Analista Pleno de Segurança da Informação (White Team - GRC) at Arco Educação

🎯 Sobre a vaga

Na Arco, nossa missão é transformar a maneira como o conhecimento é construído nas salas de aula de todo o Brasil. Para fortalecer nossa resiliência cibernética, buscamos uma Analista Pleno de GRC (Governança, Riscos e Conformidade) - White Team,  com viés técnico e foco em Controles de Segurança da Informação.

Diferente de uma posição tradicional de "check-list", nesta cadeira você será responsável pela Auditoria Contínua, atuando como um parceiro estratégico que valida a efetividade real das proteções implementadas pelos times técnicos de segurança da informação. Você será o braço direito da coordenação na sustentação dos frameworks de mercado (CIS, NIST, ISO), transformando dados técnicos em indicadores executivos que apoiam a tomada de decisão.

🚧 Responsabilidades:

• Auditoria Contínua de SI (Testes de Desenho e Efetividade): realizar testes técnicos periódicos para validar se os controles de segurança desenhados estão operando conforme esperado (ex: verificar se o MFA está realmente forçado no painel do JumptoCloud, se o EDR está bloqueando USBs, etc.), superando a abordagem apenas documental;

• Ele terá que verificar tecnicamente se o backup da AWS (gerido pelo time de Infraestrutura) está seguindo a regra de retenção definida na política e se o teste de restore foi documentado, conforme exigido no controle da Matriz de Riscos.

• Este profissional define e monitora o SLA de correção. Ele não corrige o código, mas gera o relatório que vai para o CTO para o nível de governança e não no nível técnico. 

• Gestão de Gaps (CIS/NIST): manter vivo o assessment de maturidade (CIS Controls v8 e NIST CSF), identificando novos gaps, cadastrando planos de ação e cobrando as áreas técnicas de segurança da informação pela remediação;
• Gestão de Indicadores (KRIs/KPIs): estruturar e automatizar a coleta de indicadores de desempenho e risco, garantindo que a gestão tenha visibilidade clara sobre a saúde do ambiente (ex: % de maturidade com base no NIS, CIS Controls, OWASP, LGPD e outros framworks de mercado);
• Gerenciamento de vulnerabilidades: estruturar comitês para formalizar e gerenciar planejamento para as vulnerabilidades técnicas identificadas em diferentes times/diretorias.
• Suporte a Auditorias: atuar como ponto focal técnico para auditorias externas e internas, organizando evidências e traduzindo requisitos de auditoria para a linguagem dos times mais técnicos;
• Melhoria de Processos: apoiar a revisão e criação de Normas e Políticas de Segurança da Informação, garantindo que sejam exequíveis e aderentes à realidade técnica da Arco;
• Acompanhamento de Planos de Ação: monitorar o progresso das tratativas de riscos e vulnerabilidades, atuando proativamente para desbloquear impedimentos junto aos stakeholders.

🧠 Conhecimentos necessários e Requisitos:

• Domínio de Frameworks: conhecimento sólido em CIS Controls (v8) e NIST CSF. Entendimento da ISO 27001/27002/27005.
• Background Técnico: capacidade de dialogar tecnicamente com times de Infraestrutura, squads técnicas de Segurança da Informação e Desenvolvimento. Entender conceitos de endpoints, redes, autenticação (IAM) e nuvem é essencial para auditar a efetividade.
• Auditoria de TI: experiência com execução de testes de controles (ToD - Test of Design e ToE - Test of Effectiveness).
• Gestão de Riscos: conhecimento em metodologias de análise de riscos (ex: ISO 31000, 29134, 27005).
• Ferramentas de Produtividade: Excel/Planilhas do Google avançado (para modelagem de dados e controles) e familiaridade com ferramentas de gestão de tarefas (Jira).

🚀 Diferenciais

• Certificações de mercado como: CompTIA Security+, ou ISO 27001/27701 Lead Auditor/Implementer.
• Experiência prévia com processos de GRC ou gestão de vulnerabilidades (ex: Qualys).
• Conhecimento em Privacidade/LGPD (para atuar de forma integrada com o pilar de Privacidade).
• Noções de automação de coleta de evidências (ex: scripts básicos, Power BI ou APIs).

🤝 Competências comportamentais

• Ceticismo Profissional Saudável: capacidade de questionar e validar informações ("Trust, but verify"), mantendo a diplomacia.
• Visão Sistêmica: entender como um controle falho em uma ponta impacta o negócio na outra.
• Comunicação Assertiva: conseguir traduzir linguagem técnica para riscos de negócio e vice-versa.
• Autonomia e Organização: habilidade para gerenciar seu próprio backlog de testes e cobranças sem necessidade de microgerenciamento constante.
• Perfil Analítico: gostar de investigar a causa raiz e não apenas apontar o problema.