O tym stanowisku
Numery telefonów i adresy e-mail w tym ogłoszeniu są ukryte do momentu zalogowania.
auto_translated_note
PrzeglądTwoja przyszłość. Zabezpieczone. ISC2 jest siłą na rzecz dobra.
Jako wiodąca na świecie organizacja członkowska non-profit zrzeszająca specjalistów ds. cyberbezpieczeństwa, nasze podstawowe wartości - uczciwość, rzecznictwo, zaangażowanie, włączenie i doskonałość - napędzają wszystko, co robimy, aby wspierać naszą wizję bezpiecznego cyberświata. Nasze uznane na całym świecie, wielokrotnie nagradzane portfolio certyfikatów zapewnia niezależne i uznawane na całym świecie potwierdzenie wiedzy, umiejętności i doświadczenia w zakresie cyberbezpieczeństwa na wszystkich poziomach kariery. Nasze ramię charytatywne, Centrum Bezpieczeństwa Cybernetycznego i Edukacji, umożliwia ISC2 i naszym członkom służenie społeczeństwu poprzez edukację osób najbardziej bezbronnych na temat zagrożeń cybernetycznych oraz umożliwienie dostępu do zawodu cybernetycznego i umożliwienia mu rozwoju.
Dowiedz się więcej na ISC2 online i połącz się z nami na Twitterze, Facebooku i LinkedIn. Dołączając do ISC2, wykażesz swoje zaangażowanie na rzecz włączającego i sprawiedliwego środowiska. Twoje wsparcie dla wyjątkowych perspektyw i doświadczeń, którymi dzielą się nasi globalni pracownicy i specjaliści ds. cyberbezpieczeństwa, zostanie docenione.
Zapraszamy Cię do wzięcia aktywnej roli i pomagania nam w tworzeniu prawdziwego poczucia przynależności w całej naszej organizacji - środowiska autentyczności, zaufania, wzmocnienia i powiązań, które wzmacniają wszystkie nasze sukcesy. Dowiedz się więcej.Podsumowanie stanowiskaInżynier ds. bezpieczeństwa, testy penetracyjne to rola o dwóch funkcjach, odpowiedzialna zarówno za przeprowadzanie ofensywnych ocen bezpieczeństwa, jak i budowanie defensywnych kontroli inżynieryjnych, które wzmacniają środowisko ISC2. Stanowisko to prowadzi autoryzowane testy penetracyjne w aplikacjach, sieciach i infrastrukturze chmury ISC2, a jednocześnie odpowiada za prace związane z inżynierią bezpieczeństwa - w tym przegląd architektury bezpieczeństwa, oprzyrządowanie, automatyzację i wdrażanie kontroli - które przekładają ustalenia na trwałe ulepszenia.
Na tym stanowisku blisko współpracuje się z zespołem ds. bezpieczeństwa i operacji technicznych oraz współpracuje w obszarach IT, inżynierii i produktów, aby stale wzmacniać poziom bezpieczeństwa ISC2. Rola ta odgrywa kluczową rolę we wspieraniu programu ISMS ISO/IEC 27001:2022 ISC2, dostarczając zarówno dowodów na skuteczność kontroli technicznej, jak i bezpośredniego wkładu w leczenie ryzyka. ObowiązkiTesty penetracyjne Planuj, wykonuj i dokumentuj wewnętrzne i zewnętrzne testy penetracyjne w odniesieniu do aplikacji, sieci, środowisk chmurowych i infrastruktury ISC2.
Przeprowadzaj oceny podatności i sprawdzaj wyniki, aby odróżnić rzeczywiste ryzyko od fałszywych alarmów. Przeprowadzaj oceny podatności aplikacji internetowych, API, urządzeń mobilnych i sieci, korzystając ze standardowych metodologii branżowych (OWASP, PTES, OSSTMM). Przeprowadzaj oceny inżynierii społecznej, w tym symulacje phishingu i testy bezpieczeństwa fizycznego, jeśli są autoryzowane.
