Руководитель отдела безопасности (Application & Cloud Security)
Ищем опытного руководителя для построения и управления стратегией безопасности приложений и облачной инфраструктуры. Вы будете внедрять DevSecOps, управлять командами AppSec и Cloud Security, обеспечивать соответствие стандартам ISO 27001, SOC 2, NIST. Требуется 10+ лет опыта в кибербезопасности и экспертиза в AWS, Azure, GCP и Kubernetes.
Что предстоит делать
<p><b>Head of Security (Application & Cloud Security)</b> отвечает за разработку, внедрение и управление стратегией безопасности приложений, облачных сред и процессов DevSecOps компании TGCS. Эта роль фокусируется на обеспечении безопасности разработки программного обеспечения, облачной инфраструктуры и соблюдении отраслевых стандартов безопасности. Идеальный кандидат будет руководить инициативами в области безопасности, взаимодействовать с инженерными командами, включая Toshiba Security Governance в Японии, и внедрять надежные средства контроля безопасности для защиты приложений, данных и облачных активов от угроз.</p><h3><b>Ключевые обязанности</b></h3><p><b>Стратегия безопасности и руководство</b></p><ul><li>Определять и реализовывать <b>стратегию безопасности приложений и облачных сред</b>, согласовывая ее с бизнес-целями и задачами SaaS.</li></ul><ul><li>Руководить командами <b>Application Security (AppSec) и Cloud Security</b>, обеспечивая применение передовых практик безопасности.</li></ul><ul><li>Формировать <b>культуру, ориентированную на безопасность</b>, в командах разработки и инфраструктуры.</li></ul><ul><li>Предоставлять высшему руководству регулярные отчеты о состоянии безопасности, оценки рисков и планы по их снижению.</li></ul><ul><li>Оценивать и внедрять <b>современные инструменты и технологии безопасности</b> для улучшения уровня защищенности.</li></ul><p><b>Безопасность приложений и DevSecOps</b></p><ul><li>Интегрировать <b>безопасность в жизненный цикл разработки программного обеспечения (SDLC)</b>, обеспечивая разработку по принципу «безопасность изначально» (secure-by-design).</li></ul><ul><li>Внедрять и управлять инструментами <b>SAST, DAST и SCA</b> для автоматизированного тестирования безопасности.</li></ul><ul><li>Определять <b>стандарты безопасного кодирования</b> и предоставлять рекомендации командам разработки.</li></ul><ul><li>Тесно сотрудничать с <b>DevOps-командами</b> для внедрения <b>практик DevSecOps</b>, автоматизируя безопасность в конвейерах CI/CD.</li></ul><ul><li>Руководить упражнениями по моделированию угроз и тестированием на проникновение для выявления уязвимостей в приложениях.</li></ul><p><b>Облачная безопасность и защита инфраструктуры</b></p><ul><li>Разрабатывать и обеспечивать соблюдение <b>лучших практик безопасности</b> для мультиоблачных и гибридных облачных сред (AWS, Azure, GCP).</li></ul><ul><li>Внедрять <b>решения для управления положением дел в облачной безопасности (CSPM)</b> для мониторинга и защиты облачных конфигураций.</li></ul><ul><li>Обеспечивать соблюдение <b>политик управления идентификацией и доступом (IAM)</b>, шифрования и принципов нулевого доверия (zero-trust).</li></ul><ul><li>Отслеживать и реагировать на <b>инциденты облачной безопасности</b>, тесно сотрудничая с ИТ-отделом и SOC.</li></ul><ul><li>Руководить усилиями по обеспечению соответствия требованиям <b>ISO 27001, SOC 2, NIST, GDPR и других облачных стандартов безопасности</b>.</li></ul><p><b>Обнаружение угроз, реагирование на инциденты и управление рисками</b></p><ul><li>Контролировать <b>мониторинг безопасности, анализ журналов и разведку угроз</b> для облачных сред и сред приложений.</li></ul><ul><li>Внедрять решения <b>SIEM, XDR и SOAR</b> для обнаружения событий безопасности и реагирования на них в реальном времени.</li></ul><ul><li>Определять <b>сценарии реагирования на инциденты</b> для угроз безопасности облачных сред и приложений.</li></ul><ul><li>Проводить <b>регулярные аудиты безопасности, Red Teaming и тестирование на проникновение</b> для выявления и снижения рисков.</li></ul><p><b>Соответствие требованиям, управление и повышение осведомленности в области безопасности</b></p><ul><li>Обеспечивать соответствие отраслевым стандартам безопасности (<b>NIST, OWASP, CSA, ISO 27001, SOC 2, GDPR, CCPA</b>).