autres systèmes de l’entreprise ainsi que des données dans les bases de données et les autres référentiels de données.
• Veiller à l’application des normes et procédures de sécurité de l’entreprise.
• Superviser toutes les enquêtes sur les activités problématiques et assurer une communication permanente avec la haute direction.
• Superviser l’élaboration et la réalisation d’évaluation de la vulnérabilité, de tests d’intrusion et de vérifications de sécurité.
• Superviser le programme de formation de sensibilisation à la sécurité pour tout le personnel afin d’optimiser le respect des documents de sécurité de l’entreprise.
• Communiquer en permanence avec ses collègues des équipes chargées de la prestation de solutions, de l’analyse, de la gestion des services et de l’infrastructure ainsi qu’avec les différents groupes de l’entreprises pour veiller à la compréhension des objectifs de sécurité à l’échelle de l’entreprise, pour solliciter des commentaires et pour favoriser la coopération.
Communication
• Élaborer des documents et des outils pour communiquer efficacement sur la conformité et les exigences de l’entreprise.
• Élaborer des politiques, des plans et des stratégies en conformité avec les lois, les règlements, les politiques et les normes à l’appui des activités cybernétiques de l’entreprise.
• Recueillir, analyser et préparer les comptes rendus nécessaires pour les cadres supérieurs, les organismes de réglementation et les autres parties prenantes concernées.
• Documenter, investiguer et signaler les problèmes de conformité et les incidents liés à la cybersécurité, le cas échéant.
• Collaborer avec les responsables de l’entreprise pour veiller à l’évaluation des risques liés à la sécurité de l’information et à la mise en œuvre de solutions.
• Comprendre, élaborer et présenter des comptes rendus pertinents sur l’état du programme et le respect des cadres et des normes.
• Diriger le signalement et la résolution des problèmes de risque et de conformité avec les parties prenantes appropriées, y compris les risques liés à la sécurité physique, la protection de la vie privée, le service juridique et le service de gestion des risques.
• Assurer la liaison avec les parties prenantes concernées afin de faciliter les activités relatives à la planification d’urgence, à la gestion de la continuité des activités et à la reprise après sinistre informatique.

Special Requirements

Education:
• University degree in Computer Science or related discipline required.
• Minimum of 7 years of technology and cyber security experience.
• CISSP, CISA, CISM, or other relevant security-related designation(s) are required.
Knowledge & Experience
• Significant knowledge of and experience with legal and regulatory compliance standards such as [GDPR, PCI-DSS, ISO 2700-1, NIST 800-23 and PIPEDA}
• Significant Experience with IT governance, risk, and compliance management.
• Knowledge of computer networking concepts and protocols and network security methodologies.
• Knowledge of risk management processes (e.g., methods for assessing and mitigating risk).
• Knowledge of cyber threats and vulnerabilities.
• Knowledge of risk management processes.
• Knowledge of cyber threats and vulnerabilities.
• Knowledge of specific operational impacts of cybersecurity lapses
Skills & Abilities
• Ability to obtain Canada Secret Security Clearance
• OJT / obtain general knowledge of TC Aerodrome Security Measures and Canadian Aviation Security Measures.
• Excellent communication (verbal and written), interpersonal and customer service skills.
• Calm demeanor with ability to coordinate incidents and remediation efforts across teams and with third party partners.
• Ability to plan, organize, and structure work.
• Proven analytical skills and systematic problem solving.
• Ability to work effectively in a team environment or individually with minimal supervision.
• Demonstrated ability to liaise with internal stakeholders and partners to understand and document business requirements.
• Knowledge of change management processes and stakeholder consultation.
• Excellent soft skills e.g., adaptability, emotional intelligence, perseverance, active listening
• Mindfulness Effective negotiating, consulting & coaching skills
• Ability to set priorities and adapt to changes in a quick, professional manner.
• Must use discretion when handling confidential information.
• Experience working in a fast-paced technology organization preferred

Éducation :
• devez avoir un diplôme universitaire en informatique ou dans une discipline connexe.
• avez au moins 7 ans d’expérience dans le domaine de la technologie et de la cybersécurité.
• devez être titulaire d’une certification CISSP, CISA, CISM ou d’un autre titre pertinent dans le domaine de la sécurité.
Connaissances et expérience
• avez une connaissance et une expérience importantes des normes de conformité légales et réglementaires comme [GDPR, PCI-DSS, ISO 2700-1, NIST 800-23 et PIPEDA].
• avez une expérience considérable en matière de gouvernance, de risque et de gestion de la conformité dans le domaine des technologies de l’information.
• avez une connaissance des concepts et protocoles de réseaux informatiques et des méthodologies de sécurité des réseaux.
• avez une connaissance des processus de gestion des risques (par exemple, des méthodes d’évaluation et d’atténuation des risques).
• avez une connaissance des cybermenaces et des vulnérabilités.
• avez une connaissance des processus de gestion des risques.
• avez une connaissance des cybermenaces et des vulnérabilités.
• avez une connaissance des répercussions spécifiques qu’ont les défaillances en matière de cybersécurité sur l’exploitation.
Capacités et aptitudes
• pouvez obtenir une cote de sécurité de niveau secret.
• pouvez acquérir des connaissances générales sur les mesures de sûreté des aérodromes de TC et les mesures de sûreté de l’aviation canadienne, y compris en formation en cours d’emploi.
• avez d’excellentes compétences en matière de communication (orale et écrite), de relations interpersonnelles et de service à la clientèle.
• avez un comportement calme et êtes capable de coordonner les incidents et les efforts de résolution de problèmes au sein des équipes et avec des parties prenantes.
• savez planifier, organiser et structurer le travail.
• avez des compétences analytiques avérées et une capacité à résoudre systématiquement les problèmes.
• pouvez travailler efficacement en équipe ou individuellement avec une supervision minimale.
• faites preuve d’une capacité démontrée à assurer la liaison avec les parties prenantes internes et les partenaires afin de comprendre et de documenter les besoins de l’entreprise.
• avez une connaissance des processus de gestion du changement et de la consultation des parties prenantes.
• possédez d’excellentes compétences non techniques, notamment la capacité d’adaptation, l’intelligence émotionnelle, la persévérance et l’écoute active.
• avez des compétences en matière de négociation, de conseil et de formation.
• êtes capable d’établir des priorités et de vous adapter aux changements de manière rapide et professionnelle.
• devez faire preuve de discrétion lorsque vous traitez des renseignements confidentiels.
• avez de l’expérience de travail au sein d’un organisme technologique en évolution rapide.

Apply Now

Employer Website

Start Date: June 5, 2024

End Date: June 17, 2024

Positions Available:1

Relevant Work Experience:5+ Years

Education Level:Bachelor's Degree

Job Status:Full Time