




Resumo da Vaga: Buscamos Analista de Segurança da Informação Sênior para desenvolver e implementar soluções de segurança robustas, garantindo a integridade de aplicações. Principais Destaques: 1. Expertise em DevSecOps, AppSec e CloudSecurity. 2. Atuação com segurança por design no SSDLC. 3. Gestão do ciclo de vida de vulnerabilidades e automação. Estamos em busca de um Analista de Segurança da Informação Sênior com expertise em DevSecOps / AppSec / CloudSecurity focado em segurança em nuvem e Code Review para se juntar à nossa equipe. O candidato ideal será responsável por desenvolver, validar e implementar soluções de segurança robustas, garantindo que aplicativos e plataformas sejam desenvolvidos, mantidos e operados com segurança, reduzindo vulnerabilidades, protegendo dados sensíveis e a privacidade dos usuários, e assegurando a integridade das aplicações. Atuação conjunta com Cyber Security, Arquitetura, Engenharia e Desenvolvimento para incorporar segurança por design ao longo de todo o SSDLC. **Responsabilidades e atribuições** Definir e implementar estratégias de segurança em aplicações e plataformas, alinhadas a padrões arquiteturais em conjunto com Arquitetura de S.I. Integrar segurança nos pipelines CI/CD (Azure DevOps e GitHub Actions): SAST, DAST, SCA, Secret Scanning, análise de containers OCR Scanning/IAST e políticas de bloqueio de build por risco. Gerenciar o ciclo de vida de vulnerabilidades (SAST/DAST/SCA/Container): triagem, priorização (CVSS/CWE), orientação às squads e acompanhamento até a correção. Conduzir Secure SDLC: Threat Modeling (STRIDE/DREAD/MITRE ATT\&CK), security reviews de arquitetura, code reviews focados em segurança, guidelines (OWASP Top 10 / API Top 10 / ASVS) e hardening desde o design até a produção. Cloud Security (MultiCloud): Azure: Operar controles nativos (Entra ID/Azure AD, Enterprise Application, App Registration, RBAC, PIM, Conditional Access, Azure Policy, Defender for Cloud), hardening de VMs, AKS, App Services e Storage, gestão de segredos e chaves (Key Vault). AWS/GCP: Implementar padrões de identidade, segmentação de rede, postura (CSPM), segredos/cofres, observabilidade e políticas. Kubernetes \& Containers: hardening (CIS), controles de admissão, imagens assinadas, escaneamento, runtime security, segregação de namespaces e policies (e.g., NetworkPolicy, PodSecurity). CSPM \& Postura: operar/ajustar políticas, remediações coordenadas e automações de conformidade em Azure/AWS/GCP. Automação \& IaC: inserir controles de segurança em Terraform (policy as code, scan de IaC), criar automações e integrações (PowerShell, Python, Go). Resposta a Incidentes e Hunting: apoiar análises, retroalimentar processos e fortalecer controles defensivos. Enablement \& Cultura: treinar, conscientizar e influenciar times de engenharia, posicionando segurança como parceiro habilitador. Compliance \& Auditoria (principalmente financeiro): apoiar evidências e aderência a NIST, ISO 27001, OWASP, LGPD e normas do Bacen quando aplicável. **Requisitos e qualificações** Experiência consolidada em Application Security / DevSecOps, com iniciativas técnica e integração de segurança no SSDLC. Vivência multicloud com foco em Azure e AWS (hands\-on) e boa em GCP (forte em AWS/AZURE com disposição para expandir GCP). Prática com CI/CD (Azure DevOps e/ou GitHub), SAST, SCA, DAST, Secret Scanning, análise de containers e automação de controles. IAM/RBAC/PIM, segmentação e Networking (VNet/VPC, NSG/SG, Firewall/WAF), políticas e postura em nuvem (Defender for Cloud/CSPM). Kubernetes (AKS/EKS/GKE) e containers: segurança de imagem, supply chain, policies e hardening. Gestão de segredos/cofres (Azure Key Vault, AWS Secrets Manager, GCP Secret Manager, HashiCorp Vault). Conhecimento sólido de OWASP Top 10, API Security Top 10, ASVS, MITRE ATT\&CK, Zero Trust e modelagem de ameaças. Scripting (PowerShell, Python ou Go, AZ CLI e AWSCLI) e Terraform (IaC) com práticas de segurança (policy/scan). Comunicação clara, influência e autonomia para conduzir correções e decisões arquiteturais. Formação Superior em TI/Engenharia correlata. **Informações adicionais** Experiência comprovada em SDL/SSDLC corporativo e segurança por design em ambientes DevOps/DevSecOps. IAST, scanning de IaC (ex.: Checkov/tfsec), SAST, assinatura de imagens, SBOM e supply chain security (Sigstore/COSIGN). Exposição a ambientes multicloud de grande escala e ferramentas corporativas (CSPM, CIEM, CNAPP). Vivência de Threat Emulation/pentests internos e iniciativas de mudança cultural em engenharia. Vivência com requisitos do mercado financeiro (Resoluções Bacen, NIST, ISO 27001, OWASP, LGPD). Certificações CompTIA Security\+ EC\-Council Certified DevSecOps Engineer (ECDE) CompTIA DevSecOps Engineer AZ\-500 SC\-100 AWS Security Specialty GCP Professional Cloud Security Engineer Stack e Ferramentas (exemplos) Repos \& Pipelines: Azure DevOps, GitHub/GitHub Actions. AppSec: SAST/DAST/SCA, Secret Scanning, Container/IaC scanning, IAST (quando aplicável). Cloud \& Postura: Azure Policy, Defender for Cloud (CSPM/CNAPP), AWS/GCP equivalentes. K8s/Containers: AKS/EKS/GKE, registries, admission controllers, policies e runtime security. Segredos/Cofres: Key Vault, Secrets Manager, Secret Manager, HashiCorp Vault. IaC \& Automação: Terraform, Policy as Code, PowerShell, Python, Go. Frameworks: OWASP (Top 10, API Top 10, ASVS), NIST, ISO 27001, MITRE ATT\&CK, Zero Trust. Somos o ABC Brasil. O banco múltiplo com mais de 35 anos de história, especialistas em soluções financeiras e que impulsiona grandes negócios do país \- combinando solidez internacional com a agilidade de uma gestão local, próxima e autônoma. Com um portfólio completo de produtos e serviços, nosso foco está em gerar impacto real nos nossos clientes, evoluindo com o mercado e conforme as necessidades de cada um deles, sempre com responsabilidade, integridade e confiança mútua. E esta forma de nos relacionarmos nos torna únicos. Acreditamos que conexões verdadeiras e com respeito às diferenças constrói um ambiente colaborativo, humano e inspirador. Aqui, cada pessoa pode ser quem é \- e crescer com autonomia e protagonismo. **ABC Brasil. O banco de quem é singular.** \#EuSouSingular \#SouABCBrasil \#ABCBrasil


