Csirt Security Engineer
Cyclad
Rola Security Engineera w ramach CSIRT, ale nacisk kładziony jest na zarządzanie bezpieczeństwem, ryzykiem i zgodnością (governance, risk, compliance) w środowisku Agile. Inżynier będzie doradzał zespołom deweloperskim, nadzorował wdrażanie narzędzi bezpieczeństwa (SAST, SCA, pentesty) oraz uczestniczył w ceremoniach Agile. To stanowisko bardziej przypomina Security Consultant / Risk Managera niż klasycznego analityka incydentów.
Brakuje: brak informacji o wielkości zespołu i liczbie obsługiwanych aplikacji, nie opisano procesu rekrutacyjnego (etapy, zadania domowe, rozmowy).
Rola nie polega na reagowaniu na incydenty (CSIRT), ale na zarządzaniu bezpieczeństwem w kontekście governance, ryzyka i zgodności. To stanowisko Security Governance / Risk Specialist w środowisku Agile, a nie klasyczny analityk CSIRT.
Rola Security Engineera w ramach CSIRT, ale nacisk kładziony jest na zarządzanie bezpieczeństwem, ryzykiem i zgodnością (governance, risk, compliance) w środowisku Agile. Inżynier będzie doradzał zespołom deweloperskim, nadzorował wdrażanie narzędzi bezpieczeństwa (SAST, SCA, pentesty) oraz uczestniczył w ceremoniach Agile. To stanowisko bardziej przypomina Security Consultant / Risk Managera niż klasycznego analityka incydentów.
- ✓Praca nad dużymi, technicznie wymagającymi projektami z międzynarodowym gigantem IT
- −Tytuł CSIRT sugeruje pracę w zespole reagowania na incydenty, ale odpowiedzialności są głównie governance i compliance – może być rozbieżność oczekiwań
- !Brak informacji o konkretnych narzędziach SAST/SCA używanych w projekcie
- !Nie podano wielkości zespołu ani liczby zespołów deweloperskich obsługiwanych przez tę rolę
- !Opis 'proven experience' jest dość ogólny, bez konkretnych lat
- •Udział w ceremonii Agile (Sprint Planning, Backlog Reviews) z naciskiem na wymagania bezpieczeństwa
- •Doradzanie zespołom w kwestiach bezpieczeństwa i ryzyka podczas podejmowania decyzji technicznych i biznesowych
- •Nadzorowanie onboardingu aplikacji do narzędzi bezpieczeństwa (SAST, AVS, Pentests, SCA, ANON)
- •Koordynowanie i śledzenie działań naprawczych związanych z lukami w zabezpieczeniach
- •Przygotowywanie raportów o stanie bezpieczeństwa aplikacji dla interesariuszy (IT Risk & Cyber Security)
- •Współpraca z centralnymi zespołami IT Risk oraz innymi Security Officerami w celu wymiany najlepszych praktyk
- •Koordynowanie testów ciągłości biznesowej i monitorowanie planów naprawczych
- •Przygotowywanie dokumentacji i dowodów na potrzeby audytów i kontroli wewnętrznych
Oferta skierowana do developerów z doświadczeniem komercyjnym (Mid).
Inżynier z 3-4 latami w cybersecurity, zrozumieniem ryzyka i compliance, który zna podstawy narzędzi SAST/SCA i pracował w Agile. Może to być osoba z doświadczeniem w audytach lub zarządzaniu ryzykiem IT.
Osoby szukające typowej roli SOC/incident response lub pentestera. Rola nie nadaje się dla juniorów bez doświadczenia w governance i Agile.
- ?Czy zespół CSIRT, w którym będę pracować, zajmuje się również incydentami, czy to wyłącznie rola governance?
- ?Ile zespołów (tribes) będę obsługiwać jako Security Engineer?
- ?Jakie konkretnie narzędzia SAST/SCA są używane?
- ?Czy wiąże się z dyżurami on-call? Jeśli tak, jaka jest częstotliwość?
- ?Jaka jest struktura zespołu – ilu Security Engineerów pracuje w podobnej roli?
- ?Czy istnieje możliwość rozwoju w kierunku technicznym (np. pentesty, red team)?
- −Brak informacji o wielkości zespołu i liczbie obsługiwanych aplikacji
- −Nie opisano procesu rekrutacyjnego (etapy, zadania domowe, rozmowy)
- −Nie wiadomo, czy rola wymaga znajomości konkretnych standardów (ISO 27001, NIST itp.)
- −Brak wzmianki o certyfikatach (CISSP, CISM, CRISC) jako wymaganiu lub atucie
Praca w międzynarodowym środowisku Agile, współpraca z centralnymi zespołami IT Risk i Cyber Security. Oczekiwana proaktywność i poczucie własności.
Powyżej mediany rynkowej
Dane z aktywnych ofert zawierających technologię Risk management.