</li></ul><ul><li>Руководить <b>оценкой рисков облачной безопасности</b>, гарантируя, что поставщики и третьи стороны соответствуют требованиям безопасности.</li></ul><ul><li>Разрабатывать и обеспечивать соблюдение <b>политик безопасности, программ обучения и информационных кампаний</b>.</li></ul><ul><li>Взаимодействовать с юридическим отделом и отделами комплаенс для обеспечения соблюдения нормативных требований по защите данных и конфиденциальности.</li></ul><h3><b>Квалификация и опыт</b></h3><ul><li><b>Степень бакалавра или магистра</b> в области кибербезопасности, компьютерных наук или смежной области.</li></ul><ul><li><b>Более 10 лет опыта</b> на <b>руководящих должностях в области безопасности приложений, облачной безопасности или кибербезопасности</b>.</li></ul><ul><li>Экспертиза в обеспечении безопасности сред <b>Azure, GCP, AWS и Kubernetes</b>.</li></ul><ul><li>Солидный опыт в области <b>DevSecOps, безопасности CI/CD и принципов безопасности программного обеспечения</b>.</li></ul><ul><li>Практический опыт работы с инструментами <b>SAST, DAST, SCA, CSPM и SIEM</b>.</li></ul><ul><li>Глубокое знание <b>облачных стандартов безопасности (CIS Benchmarks, CSA, NIST, OWASP Cloud-Native Security)</b>.</li></ul><ul><li>Хорошее понимание <b>управления идентификацией и доступом (IAM), нулевого доверия (zero trust) и безопасности контейнеров</b>.</li></ul><h3><b>Предпочтительные сертификации</b></h3><ul><li><b>CISSP</b> (Certified Information Systems Security Professional)</li></ul><ul><li><b>CCSP</b> (Certified Cloud Security Professional)</li></ul><ul><li><b>OSCP</b> (Offensive Security Certified Professional)</li></ul><ul><li><b>CISM</b> (Certified Information Security Manager)</li><li><b>Azure Certified Security - Specialty, Google Cloud Security Engineer, или AWS Security Engineer</b></li></ul> <div> <a href="https://jobs.dou.ua/companies/xenoss/vacancies/365699/#reply-btn-id">Откликнуться на вакансию</a> </div>
Стек и инструменты
Подходит ли вам эта вакансия?
Зарегистрируйтесь и загрузите резюме — посчитаем % совпадения с этой вакансией, подсветим сильные стороны и что стоит подтянуть
Похожие вакансии
6 вакансийГоловний експерт з управління ризиками інформаційної безпеки та ІТ-контролів
~1 192 775 – 1 908 440 ₸ оценка
Керівна позиція в управлінні ризиками інформаційної безпеки та ІТ-контролями в міжнародному банку. Потрібен досвід від 5 років, знання стандартів ІТ та англійська Upper-Intermediate. Пропонується стабільна робота, медичне страхування, 25 днів відпустки та можливості навчання.
Lead Security Engineer
Керівник напряму безпеки продуктів у defence-компанії. Потрібен досвід у кібербезпеці, SSDLC та управлінні командою. Пропонують офіційне працевлаштування, медстрахування та англійську мову.
Information security officer
~1 192 775 – 1 908 440 ₸ оценка
Вакансія Information security officer в компанію Prozorro.Продажі, яка керує екосистемою електронних аукціонів. Потрібен досвід від 3 років у побудові систем інформаційної безпеки, знання національних та міжнародних стандартів (ISO 27001, NIST, GDPR). Пропонують віддалену роботу або коворкінг, офіційне працевлаштування та навчання.
Руководитель IT и информационной безопасности
~1 860 000 ₸ оценка
Руководитель IT и информационной безопасности, который будет управлять внутренними системами, доступом, устройствами и безопасностью компании. Требуется 4+ года опыта в IT/ИБ, знание IAM, MDM, SaaS-инструментов и процессов реагирования на инциденты. Предлагают гибкий график, бонусы, обучение и поддержку.
Information Security Lead
~1 860 000 ₸ оценка
Руководитель информационной безопасности для финтех-проекта в Латам. Нужно разработать стратегию ИБ, внедрить политики и процессы, управлять рисками и инцидентами, обеспечить соответствие регуляторам. Требуется опыт от 5 лет в ИБ и от 3 лет на руководящей позиции, знание английского на уровне Upper-Intermediate.
DevSecOps и Application Security Lead
~1 860 000 ₸ оценка
Ищем опытного лидера для построения безопасности приложений с нуля. Вы будете внедрять DevSecOps-практики, выбирать инструменты сканирования и обучать разработчиков. Требуется 5+ лет в инфраструктуре и 3+ года в AppSec. Предлагаем удаленную работу, медстраховку и бюджеты на развитие.