Ekspert/ka ds. bezpieczeństwa i architektury systemu

Technologie, których używamy

Twój zakres obowiązków

• Projektowanie i rozwój nowoczesnej architektury systemu z naciskiem na bezpieczeństwo;
• Definiowanie i wdrażanie strategii bezpieczeństwa aplikacji oraz infrastruktury (on-premise i chmurowej);
• Identyfikowanie ryzyk bezpieczeństwa oraz ich skuteczne minimalizowanie;
• Wdrażanie i utrzymywanie rozwiązań opartych na modelu Zero Trust oraz mechanizmach zarządzania tożsamością i dostępem (IAM);
• Udział w audytach, analizach bezpieczeństwa oraz postępowaniach incydentowych (w tym analizach post-mortem);
• Prowadzenie przeglądów kodu źródłowego pod kątem podatności (code review, SAST/DAST);
• Współpraca z zespołami DevOps i deweloperami przy wdrażaniu bezpiecznych praktyk w cyklu życia oprogramowania (DevSecOps);
• Tworzenie i aktualizacja dokumentacji technicznej, polityk, procedur oraz rejestrów bezpieczeństwa informacji;
• Prowadzenie szkoleń i warsztatów dla zespołów developerskich w zakresie bezpiecznego wytwarzania oprogramowania;
• Aktywny udział w rozwoju kultury DevSecOps w organizacji.

Nasze wymagania

• Wykształcenie wyższe (preferowane informatyka, automatyka, cyberbezpieczeństwo, ekonometria, matematyka oraz pokrewne do wymienionych)
• Minimum 5 lat doświadczenia w projektowaniu architektury systemów i wdrażaniu strategii bezpieczeństwa.
• Bardzo dobra znajomość .NET (C#, ASP.NET Core) oraz najlepszych praktyk w zakresie bezpieczeństwa aplikacji webowych.
• Doświadczenie w pracy z chmurą (Azure, AWS lub Google Cloud) i wdrażaniu mechanizmów bezpieczeństwa chmurowego.
• Znajomość OWASP Top 10 i metod zabezpieczania aplikacji webowych oraz API.
• Doświadczenie w implementacji mechanizmów uwierzytelniania i autoryzacji (OAuth2, OpenID Connect, JWT).
• Znajomość rozwiązań do monitorowania i wykrywania zagrożeń (SIEM, IDS/IPS, EDR).
• Umiejętność wdrażania polityk Zero Trust oraz Identity & Access Management (IAM).
• Znajomość metod testowania bezpieczeństwa (penetration testing, fuzz testing, static code analysis).
• Doświadczenie w konfiguracji narzędzi do analizy kodu (np. SonarQube, SAST, DAST).

Mile widziane

• Certyfikaty branżowe potwierdzające kompetencje z zakresu bezpieczeństwa i architektury systemów, np.: CISSP, CISM, CEH, CompTIA Security+, CCSP, ISO 27001 Lead Implementer / Auditor; Microsoft Certified: Cybersecurity Architect Expert, Azure Security Engineer Associate; Microsoft Certified: .NET Developer / Azure Solutions Architect Expert;
• Doświadczenie w rozwoju i utrzymaniu dużych aplikacji .NET (C#, ASP.NET Core), ze szczególnym uwzględnieniem: wzorców projektowych (DDD, CQRS, Clean Architecture); optymalizacji bezpieczeństwa i wydajności kodu; integracji z usługami chmurowymi (Azure Functions, App Services, Key Vault, Azure AD);
• Praktyczna znajomość DevSecOps – automatyzacja bezpieczeństwa w pipeline’ach CI/CD (GitHub Actions, Azure DevOps, Jenkins);
• Znajomość konteneryzacji i bezpieczeństwa środowisk Docker / Kubernetes;
• Wiedza z zakresu Infrastructure as Code (IaC) i zabezpieczania konfiguracji (Terraform, Ansible, ARM Templates);
• Doświadczenie w projektowaniu i zabezpieczaniu architektury mikroserwisowej (API Gateway, mTLS, Service Mesh);
• Znajomość narzędzi do analizy i testowania bezpieczeństwa aplikacji (SonarQube, SAST, DAST, OWASP ZAP, Burp Suite);
• Znajomość norm i standardów bezpieczeństwa: OWASP ASVS, ISO 27001, NIST, GDPR/RODO, PCI DSS;
• Praktyka w threat modeling (Microsoft Threat Modeling Tool, OWASP Threat Dragon);
• Doświadczenie w analizie logów i incydentów bezpieczeństwa (SIEM: Splunk, Sentinel, ELK);
• Znajomość procesów incident response i podstaw digital forensics;
• Wiedza z zakresu Secure SDLC i wdrażania zasad security by design w cyklu życia oprogramowania;
• Umiejętność prowadzenia szkoleń technicznych z bezpieczeństwa aplikacji .NET dla zespołów developerskich;
• Znajomość języka angielskiego na poziomie umożliwiającym swobodną komunikację techniczną (min. B2/C1).

Takie dajemy możliwości rozwoju

Benefity