IT Third Party Risk and Compliance Analyst

IT Third Party Risk and Compliance Analyst Miejsce pracy: Warszawa Technologies we use Expected Information Security Standards About the project The IT Third Party Risk and Compliance Analyst will lead the design, development, and management of the firms' IT third party risk management program. The position will consist of gathering, analyzing, and interpreting security control evidence from third parties. Candidate should be available outside normal working hours to participate in emergency events such as security incidents, breaches, investigations, etc. Your responsibilities Uses SIG questionnaire, performs due diligence on third party vendors to determine the effectiveness of their controls to protect the firm's data, identifies any discrepancies and provides recommendations to management Develops, implements, assigns, and monitors third party vendor assessments Monitors third party vendor security posture using third party services (e.g., security scorecard, BitSight, risk recon, etc.) Executes and documents assessment activities following established processes and procedures Improves existing SIG questionnaire review/response process Keeps abreast of regulatory and compliance related information to enhance the third-party due diligence program Collaborates with team members to provide subject matter expertise with respect to the Firm's third-party risk management program and creates and updates documents and presentations that can be used to inform internal employees, external auditors or internal auditors about the program Contributes to the continuous improvement, including automation where possible, of all aspects of the third-party risk management program based on expert knowledge, industry best practices, business objectives and risk tolerance, keeping the program relevant and in alignment with the business objectives Leads third party risk/threat notification to third party vendors by assessing vendor risk, impact and response to risks/threats (e.g., assessing Log4Shell vendor impact and response communications) Tracks vendor mitigation progress of identified threats and risks Develops, implements, monitors KPI, KRI for third party risk management program Develops and updates third party risk management program policies, procedures, and best practices Actively participates in outside Third-Party Risk Management communities Works with the security team to develop, manage and maintain the Firm's Information Security Program, security awareness programs, insider threat programs, etc. Identifies Information Security & Business Continuity risks to senior management & makes recommendations for corrective actions/mitigation of risks Assesses BCP/DR compliance status of third-party vendors and communicates their status/impact to the firm's BCP/DR team Assists IT Compliance team with completing vendor risk assessments submitted to GT by clients and prospective clients; responds to client Requests for Proposals (RFPs) and questionnaires related to security Our requirements Bachelor's degree in Information Technology, Information Systems, Information Security, Business Administration, or Risk Management or equivalent experience 1-3 years of experience in implementing and/or supporting IT risk management processes. 1-3 years of experience in responding to vendor IT risk assessments Industry certifications preferred (e.g. TPRA, CTPRP, CTPRA, CEH, CISA, CISM) or will obtain Proficiency with standard information gathering tools (e.g., DDQ, SIG, etc.) Working knowledge of security exchanges (e.g. ProcessUnity, OneTrust, UpGuard, CyberGRX, Prevalent, Archer, LogicManager, etc.) Working knowledge of security standards, frameworks, best practices and key laws (ISO 27001/27701/27017/42001, NIST, CIS, GDPR, HIPAA ) Experience working with IT audits, findings, and tracking and remediating to resolution. Working knowledge of cloud technologies (any of these, Azure, AWS, Alibaba, GCP, IBM cloud) and software delivery models (SaaS, PaaS, IaaS) Proficiency with Windows-based software and Microsoft Office suite Working knowledge of A.I. fundamentals (e.g. AI-900 certification) Working knowledge of A.I. technologies (Gen AI), CoPilot, ChatGPT, etc. Benefits sharing the costs of sports activities private medical care remote work opportunities integration events GT SERVICES sp. z o.o. Greenberg Traurig (GT), a global law firm with locations across the world in 15 countries, has an exciting employment opportunity for you. We offer competitive compensation and an excellent benefits package, along with the opportunity to work within an innovative and collaborative environment. Klikając w przycisk "Aplikuj" lub w inny sposób wysyłając zgłoszenie rekrutacyjne, zgadzasz się na przetwarzanie Twoich danych osobowych przez GT SERVICES sp. z o.o. z siedzibą w: Chmielna 69, 00-801 Warszawa (Pracodawca), jako administratora danych osobowych w celu przeprowadzenia rekrutacji na stanowisko wskazane w ogłoszeniu. Twoje dane osobowe będą przetwarzane w oparciu o następujące podstawy prawne: (a) aby podjąć działania na Twoje żądanie przed zawarciem umowy (np. informacje o oczekiwanym wynagrodzeniu i dostępności do rozpoczęcia pracy); (b) w oparciu o nasz prawnie uzasadniony interes (np. imię, nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg dotychczasowego zatrudnienia); c) w oparciu o Twoją zgodę, która wyrażona jest poprzez przeslanie dokumentów aplikacyjnych zawierających takie informacje jak np. wizerunek czy zainteresowania.Podanie wszystkich danych osobowych, o których mowa powyżej jest dobrowolne, natomiast dane wymienione w lit. a) i b) są niezbędne do wzięcia udziału w rekrutacji. Niepodanie danych skutkuje brakiem możliwości rozpatrzenia kandydatury. Podanie pozostałych danych jest dobrowolne, ale może pomóc w sprawnym przeprowadzeniu procesu rekrutacji.Masz prawo żądać dostępu do Twoich danych (w tym uzyskania ich kopii), sprostowania danych, ich usunięcia, ograniczenia przetwarzania, przeniesienia, jak również wniesienia sprzeciwu wobec ich przetwarzania. Masz także prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.Twoje dane osobowe mogą zostać przekazane dostawcom usługi publikacji ogłoszeń o pracę, dostawcom systemów do zarządzania rekrutacjami, dostawcom usług IT (hosting), dostawcom systemów informatycznych.Podane przez Ciebie dane osobowe nie będą wykorzystywane w celu profilowania albo podejmowania decyzji w sposób zautomatyzowany.Twoje dane osobowe będą przetwarzane przez okres maks. 1 roku od zakończenia publikacji ogłoszenia, chyba, że wyraziłeś odrębną zgodę na wykorzystanie Twoich danych osobowych w przyszłych rekrutacjach.W celu realizacji praw lub w przypadku jakichkolwiek pytań związanych z przetwarzaniem Twoich danych osobowych skontaktuj się z nami pod adresem: warsaw_office@deweyballantine.com.