Commonwealth de PA 2 –TAS1 A4 SC3- OA/EISO - Analista Técnico de Riesgos de Seguridad y Gobernanza – 795990 (Híbrido)

Fecha de cierre: 20/02/2026

Puesto a tiempo completo (40 horas semanales)

Horario híbrido - 2 días presenciales por semana en Harrisburg

Los candidatos locales en un plazo de 2 horas antes de la presidencia fueron ampliamente preferidos

Cualificaciones requeridas

· Licenciatura en seguridad de la información, Informática, Sistemas de Información o campo relacionado; O experiencia equivalente.

· 1–3 años en seguridad de la información, gestión de riesgos, auditoría o un puesto técnico relacionado.

Titulaciones Preferidas (no requeridas)

· CISSP, CISM, CRISC, CGRC (CAP), Security+, CCSK/CCSP, CISA

· Las certificaciones de proveedores/nube (AWS/Azure/GCP en seguridad) son un plus.

Conocimiento

· Marcos y regulaciones de seguridad: NIST CSF/800-53, Controles CIS, ISO 27001; conocimiento de CJIS, IRS Pub 1075, HIPAA, FERPA, PCI DSS y la política estatal.

· Dominios de seguridad básicos: gestión de identidad y acceso (IAM), seguridad de redes, seguridad de endpoints, gestión de vulnerabilidades, registro/SIEM, cifrado/PKI, DevOps seguro.

· Conceptos de seguridad en la nube (responsabilidad compartida, CSPM, protección de cargas de trabajo, KMS/CMKs, acceso condicional, confianza cero).

Habilidades

· evaluación técnica y pruebas de control; Capacidad para validar configuraciones e interpretar resultados de escaneo

· Análisis y documentación de riesgos; crear planes prácticos de tratamiento de riesgo y excepciones con controles compensatorios.

· Uso de plataformas GRC; Crear flujos de trabajo, bibliotecas de control y registros de riesgo.

· Análisis de datos y gestión de paneles (Excel/Power BI), redacción concisa de informes y presentaciones a directivos.

Habilidades

· Traduce los hallazgos técnicos en términos de riesgo empresarial y acciones priorizadas.

· Colaborar en áreas de TI, operaciones, legal, adquisiciones y programas; influencia sin autoridad.

· Gestionar múltiples evaluaciones y plazos; Mantener la confidencialidad y un juicio sano.

· Aprendizaje continuo y adaptación a nuevas amenazas, tecnologías y mandatos.

Condiciones de trabajo y requisitos

· Verificación de antecedentes según la política estatal; puede requerir autorización CJIS/IRS Pub 1075 dependiendo de los sistemas de datos.

· Viajes ocasionales a agencias o centros de datos.

· Participación en ventanas de cambio fuera de horario o apoyo a incidentes según sea necesario.

· Elegibilidad para el trabajo híbrido/teletrabajo según la política de la agencia.

Medidas de rendimiento

· Finalización puntual de las evaluaciones de riesgos y pruebas de control.

· Reducción en hallazgos altos/críticos; Cumplimiento del SLA para la remediación.

· Resultados de auditoría (reducción de deficiencias, acciones correctivas oportunas).

· Entregables de gobernanza (ciclo de actualización de políticas, control de la moneda de la biblioteca).

· Satisfacción de los interesados y efectividad de la comunicación sobre riesgos.

Descripción del puesto

El Analista Técnico de Riesgos y Gobernanza de Seguridad apoya el programa de ciberseguridad del estado realizando evaluaciones de riesgos, pruebas de control y actividades de gobernanza en sistemas empresariales, aplicaciones, redes y servicios en la nube. Este puesto colabora con TI, propietarios de negocios y equipos de auditoría para garantizar que los controles de seguridad estén diseñados, implementados y operen eficazmente en línea con la política estatal, NIST CSF/800-53 y otros marcos regulatorios (por ejemplo, CJIS, IRS Pub 1075, HIPAA, PCI DSS). El Analista desarrolla recomendaciones pragmáticas, realiza un seguimiento de la remediación y elabora métricas para la elaboración de informes regulatorios y de liderazgo.

Responsabilidades clave

Evaluación de riesgos y garantía de control

· Realizar evaluaciones técnicas de riesgos de seguridad para soluciones locales, en la nube (IaaS/PaaS/SaaS) y híbridas; Documenta los riesgos, la probabilidad/impacto y las medidas recomendadas de mitigación.

· Realizar pruebas de diseño de control/efectividad operativa según NIST CSF/800-53, CIS Controls, ISO/IEC 27001 y normas de seguridad de agencias.

· Procesos de Autoridad de Apoyo para Operar (ATO), certificaciones de seguridad y monitorización continua.

· Facilitar la modelización de amenazas y revisiones de la arquitectura de seguridad; asesorar sobre patrones seguros (segmentación de red, IAM, privilegio mínimo, cifrado, registro).

Gobernanza y cumplimiento

· Mantener políticas de seguridad, estándares, procedimientos y bibliotecas de control; Alinea las actualizaciones con los cambios legislativos o regulatorios.

· Asigna los controles de las agencias a los mandatos relevantes (por ejemplo, CJIS, IRS 1075, HIPAA, FERPA, PCI DSS, estatutos/políticas estatales) y rastrea las brechas de cumplimiento.

· Coordinar auditorías internas/externas; Liderar la recogida de pruebas, respuestas y planes de remediación.

· Administrar o contribuir a la maquinaria GRC para problemas, excepciones y registros de riesgos.

Vulnerabilidad y riesgo de terceros

· Establecer la gobernanza para la gestión de vulnerabilidades (SLAs, gestión de excepciones, aceptación de riesgos); Monitoriza el progreso del parche y la remediación.

· Realizar revisiones de proveedores/seguridad (SaaS, MSPs, proveedores de la nube), evaluar las certificaciones SOC 2/ISO y negociar cláusulas de seguridad con contratación/legal.

· Revisa los riesgos de protección de datos, cifrado y privacidad en nuevas adquisiciones y cambios importantes en el sistema.

Métricas, Informes y Comunicación

· Desarrollar y mantener paneles de control e indicadores de rendimiento (postura de riesgo, madurez de control, tasas de cierre de vulnerabilidades); Breve liderazgo sobre tendencias y prioridades.

· Elabora informes claros y accionables para equipos técnicos y partes interesadas no técnicas.

· Promover la concienciación sobre seguridad y la formación específica (por ejemplo, configuración segura, privacidad desde el diseño, incorporación de terceros).

Apoyo Asesor de Incidentes y Cambios

· Proporcionar orientación informada sobre riesgos durante la respuesta a incidentes (causa raíz, brechas de control, acciones correctivas).

· Revisar las solicitudes de cambio en cuanto a impactos en la seguridad; Asegúrate de que los planes adecuados de pruebas, registros y reversiones de reversión.