Pratiques en sécurité infonuagique et en architecture DevSecOps
Mettre en place les contrôles de sécurité infonuagique appropriés pour gérer le risque pour la sécurité tout en permettant à l'entreprise d'utiliser des systèmes technologiques tels que les architectures axées sur les services, les technologies et les conteneurs infonuagiques, les analyses avancées, l'IA, l'Internet des objets industriels, l'infrastructure du réseau et les technologies mobiles.
S'assurer que l'architecture de sécurité infonuagique est facile à entretenir, durable et bien documentée.
Établir et tenir à jour une base de connaissances d'équipe pertinentes, actuelles, valides et fiables sur l'architecture de sécurité infonuagique pour exploiter l'infrastructure et le processus de cybersécurité actuels, au besoin, et définir les normes de configuration tout en soutenant la transformation numérique de l'environnement de l'I et T.
Faciliter la prise de décisions importantes en ce qui concerne l'architecture et les technologies infonuagique.
Favoriser les réalisations et les compétences de l'équipe Sécurité en planifiant la livraison de solutions, en répondant aux questions des membres moins expérimentés de l'équipe sur les aspects techniques et les procédures, en enseignant les processus améliorés et en mentorant les membres de l'équipe
S'assurer que les conceptions en sécurité sont bien documentées, telles que les architectures établies et les processus opérationnels, au moyen de diagrammes clairs et de documents bien rédigés
Feuille de route et stratégie relatives à la sécurité infonuagique
Travailler en collaboration avec le chef de la sécurité de l'information Sécurité infonuagique et architecture DevSecOps, l'équipe Cybersécurité, les directeurs de portefeuille, d'autres architectes et la direction de l'I et T pour comprendre l'orientation de l'entreprise et son incidence sur le niveau de sécurité.
Définir le plan d'action et la stratégie d'investissement appropriés en rédigeant des analyses de rentabilité et des feuilles de route relatives à la sécurité
Faire appel à l'écosystème de fournisseurs de solutions infonuagiques pour comprendre les capacités et les limites dans le but d'améliorer le niveau de sécurité des produits actuels, et aider à sélectionner les bons partenaires.
Faire appel à l'écosystème de fournisseurs de solutions de cybersécurité pour comprendre les capacités et les options pour compenser les contrôles et réduire les risques dans le but d'aider à sélectionner les partenaires qui sauront s'intégrer dans l'architecture globale.
Surveiller et évaluer l'environnement en continu à l'aide d'auto-évaluations et d'évaluations indépendantes de la sécurité Donner à la direction les moyens de cerner les lacunes et les inefficacités et d'engager des mesures d'amélioration à l'aide de feuilles de route et de stratégies relatives à la sécurité
Conditions de travail
Voyages d'affaires occasionnels (au Canada et aux États-Unis), conformément aux lignes de conduite du CN
Exigences
Expérience
Expérience de travail globale d'au moins 12 ans
Au moins huit ans d'expérience en I et T
Au moins cinq années d'expérience en architecture de sécurité infonuagique
Expérience éprouvée de la mise en œuvre d'approches structurées de résolution de problèmes au sein de grandes entreprises géographiquement dispersées et en activité 24 heures sur 24, 7 jours sur 7
Expérience en plateformes multinuages, dont AWS, Azure et Google Cloud Platform, un atout
Expérience des méthodologies Agile et DevOps, un atout
Expérience ferroviaire, dans le transport ou dans le secteur en général, un atout important
Formation, certification et désignation
Baccalauréat en informatique, en génie informatique, en génie électrique, en analyse de systèmes ou dans un autre domaine connexe
Au moins une certification reconnue en sécurité infonuagique : par ex., Certified Information Systems Security Professional (CISSP), Certificate of Cloud Security Knowledge (CCSK), Certified Cloud Security Professional (CCSP), GIAC Cloud Security Automation (GCSA), etc.
Certifications en architecture (TOGAF, Zachman, CISSP-ISSAP, etc.), un atout
Compétences
Capacité à définir et à organiser un appareillage d'architecture de sécurité à l'aide d'éléments réutilisables : tendances, services, composantes, modèles de capacité, etc.
Capacité éprouvée à comprendre les répercussions d'activités commerciales complexes sur la sécurité ainsi que le lien entre ces activités et les solutions technologiques qui atténuent les risques et stimulent les affaires.
Capacité d'établir des exigences claires en matière de sécurité à partir de besoins vaguement formulés.
Capacité à interagir avec une grande partie du personnel pour expliquer et mettre en application les mesures de sécurité
Excellentes compétences en communications orales et écrites
Souci du détail, autonomie et niveau élevé d'engagement et de motivation personnelle
Facilité à établir l'ordre de priorité des tâches et à travailler dans un environnement très dynamique.
Connaissances et compétences techniques
Solide connaissance des processus, méthodes, outils et techniques utilisés pour la création de vastes systèmes informatiques en nuages privés et publics
Connaissance des normes, de la réglementation et de la législation qui gouvernent la sécurité de l'information, p. ex., NIST, ISO 27001, OWASP
Connaissance des technologies et des architectures de sécurité en TI générales : architectures orientées vers les services, technologies mobiles, notamment la gestion des appareils mobiles, la conception axée sur les données, l'analyse avancée, l'IA, les cycles de vie de la gestion des identités et des accès, la criminalistique numérique, la sécurité de point terminal, la gestion des clés de chiffrement, la sécurité des bases de données, les services de répertoire d'entreprise, le système de détection d'intrusions, le système de prévention d'intrusion, les pare-feu de la prochaine génération, les pare-feu d'application, les chambres fortes de mots de passe, la sécurité SaaS/PaaS/IaaS infonuagique, la gestion des informations et des événements de sécurité (GIES), etc., un atout
Compréhension de la sécurisation des interfaces de programmation d'applications (API), OpenID Connect, OAuth, un atout
Connaissances du réseautage, dont SD-networks et Service Mesh, un atout
Connaissance de la sécurité des conteneurs d'applications, particulièrement de Kubernetes, un atout
Au CN, nous sommes déterminés à bâtir le chemin de fer le plus sûr, le plus inclusif et le plus durable de l'Amérique du Nord, à l'image des collectivités dans lesquelles nous exerçons nos activités. Les études révèlent que souvent, les candidats des groupes sous représentés ne posent pas leur candidature à moins de croire qu'ils correspondent tout à fait à l'offre d'emploi. Même si vous ne vous reconnaissez pas dans toutes les exigences énoncées dans l'affichage d'un poste, nous vous encourageons quand même à poser votre candidature. Si vous avez besoin d'un accommodement pour le processus de recrutement (notamment d'autres formats de documents, des salles de réunion accessibles ou d'autres mesures d'accommodement), veuillez communiquer avec notre équipe à cnrecruitment@cn.ca.
À titre d'employeur souscrivant au principe de l'égalité d'accès à l'emploi, le CN prendra en considération pour un emploi toutes les personnes candidates qualifiées sans égard à la race, à la couleur, à la religion, au sexe, à l'orientation sexuelle, à l'identité de genre, à l'origine nationale, à l'invalidité, au statut d'ancien combattant protégé, et à tout autre statut protégé en vertu des lois applicables. Nous remercions tous les candidats et toutes les candidates de leur intérêt; cependant, nous ne communiquerons qu'avec les personnes dont la candidature sera retenue. Veuillez consulter régulièrement vos courriels, car les communications sont surtout envoyées par courrier électronique.