Security Risk Analyst (Flexible)/Analyste des Risques de Sécurité - Alcoa USA Group

Shape Your World

At Alcoa, you will become an essential part of our purpose: to turn raw potential into real progress. The way we see it, every Alcoan is a work-shaper, team-shaper, idea-shaper, world-shaper.

As a leader within Alcoa, you can help us fulfill our purpose and realize our vision to reinvent the aluminum industry. Be part of the team that is helping shape a better workplace with a better work-life balance and the equal opportunities that help everyone thrive. You have the power to shape things to make them better.

About the Role:

As the Security Risk Analyst, you will have key input in designing and implementing a new program, that is still in its developmental stage. This professional will be joining our Governance Risk & Compliance (GRC) team within the Information Technology & Automation Systems (ITAS) department. The Security Risk Analyst will be responsible for optimizing an IT risk management program that balances risk, compliance, and cost to align with the Company’s business goals and ITAS strategy.

• Contribute to the development of the IT Risk Management Program (policy, standards development, implementation, GRC platform configuration and adoption)

• Conduct independent and comprehensive system risk assessments of the management, operational, and technical security controls and enhancements employed within or inherited by a system to determine the overall effectiveness of the controls.

• Perform risk analysis (e.g., threat, vulnerability, and probability of occurrence) whenever an application or system undergoes a risk assessment or major change.

• Assess all applicable system component configurations baselines or benchmarks for currency during the system risk assessment and during change or updates for release management processes.

• Provide a comprehensive assessment of the weakness or deficiencies in the information systems and prepares the final security control gap analysis and system risk assessment report containing the results and findings from the assessment.

• Ensure that system owner corrective action plans (CAPs) are in place for vulnerabilities identified during risk assessments, audits, or self-assessments.

• Provide input to the Risk Management process and maintain and update risk management policies, standards, guidelines, and procedures.

• Validate and update security documentation reflecting the application or system security design.

• Identify opportunities to improve risk posture, developing solutions for remediating or mitigating risks and assessing the residual risk.

• Lead the reporting efforts for all information system weakness or deficiencies plus CAPs.

• Configure and manage the risks and KPI’s in a GRC platform.

• In combination with the ITAS Security Awareness & Training Specialist, provide threat awareness, and education to Alcoa’s users (or employees & contractors).

• Collaborate with active project teams to ensure risk is adequately managed for new system/infrastructure/security projects. 

• Coordinate with the Enterprise Risk Management group for corporate level risk reporting.

• Work in partnership with the Operations Risk Management group for overlap in information/Cybersecurity related risks.

What you can bring to the role:

• Bachelor’s degree Information Systems Security or Management, Cybersecurity, Computer Science, Risk Management, or equivalent degrees.

• 4 years of experience in Information Security/Cybersecurity risk and mitigation strategies, technologies, programs, and operations. 

• Experience with regulatory compliance and information security management frameworks (ISO-27001, ISO-27002, ISO-27005, ISO-31000, NIST800-39, NIST800-53)

• Experience with GRC Platforms (AuditBoard) and one or more certifications such as CRISC, CGRC, GRCP™, ISC2 CGRC – preferred but not required.

• Knowledge of risk management processes, security architectures and technologies, data security, privacy principles, cyber defense, and vulnerability assessment tools.

• Familiarity with application vulnerabilities, identity, access control methods, networking concepts and protocols, and security methodologies

• Collaborate with stakeholders to make informed and balanced decisions about risk that balance the benefits of risk reduction and business performance.

• Performing business impact assessments, privacy impact assessments, and threat assessments.

• Interpreting system vulnerability and configuration scanner results to identify vulnerabilities.

What’s on offer:

• 401(k), employer match up to 6%, additional employer retirement income contribution (no vesting period), and a nonqualified deferred compensation plans​;

• 15 days’ vacation and one flexible holiday of your choice​;

• Flexible spending accounts and generous employer contribution to the HAS;

• Paid annual volunteer hours; 

• Career development opportunities to pursue your passions; and

• Social and diversity focused engagement opportunities.

#LI-TL2

#LI-Remote  

Analyste des Risques de Sécurité

En tant que leader au sein d'Alcoa, vous pouvez nous aider à réaliser notre objectif et concrétiser notre vision de réinventer l'industrie de l'aluminium. Faites partie de l'équipe qui contribue à façonner un meilleur lieu de travail avec un meilleur équilibre entre vie professionnelle et vie privée et les opportunités égales qui permettent à chacun de s'épanouir. Vous avez le pouvoir d'améliorer les choses.

À propos du rôle :

En tant qu'Analyste des Risques de Sécurité, vous jouerez un rôle clé dans la conception et la mise en œuvre d'un nouveau programme, encore en phase de développement. Ce professionnel rejoindra notre équipe de Gouvernance, Risque et Conformité (GRC) au sein du département des Systèmes d'Information et d'Automatisation (ITAS). L'Analyste des Risques de Sécurité sera responsable de l'optimisation d'un programme de gestion des risques informatiques qui équilibre risque, conformité et coût afin de s'aligner avec les objectifs commerciaux de l'entreprise et la stratégie ITAS.

Responsabilités :

• Contribuer au développement du programme de gestion des risques informatiques

• Élaboration et mise en œuvre des politiques et standards

• Configuration et adoption de la plateforme GRC

• Mener des évaluations indépendantes et complètes des risques des systèmes concernant les contrôles de sécurité de gestion, opérationnels et techniques mis en place ou hérités par un système pour déterminer l'efficacité globale des contrôles.

