Senior Security Architect

Canada, Quebec, Laval

de fr es ru tr it pt zh ja

Senior Security Architect

Location: Laval

Roche Sequencing is not only changing science, but we are changing lives. Our software teams are laying the groundwork for the future by developing powerful bioinformatics algorithms, data analysis tools, and software/systems infrastructures so researchers and clinicians can make better health decisions faster. The path to curing cancer lies in ones and zeros as we work with next-generation genomic sequencing, a new frontier. The complexity and sheer size of the data in the life sciences will make astronomical data problems look modest.

Do you want to develop products that scientists and others in the life sciences will use to diagnose, find treatments, and eventually beat diseases like cancer?

Our team builds the highly scalable, reliable software and secure systems for better diagnostics. Come join us!

As the Security Architect you  will design and deliver security solutions that align with product architecture standards and advance the architecture toward the target state You will perform the leadership, facilitation, analysis and design tasks required to ensure that security information systems are designed and evolve appropriately. You will work with our business groups to understand their business processes and information needs and works with other members of our informatics organization to identify and design solution options that support the business needs and create and maintain a security solution lifecycle roadmap based on gap analysis for transitioning from current to future-state, including the technology lifecycle management. Is aware and actively applies business & enterprise technology roadmaps during the design of new IT solutions. You will prepare and present project documentation for the architecture review board as well as oversee or consult on technical architecture implementation activities, particularly for new and/or shared solutions. .

As the Senior Security Architect, you will collaborate with the broader architecture community to ensure that the solutions align with target architectures and technology roadmaps as well as chair the departmental architecture community of practice.

What you will bring to the role:

  • Maintain the cyber defense program for RSS (Roche Sequencing Solutions) products and development environments to protect Intellectual Property (IP) and Patient Health Information (PHI). Manage security and privacy during the full product lifecycle, designing and implementing technical controls considering regulatory and legal requirements to achieve full compliance. 

  • Define the cyber security strategy defining short, mid and long-term roadmaps, specifying technologies and measures to enable the secure development of RSS software. Promote standardization of technologies to scale out to different development environments and products.

  • Implement and maintain the RSS ISMS (Information Security Management System) following the ISO 27000 standards and data protection laws. Extend the Roche Security and Privacy Governance guidelines to the development environments aligning innovation and security. Understand regulatory requirements (HIPAA), best practices (NIST, SANS), standards (ISO/IEC 2700x series), frameworks (OSA, TOGAF). 

  • Define security and privacy requirements for RSS products and development environments including the supply chain workflows, such as but not limited to data classification and risk assessments.

  • Coordinate the execution of security and privacy requirements in a timely and qualitative manner ensuring proper risk mitigation and risk acceptance with adequate focus on the business needs. 

  • Continuously review the proposed RSS product’s architectures adapting to possible unpredicted changes and time to market prioritization, assessing risks and their impact to provide adequate remediation's in line with established standards and overall posture. 

  • Manage and incorporate the latest security testing techniques as part of the software development lifecycle automating vulnerability scanning procedures and continuous penetration tests. Assess and prioritize the technical controls to remediate the critical findings in a timely manner.

  • Respond to cyber security incidents and data breaches involving RSS products and development environments. Execute and coordinate forensic activities of artifacts and malware related to security incidents. Implement effective procedures and playbooks involving Roche Security Stakeholders. 

  • Contribute actively to a common forum involving all Roche cyber security stakeholders on strategic and tactical decisions regarding RSS development infrastructure and products.

Who You are

You’re someone who wants to influence your own development. You’re looking for a company where you have the opportunity to pursue your interests across functions and geographies. Where a job title is not considered the final definition of who you are, but the starting point.

Education:

  • BA/BS in Business, Information Systems, Computer Science or relevant area of study, required.

Job-related Experience:

  • 5+ years related work experience in Product Security Architecture and Engineering

  • 3+ years of related work experience in Security Risk Management

  • 3+ years of related work experience in cloud platforms: AWS (preferred)/Azure/GCP

  • Demonstrated experience conducting or being the subject of security and/or privacy audits

  • Demonstrated experience working with product development environments and CI/CD pipelines

  • Demonstrated experience in Linux and Windows hardening

  • Demonstrated experience in vulnerability management and security incident handling 

  • Strong understanding of applicable and accepted audit and risk frameworks (such as COBIT, NIST, and ISO), standards (ISO 27000 family, HITRUST) and government guidelines and laws (HIPAA, GDPR).

Additional Qualifications:

  • Ability to take ownership and be effective with limited supervision

  • Ability to produce high quality policy documentation and compliance reports

  • Demonstrated ability to adapt to new technologies and learn quickly

  • Effective at engaging with teams in various functions and across different levels

  • Strong organizational skills and ability to prioritize and manage multiple projects simultaneously

  • Industry recognized certifications provided by GIAC, ISACA, ISC2

  • Healthcare software experience preferred

  • Experience with clinical workflow solutions or in a clinical environment a plus.