Twórz jasne, przydatne pisemne raporty zawierające szczegółowe ustalenia, oceny ryzyka, dowody i zalecenia dotyczące środków zaradczych, dostosowane zarówno do odbiorców technicznych, jak i wykonawczych. Wspieraj ćwiczenia zespołu czerwonego i działania symulacyjne przeciwnika, aby przetestować możliwości wykrywania i reagowania. Opracuj i utrzymuj program testów penetracyjnych, w tym definicje zakresu, zasady zaangażowania i harmonogramy testów.
Przejdź w stronę ciągłego sposobu myślenia i metody testowania. Koordynuj współpracę z zewnętrznymi dostawcami zabezpieczeń w celu zewnętrznych ocen i zarządzania programem nagród za błędy, jeśli ma to zastosowanie. Inżynieria bezpieczeństwa Własne działania naprawcze: przekładanie wyników testów piórkowych na elementy robocze inżynierii bezpieczeństwa, sprawdzanie poprawności poprawek i śledzenie rozwiązania aż do zamknięcia w Jira Service Management.
Projektuj i wdrażaj mechanizmy kontroli bezpieczeństwa w środowiskach chmurowych i lokalnych ISC2, w tym konfiguracje wzmacniające dla Azure, Okta, SentinelOne, CheckPoint i F5 XD. Uczestniczyć w przeglądach architektury bezpieczeństwa i projektów nowych systemów, integracji i produktów innych firm; zapewnić wymagania bezpieczeństwa i zalecenia dotyczące akceptacji ryzyka. Twórz i utrzymuj skrypty i narzędzia do automatyzacji zabezpieczeń w celu poprawy zasięgu wykrywania, ograniczenia ręcznego wysiłku w przepływach pracy związanych z oceną i wspierania ciągłego monitorowania.
Obsługa cyklu życia bezpiecznego oprogramowania (SSDLC), w tym definiowanie wymagań bezpieczeństwa, obsługa przeglądu kodu i weryfikacja zabezpieczeń przed wdrożeniem. Utrzymuj świadomość pojawiających się luk w zabezpieczeniach, exploitów i TTP aktorów zagrażających; Wykorzystaj wiedzę o zagrożeniach w postaci praktycznych ulepszeń w zakresie wzmacniania zabezpieczeń i wykrywania. Wspieranie SZBI ISO/IEC 27001:2022 ISC2 poprzez dostarczanie dowodów technicznych i danych wejściowych dla kontroli z Załącznika A, obejmujących zarządzanie podatnościami na zagrożenia (A.8.8), bezpieczny rozwój (A.8.25 - A.8.29) i przegląd techniczny (A.8.29).
Różne przydzielone obowiązki. Kompetencje behawioralne Uczciwość i etyka: Działa zgodnie z najwyższymi standardami etyki zawodowej; traktuje uprzywilejowany dostęp, wrażliwe ustalenia i dane organizacyjne ze ścisłą poufnością. Myślenie analityczne: Stosuje ustrukturyzowany, kontradyktoryjny sposób myślenia zarówno do ocen ofensywnych, jak i do projektowania defensywnego; mosty wykorzystują badania z praktycznymi rozwiązaniami inżynieryjnymi.
Komunikacja: Jasno przedstawia złożone słabe punkty techniczne i ryzyko w pisemnych raportach i ustnych informacjach dla interesariuszy, zarówno technicznych, jak i nietechnicznych. Współpraca: skutecznie współpracuje z programistami, architektami i personelem operacyjnym, aby wprowadzać znaczące ulepszenia bezpieczeństwa bez zakłócania operacji biznesowych. Ciągłe uczenie się: aktywnie zdobywa wiedzę na temat pojawiających się zagrożeń, narzędzi i technik; wnosi spostrzeżenia do dzielenia się wiedzą zespołową.
Kwalifikacje Biegła znajomość narzędzi do testów penetracyjnych, w tym Burp Suite, Metasploit, Nmap, Nessus, Cobalt Strike i podobnych ofensywnych frameworków. Dobra znajomość luk w aplikacjach internetowych (OWASP Top 10), protokołów sieciowych, ścieżek ataków Active Directory i bezpieczeństwa chmury (Azure, AWS, GCP). Niezbędna jest skuteczna komunikacja pisemna i ustna z zespołami wielofunkcyjnymi.
