Ведущий DevSecOps инженер / Менеджер по безопасности

Что предстоит делать

<p>Мы ищем <strong>Lead DevSecOps Engineer / Security Manager</strong>, который поможет формировать и возглавить практики кибербезопасности для платформы, работающей в сфере гостеприимства, путешествий, билетирования и живых мероприятий. Эта роль сочетает практический опыт в области безопасности приложений с обязанностями лидера в сфере безопасности. Вы будете тесно сотрудничать с командами разработчиков, чтобы усилить безопасную поставку программного обеспечения, улучшить процессы безопасности, управлять рисками и поддерживать требования соответствия в бизнесе, где безопасность, надежность и доверие клиентов имеют решающее значение.</p><h3>Требования к кандидату</h3><ul><li><strong>8+ лет опыта</strong> в <strong>Application Security</strong>, <strong>Product Security</strong> или <strong>DevSecOps</strong> с непосредственной работой с командами разработчиков</li><li>Уверенный практический опыт работы с <strong>SAST</strong>, <strong>SCA</strong>, сканированием кода, <strong>GitHub</strong>, <strong>GitHub Advanced Security</strong>, <strong>SonarQube</strong>, <strong>Dependabot</strong> и интеграцией безопасности в CI/CD</li><li>Способность проверять код, оценивать результаты проверок безопасности, отличать реальные риски от «шума» и внедрять практические меры по их устранению</li><li>Опыт внедрения и улучшения практик <strong>SSDLC</strong> и <strong>shift-left security</strong>, включая моделирование угроз, анализ безопасности на этапе проектирования и управление уязвимостями</li><li>Глубокое понимание концепций безопасности приложений и API, включая <strong>аутентификацию</strong>, <strong>авторизацию</strong>, управление секретами, риски зависимостей, уязвимости инъекций и защиту данных</li><li>Опыт работы с облачной поставкой программного обеспечения с использованием контейнеров, <strong>Infrastructure as Code</strong>, Git-ориентированных рабочих процессов, автоматизации и технической документации</li><li>Подтвержденный опыт руководства инициативами в области безопасности, внедрения средств контроля и проведения улучшений безопасности в организациях, занимающихся разработкой</li><li>Опыт разработки политик безопасности, стандартов и процессов управления, согласованных с бизнес-целями и целями управления рисками</li><li>Глубокое знание стандартов и фреймворков соответствия и безопасности, в частности <strong>PCI</strong>, <strong>SOX</strong>, а также подходов к управлению безопасностью под влиянием <strong>ISO</strong> и <strong>ITIL</strong></li><li>Способность расставлять приоритеты в работе по безопасности, управлять конкурирующими требованиями и эффективно общаться с техническими и бизнес-заинтересованными сторонами</li></ul><h3>Будет плюсом</h3><ul><li>Опыт работы со <strong>сканированием IaC</strong>, безопасностью контейнеров и образов, безопасностью цепочки поставок ПО и продвинутыми практиками управления секретами</li><li>Опыт обеспечения безопасности рабочих нагрузок и сервисов в <strong>AWS</strong></li><li>Опыт работы в регулируемых, чувствительных к аудиту или критически важных для мероприятий средах</li></ul><h3>Ваши обязанности</h3><ul><li>Руководить и поддерживать команду специалистов по безопасности, помогая определять приоритеты, цели и планы выполнения</li><li>Создавать, улучшать и поддерживать системы безопасности, процессы и средства контроля по всей организации</li><li>Обеспечивать внедрение технических, процессных, кадровых и аудиторских средств контроля для снижения корпоративного риска</li><li>Разрабатывать, поддерживать и развивать стратегию кибербезопасности организации</li><li>Курировать политики, стандарты и руководства по безопасности и обеспечивать их эффективное внедрение</li><li>Поддерживать усилия по обеспечению соответствия требованиям <strong>PCI</strong>, <strong>SOX</strong> и более широким требованиям управления безопасностью</li><li>Постоянно оценивать новые угрозы, тенденции и технологии в области безопасности и применять их для повышения эффективности безопасности</li><li>Руководить разработкой и поддержанием возможностей реагирования на инциденты и восстановления после сбоев</li><li>Сотрудничать с командами разработчиков для усиления практик безопасной поставки ПО и улучшения состояния безопасности приложений</li></ul><h3>Что мы предлагаем</h3><h3>Ваше время отдыха</h3><ul><li>Оплачиваемый отпуск и больничный в соответствии с вашим местоположением</li><li>Местные государственные праздники</li></ul><h3>Обучение и развитие</h3><ul><li>Воркшопы Sombra University и внутренние учебные программы</li><li>Tech Communities и сессии обмена знаниями</li><li>Языковые курсы и воркшопы</li><li>Возможности менторства</li></ul><h3>И еще больше</h3><ul><li>Рабочее оборудование, предоставляемое компанией</li><li>Внутренняя реферальная программа</li><li>Мероприятия и внутренние инициативы</li></ul><h3>Перед тем как подать заявку</h3><p>Наша команда по подбору персонала тщательно рассмотрит ваш профиль, и если мы увидим хорошее соответствие вакансии, мы свяжемся с вами в ближайшее время.</p><p>Если вы не получите от нас ответа в течение 5 рабочих дней, это означает, что мы решили продолжить процесс с другими кандидатами на эту должность. Спасибо за понимание.</p> <div> <a href="https://jobs.dou.ua/companies/sombra/vacancies/362889/#reply-btn-id">Откликнуться на вакансию</a> </div>