Analista de Segurança da Informação Sr - DevSecOps / Cloud Security

Descrição

Resumo da Vaga: Analista de Segurança da Informação Sênior focado em segurança em nuvem e Code Review, responsável por implementar soluções robustas, protegendo dados e garantindo a integridade das aplicações. Principais Destaques: 1. Atuação conjunta com Cyber Security, Arquitetura, Engenharia e Desenvolvimento 2. Integrar segurança nos pipelines CI/CD (Azure DevOps e GitHub Actions) 3. Conduzir Secure SDLC: Threat Modeling e code reviews focados em segurança Estamos em busca de um Analista de Segurança da Informação Sênior com expertise em DevSecOps / AppSec / CloudSecurity focado em segurança em nuvem e Code Review para se juntar à nossa equipe. O candidato ideal será responsável por desenvolver, validar e implementar soluções de segurança robustas, garantindo que aplicativos e plataformas sejam desenvolvidos, mantidos e operados com segurança, reduzindo vulnerabilidades, protegendo dados sensíveis e a privacidade dos usuários, e assegurando a integridade das aplicações. Atuação conjunta com Cyber Security, Arquitetura, Engenharia e Desenvolvimento para incorporar segurança por design ao longo de todo o SSDLC. **Responsabilidades e atribuições** * Definir e implementar estratégias de segurança em aplicações e plataformas, alinhadas a padrões arquiteturais em conjunto com Arquitetura de S.I. * Integrar segurança nos pipelines CI/CD (Azure DevOps e GitHub Actions): SAST, DAST, SCA, Secret Scanning, análise de containers OCR Scanning/IAST e políticas de bloqueio de build por risco. * Gerenciar o ciclo de vida de vulnerabilidades (SAST/DAST/SCA/Container): triagem, priorização (CVSS/CWE), orientação às squads e acompanhamento até a correção. * Conduzir Secure SDLC: Threat Modeling (STRIDE/DREAD/MITRE ATT\&CK), security reviews de arquitetura, code reviews focados em segurança, guidelines (OWASP Top 10 / API Top 10 / ASVS) e hardening desde o design até a produção. **Cloud Security (MultiCloud):** * Azure: Operar controles nativos (Entra ID/Azure AD, Enterprise Application, App Registration, RBAC, PIM, Conditional Access, Azure Policy, Defender for Cloud), hardening de VMs, AKS, App Services e Storage, gestão de segredos e chaves (Key Vault). * AWS/GCP: Implementar padrões de identidade, segmentação de rede, postura (CSPM), segredos/cofres, observabilidade e políticas. * Kubernetes \& Containers: hardening (CIS), controles de admissão, imagens assinadas, escaneamento, runtime security, segregação de namespaces e policies (e.g., NetworkPolicy, PodSecurity). * CSPM \& Postura: operar/ajustar políticas, remediações coordenadas e automações de conformidade em Azure/AWS/GCP. * Automação \& IaC: inserir controles de segurança em Terraform (policy as code, scan de IaC), criar automações e integrações (PowerShell, Python, Go). * Resposta a Incidentes e Hunting: apoiar análises, retroalimentar processos e fortalecer controles defensivos. * Enablement \& Cultura: treinar, conscientizar e influenciar times de engenharia, posicionando segurança como parceiro habilitador. * Compliance \& Auditoria (principalmente financeiro): apoiar evidências e aderência a NIST, ISO 27001, OWASP, LGPD e normas do Bacen quando aplicável. **Requisitos e qualificações** * Experiência consolidada em Application Security / DevSecOps, com iniciativas técnica e integração de segurança no SSDLC. * Vivência multicloud com foco em Azure e AWS (hands\-on) e boa em GCP (forte em AWS/AZURE com disposição para expandir GCP). * Prática com CI/CD (Azure DevOps e/ou GitHub), SAST, SCA, DAST, Secret Scanning, análise de containers e automação de controles. * IAM/RBAC/PIM, segmentação e Networking (VNet/VPC, NSG/SG, Firewall/WAF), políticas e postura em nuvem (Defender for Cloud/CSPM). * Kubernetes (AKS/EKS/GKE) e containers: segurança de imagem, supply chain, policies e hardening. * Gestão de segredos/cofres (Azure Key Vault, AWS Secrets Manager, GCP Secret Manager, HashiCorp Vault). * Conhecimento sólido de OWASP Top 10, API Security Top 10, ASVS, MITRE ATT\&CK, Zero Trust e modelagem de ameaças. * Scripting (PowerShell, Python ou Go, AZ CLI e AWSCLI) e Terraform (IaC) com práticas de segurança (policy/scan). * Comunicação clara, influência e autonomia para conduzir correções e decisões arquiteturais. * Formação Superior em TI/Engenharia correlata. **Certificações (Diferencial)** * CompTIA Security\+ * EC\-Council Certified DevSecOps Engineer (ECDE) * CompTIA DevSecOps Engineer * AZ\-500 * SC\-100 * AWS Security Specialty * GCP Professional Cloud Security Engineer **Informações adicionais** * Assistência Médica; * Assistência Odontológica Omint; * Seguro de Vida; * PLR; * PPR; * ABC com Você: um programa que cuida dos colaboradores e seus familiares, com assistência jurídica, social, psicológica e financeira; * Vale Refeição; * Vale Alimentação; * Licença Paternidade e Maternidade estendidas: paternidade 20 dias e maternidade 6 meses; * Auxílio Creche/Babá; * Day Off anual; * Auxílio Home Office; * Auxílio Infraestrutura para Home Office; * TotalPass Somos o ABC Brasil. O banco múltiplo com mais de 35 anos de história, especialistas em soluções financeiras e que impulsiona grandes negócios do país \- combinando solidez internacional com a agilidade de uma gestão local, próxima e autônoma. Com um portfólio completo de produtos e serviços, nosso foco está em gerar impacto real nos nossos clientes, evoluindo com o mercado e conforme as necessidades de cada um deles, sempre com responsabilidade, integridade e confiança mútua. E esta forma de nos relacionarmos nos torna únicos. Acreditamos que conexões verdadeiras e com respeito às diferenças constrói um ambiente colaborativo, humano e inspirador. Aqui, cada pessoa pode ser quem é \- e crescer com autonomia e protagonismo. **ABC Brasil. O banco de quem é singular.** \#EuSouSingular \#SouABCBrasil \#ABCBrasil