Lead Cyber & Offensive Security Risk / 領先的網路和攻擊性安全風險

您是否對進攻性安全充滿熱情，喜歡使用一系列工具和技術來打破牆壁，並不斷了解進攻性安全世界？我們正在尋找一位動態的網路和攻擊性安全風險主管加入我們的資料、技術和網路風險職能部門。

職位描述：

網路與攻擊性安全風險主管將協助首席資訊安全官建立並維持對網路風險管理有效性的穩健治理和監督，以確保銀行的技術和資訊資產得到充分保護。

主要職責：

• 協助制定、審查、更新和/或推出網路風險相關框架、政策和舉措，以促進有效的風險管理和網路風險管理治理。
• 審查和評估內部政策、程序、標準和監管要求的遵守程度。
• 向業務部門和職能部門提供網路風險管理的諮詢、指導和挑戰，以在銀行的風險偏好範圍內實現其業務目標。
• 對第一道防線 (FLOD) 實施的控制措施的充分性和有效性進行獨立評估，並建議緩解措施以解決漏洞（如果有）。
• 領導紅隊（進攻性網路）活動，主動模擬現實世界中對銀行安全控制的網路攻擊，以識別和利用安全弱點和漏洞。
• 提供建議和補救策略，以解決進攻性網路活動中發現的安全漏洞。
• 建立相關的關鍵風險指標 (KRI) 和指標來監控和衡量網路風險暴露。
• 準備並向高階管理層和相關委員會提交網路風險報告，強調主要發現、趨勢和/或建議。
• 回應與網路風險有關的詢問和審計（即內部、外部和監管）。
• 如有需要，與銀行的網路事件回應團隊合作，在安全事件和網路攻擊期間提供建議和/或支援。
• 在全行範圍內進行網路風險意識培訓，培養網路風險意識和安全意識文化。
• 隨時了解新出現的網路威脅、漏洞、攻擊技術和監管發展，以主動應對潛在的網路風險，並協助管理層（和/或董事會）了解可能影響銀行的潛在問題或風險。

資格：

• 計算機科學、資訊安全或相關領域的學士學位。
• 在以下任何學科中至少擁有 15 年經驗：攻擊性安全、資訊安全、風險管理或相關領域的合規性。
• 專業認證，如 CISSP、CCSP、CGRC、CISM、CISA、CRISC、CompTIA PenTest+、攻擊性安全（例如 OSCP、OSCE、OSWE 和 OSWP）、SANS（例如 GXPN、GWAPT、GPEN 和 GMOB）、零點安全和/或CREST 將是有利的。
• 對技術風險和網路彈性的監管要求有豐富的了解。
• 了解網路協定、作業系統、應用程式安全和雲端安全。
• 擁有強大的口頭和書面溝通能力，並能夠與高級利害關係人互動。
• 清晰的分析思維過程以及對新興技術發展和風險管理框架的良好理解。

津貼和福利

• 津貼（交通、停車等）
• 附近的公共交通
• 商務休閒服裝要求
• 醫療保險
• 年假、生日假等