Security - GRC - Especialista en cumplimiento normativo

Funciones y Responsabilidades

Gestión de Riesgos

• Elaboración y mantenimiento de análisis de riesgos y marcos de control conforme a ISO/IEC 27001, NIST CSF, ENS y DORA.
• Seguimiento de planes de tratamiento: estado, avance y efectividad de las medidas definidas.
• Seguimiento de no conformidades y acciones correctivas hasta su cierre, asegurando trazabilidad y evidencia.
• Apoyo en la operación y evolución de herramientas GRC (Archer, OneTrust, Formalize o similares).

Cumplimiento Normativo

• Definir, implantar y mantener el marco de cumplimiento normativo en ciberseguridad y privacidad, asegurando el alineamiento con normativas de ciberseguridad*.

(*) Se valorará el conocimiento en las siguiente materias: Normativas de ciberseguridad nacionales ENS, RGPD, DNIS2, LPIC, CNPREC, Directivas Europeas como DORA, IA, EIDAS2, CRA, buenas prácticas como ISO 27002, 27018, 27017, 42001, Normas sectoriales como PCI DSS, ISA 62443 y esquemas de certificación como Europrivacy o ISO 27001.

• Realizar análisis GAP de cumplimiento, identificando incumplimientos, desviaciones y riesgos regulatorios, y proponiendo medidas de mejora alineadas con el nivel de riesgo y criticidad de los servicios y activos.
• Definir, desarrollar y realizar el seguimiento de planes de acción y remediación, coordinando a los equipos técnicos, de negocio y proveedores hasta el cierre efectivo de las acciones.
• Gestionar y coordinar auditorías internas de cumplimiento y el soporte a auditorías externas y procesos de certificación, incluyendo la gestión de hallazgos, acciones correctoras y verificación de su cierre.
• Gestionar la recopilación, mantenimiento y trazabilidad de evidencias de cumplimiento, asegurando su coherencia con los requisitos regulatorios, políticas, procedimientos y controles establecidos.
• Elaborar informes y reporting a Dirección, así como cuadros de mando de cumplimiento, definiendo y monitorizando KPIs y KRIs relacionados con el estado de cumplimiento, riesgo regulatorio, auditorías y planes de acción.

Continuidad de Negocio y Resiliencia

• Colaboración en el diseño, mantenimiento y actualización de planes de continuidad de negocio (BCP) y planes de recuperación ante desastres (DRP).
• Apoyo en la realización de ejercicios y simulacros, documentando resultados y lecciones aprendidas.
• Seguimiento del estado de los activos críticos y su cobertura dentro del modelo de resiliencia operativa.
• Contribución a los requisitos de resiliencia operativa digital derivados de DORA.

Gestión de Terceros y Cadena de Suministro

• Soporte en el proceso de evaluación y onboarding de proveedores desde el punto de vista de seguridad y riesgo.
• Seguimiento del ciclo de vida del riesgo de terceros: evaluaciones periódicas, cuestionarios, gestión de hallazgos y monitorización continua.
• Colaboración en la elaboración y actualización del inventario de proveedores críticos.
• Apoyo en la automatización de procesos de evaluación mediante herramientas.

Cuadros de Mando y Reporting

• Elaboración y mantenimiento de cuadros de mando de riesgo y cumplimiento para la Alta Dirección y el CISO.
• Consolidación de métricas e indicadores clave (KRI/KPI) que reflejen la postura de seguridad de forma comprensible y accionable.
• Apoyo en la preparación de informes periódicos para comités de riesgo, auditoría interna y reguladores.
• Traducción de información técnica en lenguaje ejecutivo, facilitando la toma de decisiones.

Cultura y Formación en Seguridad

• Colaboración en el diseño y ejecución de campañas de concienciación en seguridad dirigidas a distintos perfiles de la organización.
• Apoyo en el desarrollo de contenidos formativos y en la gestión de plataformas de formación en ciberseguridad.
• Seguimiento de métricas de participación y efectividad de los programas de concienciación.

Contribución a la construcción de una cultura de seguridad sólida y transversal.