• Réaliser des analyses de risques (par exemple, menaces, vulnérabilités, et probabilité de survenue) chaque fois qu'une application ou un système fait l'objet d'une évaluation des risques ou d'un changement majeur.

• Évaluer toutes les configurations des composants systèmes applicables pour leur actualité lors de l'évaluation des risques du système et lors des changements ou mises à jour pour les processus de gestion des versions.

• Fournir une évaluation complète des faiblesses ou déficiences des systèmes d'information et préparer le rapport final d'analyse des écarts de contrôle de sécurité et d'évaluation des risques du système contenant les résultats et conclusions de l'évaluation.

• S'assurer que les plans d'action correctifs (CAPs) du propriétaire du système sont en place pour les vulnérabilités identifiées lors des évaluations des risques, audits ou auto-évaluations.

• Fournir des contributions au processus de gestion des risques et maintenir et mettre à jour les politiques, standards, lignes directrices et procédures de gestion des risques.

• Valider et mettre à jour la documentation de sécurité reflétant la conception de sécurité de l'application ou du système.

• Identifier les opportunités d'amélioration de la posture de risque, développer des solutions pour remédier ou atténuer les risques et évaluer les risques résiduels.

• Diriger les efforts de reporting pour toutes les faiblesses ou déficiences des systèmes d'information ainsi que les CAPs.

• Configurer et gérer les risques et les KPI dans une plateforme GRC.

• En collaboration avec le Spécialiste de la Sensibilisation et de la Formation en Sécurité ITAS, fournir une sensibilisation aux menaces et une éducation aux utilisateurs d'Alcoa (ou employés et sous-traitants).

• Collaborer avec les équipes de projet actives pour s'assurer que les risques sont adéquatement gérés pour les nouveaux projets de systèmes/infrastructures/sécurité.

• Coordonner avec le groupe de Gestion des Risques d'Entreprise pour le reporting des risques au niveau corporatif.

• Travailler en partenariat avec le groupe de Gestion des Risques Opérationnels pour les chevauchements liés aux risques d'information/cybersécurité.

Ce que vous pouvez apporter au rôle :

• BAC en Sécurité des Systèmes d'Information ou Management, Cybersécurité, Informatique, Gestion des Risques ou équivalent.

• 4 ans d'expérience en Sécurité de l'Information/Cybersécurité, stratégies de réduction des risques, technologies, programmes et opérations.

• Expérience avec la conformité réglementaire et les cadres de gestion de la sécurité de l'information (ISO-27001, ISO-27002, ISO-27005, ISO-31000, NIST800-39, NIST800-53)

• Expérience avec les plateformes GRC (AuditBoard) et une ou plusieurs certifications telles que CRISC, CGRC, GRCP™, ISC2 CGRC - de préférence mais non obligatoire.

• Connaissance des processus de gestion des risques, des architectures et technologies de sécurité, de la sécurité des données, des principes de confidentialité, de la défense cybernétique et des outils d'évaluation des vulnérabilités.

• Familiarité avec les vulnérabilités des applications, les méthodes de contrôle d'accès, les concepts et protocoles de mise en réseau, et les méthodologies de sécurité.

• Collaboration avec les parties prenantes pour prendre des décisions informées et équilibrées concernant les risques, équilibrant les avantages de la réduction des risques et la performance commerciale.

• Réalisation d'évaluations d'impact sur les affaires, d'évaluations d'impact sur la confidentialité et d'évaluations des menaces.

• Interprétation des résultats des scanners de vulnérabilité et de configuration des systèmes pour identifier les vulnérabilités.

Ce qui est proposé :

• 401(k), contribution de l'employeur jusqu'à 6%, contribution supplémentaire de revenu de retraite de l'employeur (sans période d'acquisition) et plans de compensation différée non qualifiés;

• 15 jours de vacances et un jour férié flexible de votre choix;

• Comptes de dépenses flexibles et contribution généreuse de l'employeur à l’HAS;

• Heures annuelles de bénévolat payées;

• Opportunités de développement de carrière pour poursuivre vos passions;

• Opportunités d'engagement social et de diversité.

#LI-TL2

#LI-Remote

About the Location

Recognized as an industry pioneer, Alcoa has established itself as an international company with operations across six continents. Alcoa’s U.S. portfolio includes Alcoa's corporate headquarters, Alcoa's Technology Center,  two smelters, and a calcined coke plant. While some roles are based on-site, Alcoa also offers a flexible working model for certain positions. Wherever you choose to join us, you'll be joining a global team committed to advancing sustainability and delivering excellence and innovation.

We are values led, vision driven and united by our purpose of transforming raw potential into real progress.  Our commitments to Inclusion, Diversity & Equity include providing trusting workplaces that are safe, respectful and inclusive of all individuals, free from discrimination, bullying and harassment and that our workplaces reflect the diversity of the communities in which we operate.   

As a proud equal opportunity workplace and affirmative action employer, Alcoa is dedicated to providing equal opportunities and equal access to all individuals regardless of a person’s gender, age, race, ethnicity, sexual orientation, gender identity, religion, nation of origin, disability, veteran status, language spoken or any other characteristic or status protected by the laws or regulations in the places where we operate.  

If you have visited our website in search of information on U.S. employment opportunities or to apply for a position, and you require an accommodation, please contact Alcoa Recruiting via email at gssrecruiting@alcoa.com.  

This is a place where you are empowered to do your best work, be your authentic self, and feel a true sense of belonging. Come join us and shape your career!  

Your work. Your world. Shape them for the better.