Como será o dia a dia:
Planejar o gerenciamento de Desenvolvimento Seguro de Soluções.
Apoiar o Arquiteto de Software na definição ou proposição de arquiteturas de soluções para novas soluções e manutenções das soluções atuais, no que se refere ao desenvolvimento seguro.
Analisar continuadamente o comportamento das soluções, propondo e aplicando junto com o Desenvolvedores melhorias/correções nas soluções, melhores práticas de mercado, desenvolvimento seguro e necessidades de inovação.
Propor e definir, junto aos Desenvolvedores, soluções negociais e de software compatíveis as melhores práticas e processos relacionados ao desenvolvimento seguro.
Apoiar os Arquitetos de Soluções/Software na realização de provas de conceito para validar as arquiteturas de soluções candidatas no que se refere ao desenvolvimento Seguro.
Planejar e realizar testes de segurança em soluções desenvolvidas interna ou externamente, dentro de pipeline seguro utilizando automação SAST/DAST.
Auxiliar os times de DevOps a identificar possíveis riscos de Segurança.
Orientar os membros da equipe quanto ao entendimento das arquiteturas de soluções e de referência atuais, no que se refere ao desenvolvimento seguro.
Monitorar sistemas e identificar ameaças de segurança.
Reportar e documentar incidentes de segurança.
Suporte em auditorias de segurança.
Garantir que através dos Scan seja verificado se os sistemas estejam atualizados com patches de segurança.
Aplicar políticas de segurança ( Cliente & Organização ).
Acompanhar o SDL junto aos Times.
O que esperamos de você:
Graduação: Sistemas da Informação, Ciência da Computação ou áreas afins;
Larga experiência na área
Inglês avançado;
Conhecimento de administração de sistemas operacionais (Windows e Linux).
Familiaridade com ferramentas de segurança (antivírus, scanners de vulnerabilidades).
Ter conhecimento dos princípios e práticas de desenvolvimento de software ágil, incluindo o Manifesto Ágil, Scrum, Extreme Programming (XP) e Kanban.
Saber realizar análise estática de código com a ferramenta SonarQube.
Conhecimento de conceitos de controle de versão de código-fonte e uso das ferramentas de CI/CD e práticas de DevOps e SRE.
Conceitos e implementação de recursos de segurança de aplicações (OWASP, JAAS, LDAP,RACF) e soluções de SSO (Single Sign-On).
Capacidade de realizar testes de invasão e identificar vulnerabilidades em aplicações web e móveis, incluindo a realização de ataques simulados para avaliar a segurança do sistema.
Familiaridade com os principais conceitos e práticas de segurança relacionados a aplicações web, como injeção de SQL, cross-site scripting (XSS), falsificação de solicitação entre sites (CSRF), configurações inadequadas de segurança, entre outros.
Experiência em usar ferramentas de segurança como scanners de vulnerabilidades, analisadores estáticos de código, proxies de interceptação de tráfego, depuradores, entre outros.
Exemplos de ferramentas incluem Sonar, Fortify, Github, Defender, Nessus, Wireshark, entre outros.
Compreensão dos protocolos de segurança comuns, como HTTPS, SSL/TLS, OAuth e SAML.
Familiaridade com padrões e melhores práticas de segurança, como OWASP Top 10, padrões de codificação segura e práticas recomendadas de autenticação e autorização.
Conhecimento das ISO 27001, 27002 e 27004.
Conhecimento em Criptografia simétrica e assimétrica e capacidade de proteger dados em repouso e em trânsito.
Adotar uma abordagem proativa para lidar com ameaças usando a análise de ameaças (threat modelling) para determinar os componentes mais vulneráveis de seu aplicativo e fortalecê-los.
Conhecimento no uso de soluções de ofuscação de Código.
Certificações obrigatórias (pelo menos uma ou equivalente)
a) Certificação na tecnologia de especialização, exceto mainframe
b) CISSP - Certified Information Systems Security Professional
Certificações desejáveis:
c) ITAC (Information Technology Architect Certification).
d) TOGAF (The Open Group Architecture Framework).
e) CITA (Certified IT Architecture Program) ou equivalente.
f) Oracle Certified Professional – Java SE Programmer (versão 5 ou superior).
g) CISSP - Certified Information Systems Security Manager.
h) CASP - CompTIA Advanced Security Practitioner.
i) CCSP - Certified Cloud Security Professional.
j) ISFS (Information Security Foundation) baseada na ISO 27002.
k) Exin Secure Programing.
Esta posição está aberta para todo Brasil e pode ser remota, porém, para quem estiver há 24km do escritório da Unisys em São Paulo (zona sul, Ponte João Dias), será presencial 3 vezes na semana.
#LI-MV1