Biegłość w pisaniu skryptów i automatyzacji w Pythonie, Bash lub PowerShell; umiejętność pisania lub modyfikowania kodu exploita, a także narzędzi obronnych. Znajomość MITRE ATT&CK, CVSS, CVE, NIST SP 800-115 i benchmarków CIS w celu zapewnienia podstaw bezpiecznej konfiguracji.Posiadaj umiejętność korzystania z AI i zdolność do testowania obciążeń i infrastruktury AI.Zdecydowanie preferowane odpowiednie certyfikaty: OSCP, GPEN lub GWAPT plus jedno poświadczenie inżynierskie/architektoniczne (CISSP, CSSLP lub równoważne).Członkostwo lub certyfikaty ISC2 (CISSP, CC) są zaletą i wykazują zgodność z misją ISC2. Wykształcenie i doświadczenie zawodowe Licencjat z informatyki, bezpieczeństwa informacji, cyberbezpieczeństwa lub dziedziny pokrewnej.
Rozważymy kandydatów posiadających dyplom ukończenia szkoły średniej lub odpowiednik regionalny i co najmniej osiem (8) lat doświadczenia w cyberbezpieczeństwie. Ponad 4 lata doświadczenia w cyberbezpieczeństwie, z widocznym połączeniem bezpieczeństwa ofensywnego (testy penetracyjne) i prac defensywnych/inżynierskich (wdrożenie kontroli, przegląd architektury lub SSDLC). Doświadczenie w bezpieczeństwie IAM, w tym środowiskach opartych na Okta i SAML/OAuth, zarówno do celów testowania, jak i wzmacniania.
Doświadczenie w inżynierii bezpieczeństwa we wdrażaniu i wzmacnianiu kontroli w chmurze i platformach tożsamości (Azure, Okta, SentinelOne, narzędzia do bezpieczeństwa punktów końcowych). Doświadczenie we wspieraniu programów zgodności ISO/IEC 27001, SOC 2, PCI-DSS lub podobnych będzie dodatkowym atutem.Wymagania fizyczne i psychiczne.Możliwość podróżowania do 5% czasu.Pracuj w normalnych godzinach pracy, a w razie potrzeby w dłuższych godzinach.Pozostań w pozycji nieruchomej, często stojącej lub siedzącej, przez dłuższy czas. Rola ta wymaga umiejętności pracy przy komputerze przez dłuższy czas i skutecznej komunikacji za pomocą kanałów pisemnych i ustnych.
Regularne korzystanie ze sprzętu biurowego, takiego jak komputer/laptop i monitor ekranów komputerów. Zręczność dłoni i palców w obsłudze klawiatury, myszy i innych elementów komputera. Łączna liczba nagród Przedział wynagrodzeń na tym stanowisku wynosi 50 550 - 64 729 GBP rocznie. Ostateczne wynagrodzenie opiera się na kilku czynnikach, w tym między innymi na kapitale wewnętrznym, danych rynkowych oraz wykształceniu, doświadczeniu zawodowym, certyfikatach itp.
Informacje dotyczące naszego kompleksowego pakietu świadczeń są dostępne tutaj. To stanowisko będzie publikowane przez co najmniej 5 dni kalendarzowych. Jest to aktualny wakat i pracodawca zamierza obsadzić to stanowisko w ciągu około 30 dni.
Oświadczenie o równych szansach zatrudnienia Wszyscy kwalifikujący się kandydaci otrzymają wynagrodzenie za zatrudnienie bez względu na rasę, kolor skóry, religię, wiek, płeć, pochodzenie narodowe, niepełnosprawność, genetykę, chroniony status weterana, orientację seksualną, tożsamość lub ekspresję płciową lub jakąkolwiek inną cechę chronioną przez obowiązujące prawo. Kandydaci do pracy nie będą zobowiązani do ujawniania zapieczętowanych lub zniszczonych akt wyroków skazujących lub aresztowań w ramach procesu rekrutacji. Oryginalnie opublikowano w Himalajach
Pytania spolecznosci
Ktos tu pracowal? Zapytaj przed aplikacja.
Brak watkow dla tej oferty lub firmy.