Buscamos un/a Consultor/a Senior DevSecOps para incorporarse al equipo de Seguridad IT, participando en la definición e implantación de políticas y controles de ciberseguridad dentro del ciclo de desarrollo de software.

La persona seleccionada trabajará en estrecha colaboración con los equipos de seguridad, arquitectura, desarrollo y operaciones, con el objetivo de integrar prácticas de DevSecOps que garanticen la seguridad de las aplicaciones sin impactar negativamente en los tiempos de desarrollo.

Funciones principales

• Colaborar con el equipo de Seguridad IT para alinear las prioridades de seguridad con el portfolio de proyectos de desarrollo.

• Analizar junto con el equipo de arquitectura los diseños técnicos para asegurar que se minimizan los riesgos de ciberseguridad.

• Definir controles de seguridad y calidad dentro del ciclo de vida del desarrollo seguro (S-SDLC).

• Establecer KPIs y métricas para el gobierno y control del ciclo de vida del software.

• Integrar controles de seguridad dentro de pipelines CI/CD.

• Gestionar y priorizar el backlog de vulnerabilidades detectadas en aplicaciones.

• Realizar análisis y triaje de vulnerabilidades, coordinando su resolución con los equipos de desarrollo.

• Definir guías de desarrollo seguro para asegurar el cumplimiento de las políticas de seguridad.

• Implementar procesos de Threat Modeling en entornos Agile.

• Colaborar con equipos de operaciones para automatizar procesos de monitorización y operación de aplicaciones y sistemas.

• Facilitar la adopción de metodologías DevSecOps en los equipos del cliente.

Requisitos

• Experiencia mínima de 5 años en desarrollo y ciberseguridad.

• Experiencia trabajando con tecnologías como:

  • Java
  • JavaScript
  • Python
  • NodeJS
  • Angular
  • HTML / CSS / XML

• Conocimiento de estándares de seguridad:

  • OWASP Top 10
  • OWASP SAMMv2
  • NIST 800-53
  • ISO 27001
  • MITRE
  • PCI DSS
  • GDPR

• Experiencia en Threat Modeling utilizando frameworks como:

  • STRIDE
  • PASTA
  • LINDDUN
  • DREAD

• Experiencia con herramientas de Threat Modeling como:

  • IriusRisk
  • OWASP Threat Dragon
  • Threagile
  • SecurityRAT

• Experiencia en CI/CD con herramientas como Jenkins o GitLab CI.

• Experiencia en hardening de sistemas Linux, IIS o Docker basado en CIS Benchmarks.

• Conocimientos de scripting en Bash y PowerShell.

• Experiencia con herramientas de control de versiones GitHub o GitLab.

• Integración de herramientas de seguridad SAST, DAST, SCA, IAST o RASP como:

  • SonarQube
  • Microfocus Fortify
  • Kiuwan
  • Checkmarx
  • Sonatype
  • Snyk

• Buenas habilidades de comunicación y capacidad para interactuar con cliente.

Se valorará

• Experiencia en entornos del sector financiero.

• Experiencia en Compliance as Code (CaC).

• Experiencia en Infrastructure as Code (IaC).

• Conocimientos de Cloud (AWS, Azure o Google Cloud).

• Certificaciones de seguridad como:

  • CISSP
  • CISA
  • OSCP
  • Certified DevSecOps Professional (CDP).