Qualified candidates are encouraged to submit their resume

This position is not car eligible. 

This position is not eligible for relocation support.

This position is open to applicants legally authorized to work in Canada. 

NOTE: All employment is conditional upon the completing and obtaining a satisfactory background check, including educational, employment, references and criminal records (for which a pardon has not been granted) checks. 

AGENCY NOTICE: Please note that Roche Canada does not accept unsolicited resumes from recruiters or employment agencies. In the absence of a signed Services Agreement with agency/recruiter, Roche Canada will not consider or agree to payment of any referral compensation or recruiter fee. In the event a recruiter or agency submits a resume or candidate without a previously signed agreement, Roche Canada explicitly reserves the right to pursue and hire those candidate(s) without any financial obligation to the recruiter or agency.

______________________________________________________________________

L’équipe Roche Sequencing ne change pas seulement la science, nous changeons aussi des vies. Nos équipes logicielles jettent les bases de l'avenir en développant de puissants algorithmes bioinformatiques, des outils d'analyse de données et des infrastructures logicielles / systèmes afin que les chercheurs et les cliniciens puissent prendre de meilleures décisions en matière de santé et ce, plus rapidement. Le chemin pour guérir le cancer se trouve dans les uns et les zéros et c’est pourquoi nous travaillons avec le séquençage génomique de nouvelle génération, qui est une nouvelle frontière. La complexité et la taille même des données dans les sciences de la vie rendront les problèmes de données astronomiques modestes.

Souhaitez-vous développer des logiciels que les scientifiques et d'autres acteurs des sciences de la vie utiliseront pour diagnostiquer, trouver des traitements et éventuellement vaincre des maladies comme le cancer ? Notre équipe construit des logiciels hautement évolutifs et fiables et des systèmes sécurisés pour de meilleurs diagnostics. Joignez-vous à nous !

Conçoit et fournit des solutions de sécurité qui s'alignent sur les normes d'architecture du produit et font progresser l'architecture vers l'état voulu. Effectue les tâches de leadership, de facilitation, d'analyse et de conception nécessaires pour s'assurer que les systèmes d'information de sécurité sont conçus et évoluent de manière appropriée. Travaille avec nos groupes commerciaux pour comprendre leurs processus commerciaux et leurs besoins en information et travaille avec d'autres membres de notre organisation informatique pour identifier et concevoir des options de solution qui répondent aux besoins de l'entreprise. Crée et maintient une feuille de route du cycle de vie des solutions de sécurité basée sur une analyse des écarts pour la transition de l'état actuel à l'état futur, y compris la gestion du cycle de vie technologique. Connaît et applique activement les feuilles de route technologiques d’affaires et des entreprises lors de la conception de nouvelles solutions informatiques. Prépare et présente la documentation du projet pour le comité d'examen de l'architecture. Supervise ou consulte les activités de mise en œuvre de l'architecture technique, en particulier pour les solutions nouvelles et / ou partagées. Collabore avec la communauté architecturale au sens large pour s'assurer que les solutions s'alignent sur les architectures cibles et les feuilles de route technologiques. Préside la communauté de pratique de l'architecture départementale.

Responsabilités de haut niveau

  • Maintenir le programme de cyberdéfense pour les produits RSS (Roche Sequencing Solutions) et les environnements de développement afin de protéger la propriété intellectuelle (IP) et les informations sur la santé des patients (PHI). Gérer la sécurité et la confidentialité pendant tout le cycle de vie du produit, en concevant et en mettant en œuvre des contrôles techniques en tenant compte des exigences réglementaires et légales pour atteindre une conformité totale.

  • Définir la stratégie de cybersécurité en définissant des feuilles de route à court, moyen et long terme, en spécifiant les technologies et les mesures permettant le développement sécurisé des logiciels RSS. Promouvoir la normalisation des technologies pour évoluer vers différents environnements et produits de développement.

  • Mettre en œuvre et maintenir le RSS ISMS (système de gestion de la sécurité de l'information) conformément aux normes ISO 27000 et aux lois sur la protection des données. Étendre les directives de Roche en matière de sécurité et de gouvernance de la confidentialité aux environnements de développement en alignant innovation et sécurité. Comprendre les exigences réglementaires (HIPAA), les meilleures pratiques (NIST, SANS), les normes (série ISO / IEC 2700x), les cadres (OSA, TOGAF).

  • Définir les exigences de sécurité et de confidentialité pour les produits RSS et les environnements de développement, y compris les flux de travail de la chaîne d'approvisionnement, tels que, mais sans s'y limiter, la classification des données et les évaluations des risques.

