CISO / DevSecOps Engineer

CISO / DevSecOps Engineer

О роли

Ищем CISO с сильными DevSecOps-навыками, который сможет построить функцию информационной безопасности с нуля: архитектуру, команду, процессы, практики и контроль, а также провести компанию через лицензирование и надзор регуляторов (в первую очередь VARA, UAE).

Роль hands-on: стратегическое управление + практическая реализация.

Технологический стек проекта
• Cloud: AWS (EC2, RDS/PostgreSQL, Redis)
• Kubernetes
• IaC: Terraform, Ansible
• CI/CD: GitLab CI
• Secrets: Vault
• Access / Zero Trust: Teleport
• Programming languages: Python, C++


Ключевые зоны ответственности

1. Governance, Risk & Compliance
• Построение функции ИБ и операционной модели Security с нуля
• Подготовка, сопровождение и защита лицензии VARA и взаимодействие с регуляторами
• Разработка и внедрение security-политик, стандартов, процедур
• Ведение risk register, управление рисками, контроль remediation
• Подготовка к аудитам и проверкам (VARA, ISO 27001 и аналогичные)

2. Identity & Access Management (IAM)
• Проектирование централизованного IAM
• Разработка и внедрение RBAC / least privilege
• SSO, MFA, Zero Trust (Teleport)
• Процессы выдачи, ревокации и периодических access review
• Аудит привилегий и мониторинг аномалий доступа

3. DevSecOps & Application Security
• Встраивание безопасности в SDLC совместно с Head of Development
• Внедрение DevSecOps-практик:
• SAST / DAST / SCA
• Security scanning IaC (tfsec, checkov и аналоги)
• Threat modeling, review архитектуры приложений
• Управление секретами, защита IP
• Контроль third-party зависимостей и сервисов

4. Infrastructure & Cloud Security
• Hardening AWS, Linux, Kubernetes
• Сегментация сетей, secure network architecture
• Patch management и baseline-конфигурации
• Совместная работа с Head of Infrastructure & Networks
• Контроль cloud security posture

5. Monitoring, Incidents & SOC
• Проектирование и внедрение SIEM
• Построение SOC (процессы + инструменты)
• Реагирование на инциденты, IR playbooks
• Постоянное улучшение detection & response


Требования
• 5–7+ лет в Information Security / DevSecOps / Security Engineering
• Практический опыт получения и сопровождения лицензий и требований регуляторов
• Опыт построения security-функции и процессов с нуля
• Сильная экспертиза в:
• DevSecOps и secure SDLC
• Cloud & Kubernetes security
• IAM / RBAC / Zero Trust
• Практический опыт:
• AWS, Linux, Kubernetes
• Terraform, Ansible
• GitLab CI
• Vault, Teleport
• Понимание OWASP, secure architecture, threat modeling
• Опыт внедрения SIEM и incident response
• Способность общаться с бизнесом и регуляторами, а не только с инженерами


Будет плюсом
• Реальный опыт работы с VARA, FinTech, Crypto, VASP
• SIEM: Wazuh / ELK / OpenSearch / Loki
• Compliance: ISO 27001, SOC 2, GDPR
• Опыт построения и масштабирования security-команд


Что мы предлагаем
• Построение ИБ с нуля, без legacy и бюрократии
• Реальное влияние на архитектуру, процессы и продукт
• Прямая работа с регуляторами и топ-менеджментом
• Удалённый формат работы
• Рост до Head of Security / CISO с полной ответственностью за домен