Descrição da Área:
A arquitetura de segurança da informação é responsável por projetar e implementar estratégias para proteger sistemas, redes e dados contra ameaças cibernéticas. Ela envolve a criação de um ambiente seguro desde a sua concepção (Security-by-design e Security-by-default) até a sua entrega.
Responsabilidades:
• Definir segurança em projetos (Design de Segurança da Informação) durante a sua concepção, participando de discussões com os times de negócios, arquitetura, tecnologia, etc;)
• Desenhar, avaliar e acompanhar a implementação dos controles de segurança da informação para projetos de tecnologia do ambiente corporativo no Banco Carrefour;
• Atuar como ponto focal no atendimento dos requisitos de segurança da Informação, seguindo métricas de mercado, necessários para a construção de sistemas e projetos Corporativos que envolvam tecnologia da informação;
• Criar instruções, procedimentos, métricas e dashboards para acompanhamento e gestão dos sistemas implantados, aplicando e difundindo o conceito de Security By-Design e Security-by-Default nas entregas;
• Criar e mensurar controles e métricas de segurança em projetos corporativos, garantindo que os riscos sejam identificados, coordenando a mitigação dos mesmos e o atendimento de leis e regulamentações do setor bem como a aderência de políticas, normas e procedimentos estabelecidos pelo Banco Carrefour;
• Implementar e gerenciar ferramentas de DevSecOps, como SAST, DAST, SCA e análise de código-fonte; Integrar testes de segurança automatizados no pipeline de desenvolvimento; Criar e manter scripts de automação para tarefas de segurança; Colaborar com as equipes de desenvolvimento para integrar a segurança no processo de desenvolvimento ágil; Realizar revisões de código para identificar e corrigir vulnerabilidades de segurança.
• Avaliar os riscos de segurança das aplicações e infraestrutura.
• Planejar e organizar o roadmap de execução do pentests de negócios;
• Planejar e organizar pentests, definindo escopo, metodologia e ferramentas a serem utilizadas;
• Colaborar com a equipe de pentest na execução dos testes;
• Analisar os resultados dos pentests e identificar vulnerabilidades de segurança;
• Gerar relatórios detalhados com os resultados dos pentests e recomendações de mitigação de riscos;
• Apresentar os resultados dos pentests para o time do projeto / desenvolvimento
• Recepcionar as demandas corporativos, classificar e endereçar para a devida priorização;
• Liderar tecnicamente e atuar como ponto focal de Segurança da Informação com foco nas atividades de Design de Segurança da Informação (Arquitetura de SI, DevSecOps e Pentest de projetos);
• Implementar e sustentar os processos de Design de Segurança com acompanhamentos e KPIs;
• Sustentar e buscar a melhoria contínua do processo de Design de Segurança em projetos de tecnologia.
• Definir implementação de modelos de segurança de identidade, redes, criptografia, privacidade, entre outros, em ambientes multi-cloud e/ou on-premises;
• Gerar e manter procedimentos operacionais e administrativos relacionados à segurança da Informação de projetos;
• Realizar a Gestão financeira dos programas e/ou dos projetos que estejam sob responsabilidade da área;
• Responder auditorias internas e externas de cyber segurança, apoiando na avaliação de vulnerabilidades e riscos tecnológicos;
• Auxiliar na correta classificação dos ativos de informação existentes no Banco Carrefour.
• Atuar como Líder Técnico e apoiar os demais integrantes do time.
• Apoiar e suportar a gerência de Arquitetura de Segurança da Informação.
Conhecimentos Técnicos Necessários (Hard Skills):
• Conhecimento em framework de Arquitetura, como BIAN, TOGAF
• Conhecimento na avaliação de riscos de Segurança e no desenho de soluções adequadas;
• Conhecimento em arquitetura de software e infraestrutura;
• Conhecimento de metodologia ágil, Kanban, Scrum e gestão de projetos;
• Conhecimento em DevSecOps e ferramentas de automação de segurança;
• Conhecimento em testes de segurança e análise de código-fonte.
• Conhecimento em gerenciamento de riscos de segurança.
• Conhecimento profundo de segurança da informação, incluindo criptografia, autenticação, autorização, redes e sistemas operacionais.
• Conhecimento de ferramentas de DevSecOps, como SAST, DAST, SCA e análise de código-fonte.
• Conhecimento de metodologias ágeis de desenvolvimento.
• Conhecimento de testes de segurança e análise de código-fonte.
• Conhecimento de gerenciamento de riscos de segurança.
• Sólidos conhecimentos em soluções de segurança da informação como: PAM, DAM, SIEM, PKIs, EDR, IPS/IDS, SASE, DLP, etc.
• Sólidos conhecimentos de metodologias de pentest, como OWASP, PTES, NIST, entre outros;
• Sólidos conhecimentos em soluções de segurança da informação como: Nmap, Burp, Nessus, Metasploit, etc
• Conhecimento de análise e exploração de vulnerabilidades, geração de relatórios
• Compreensão sólida das melhores práticas de segurança, como: GDPR/LGPD, ISO/IEC 27001, BACEN CMN 4893, NIST 800-53, CIS Controls, OWASP, CSA Cloud Control Matrix, PCI, entre outras;
Formação:
Superior Completo em Tecnologia da Informação, Ciências da Computação, Sistemas de Informação ou áreas correlatas;
Pós-Graduação em Segurança da Informação, Gestão de projetos, ou áreas correlatas;
InglêS Avançad.