  • Coordonner l'exécution des exigences en matière de sécurité et de confidentialité de manière opportune et qualitative en veillant à une atténuation adéquate des risques et à l'acceptation des risques en mettant suffisamment l'accent sur les besoins de l'entreprise.

  • Examiner en permanence les architectures du produit RSS proposé en s’adaptant à d’éventuels changements imprévus et à la hiérarchisation des délais de mise sur le marché, en évaluant les risques et leur impact pour fournir des remédiations adéquates conformément aux normes établies et à la posture générale.

  • Gérer et intégrer les dernières techniques en matière de test de sécurité dans le cadre du cycle de vie du développement logiciel en automatisant les procédures d'analyse des vulnérabilités et les tests de pénétration continus. Évaluer et hiérarchiser les contrôles techniques pour corriger les constatations critiques en temps opportun.

  • Répondre aux incidents de cybersécurité et aux violations de données impliquant des produits RSS et des environnements de développement. Exécuter et coordonner les activités médico-légales des artefacts et des logiciels malveillants liés aux incidents de sécurité. Mettre en œuvre des procédures et des playbooks efficaces impliquant les parties prenantes de la sécurité de Roche.

  • Contribuer activement à un forum commun impliquant toutes les parties prenantes de la cybersécurité de Roche sur les décisions stratégiques et tactiques concernant l'infrastructure et les produits de développement RSS.

Qui vous êtes

Vous êtes quelqu'un qui veut influencer son propre développement. Vous recherchez une entreprise où vous avez la possibilité de poursuivre vos intérêts à travers les fonctions et les zones géographiques. Quelqu'un pour qui le titre de poste n'est pas considéré comme la définition finale de qui vous êtes, mais comme le point de départ.

 

Éducation:

BA / BS en affaires, systèmes d'information, informatique ou domaine d'études pertinent, requis.

Expérience liée à l'emploi:

  • 5 ans et plus d'expérience de travail connexe dans l'architecture et l'ingénierie de la sécurité des produits

  • 3 ans et plus d'expérience de travail connexe en gestion des risques de sécurité

  • 3+ années d'expérience de travail connexe dans les plates-formes cloud: AWS (préféré) / Azure / GCP

  • Expérience confirmée de la réalisation ou de la réalisation d'audits de sécurité et / ou de confidentialité

  • Expérience démontrée de travail avec des environnements de développement de produits et des pipelines CI / CD

  • Expérience démontrée en durcissement Linux et Windows

  • Expérience confirmée de la gestion des vulnérabilités et du traitement des incidents de sécurité

  • Bonne compréhension des cadres d'audit et de risque applicables et acceptés (tels que COBIT, NIST et ISO), des normes (famille ISO 27000, HITRUST) et des directives et lois gouvernementales (HIPAA, GDPR).

Qualifications supplémentaires:

  • Capacité à s'approprier et à être efficace avec une supervision limitée

  • Capacité à produire une documentation politique de haute qualité et des rapports de conformité

  • Capacité démontrée à s'adapter aux nouvelles technologies et à apprendre rapidement

  • Efficace pour s'engager avec des équipes dans diverses fonctions et à différents niveaux

  • Solides compétences organisationnelles et capacité à prioriser et à gérer plusieurs projets simultanément

  • Certifications reconnues par l'industrie fournies par GIAC, ISACA, ISC2

  • Expérience en logiciel de santé un atout

  • Expérience avec des solutions de flux de travail cliniques ou dans un environnement clinique, un atout.

Le titulaire de ce poste n’est pas admissible à un soutien financier à la réinstallation.

Ce poste n’est ouvert qu’aux candidats ayant l’autorisation légale de travailler au Canada.

En tant qu’employeur, Roche souscrit au principe de l’égalité d’accès à l’emploi et interdit toute forme de discrimination fondée sur des motifs illicites. Au cours du processus du recrutement, Roche fera, de bonne foi, tous les efforts nécessaires pour accommoder les besoins individuels des candidats vivant avec un handicap.

REMARQUE : L’obtention d’un emploi est conditionnelle à une vérification des antécédents, y compris vos références en matière d’emploi, d’éducation et de dossier criminel (pour lequel vous n’auriez pas obtenu le pardon).

AVIS AUX AGENCES : Veuillez prendre note que Roche Canada n’accepte pas de curriculum vitae non sollicités de la part de recruteurs ou d’agences de placement. Sans une entente de services signée avec une agence ou un recruteur, Roche Canada n’envisagera ni n’acceptera de payer une rémunération de référence ou des frais de recrutement. De même, si un recruteur ou une agence soumet une candidature sans avoir signé une entente au préalable, Roche Canada se réserve explicitement le droit de rencontrer et d’embaucher ce candidat sans aucune obligation financière envers le recruteur ou l’agence de placement.