BBVA busca ingenieros, en este caso de Seguridad experos en ASR. La unidad de ASR (Attack Surface Reduction) tiene como objetivo mejorar el nivel de seguridad de los diferentes ámbitos y tecnologías de BBVA a nivel global, detectando riesgos y amenazas y ofreciendo soluciones preventivas de mitigación. La posición se ubica en el ámbito de Threat Intelligence. El salario medio, según los datos consultados por MERCA2.es alcanza los 45.000 euros anuales.
LAS FUNCIONES
SLa persona que se incorpore al rol de ASR Expert Security Engineer tendrá cómo funciones principales:
La gestión del servicio end to end; definiendo KPIs, midiendo la calidad de los entregables y asegurando que se cumplen los compromisos con los clientes, negociar con los proveedores, gestionar la demanda al servicio, definición de procesos, etc.
Mejorar los procedimientos, marcos y funciones del servicio actual con el fin de ofrecer una mejora continua y asegurar las entregas del servicio acorde a los SLAs definidos.
ASR tiene como objetivo mejorar el nivel de seguridad de los diferentes ámbitos y tecnologías
Comunicar a los responsables de los equipos de seguridad de los países los resultados de las revisiones y pruebas que se realizan desde ASR y proponer acciones de mejora.
Colaborar en todos los aspectos relacionados con el desarrollo y evolución de la unidad de ASR.
Controlar, mantener y gestionar el repositorio de información de los procedimientos de revisión y pruebas de las distintas tecnologías.
Participar y aportar ideas de mejora a cada una de las distintas funciones de Attack Surface Reduction (Threat Intelligence, Threat Hunting, Defense Readiness, Ethical Hacking, Application Code Security, Vulnerability Management).
MÁS ENCARGOS
Adicionalmente a lo anterior, también se encargará de:
Participar en la revisión de los diseños de los servicios globales de ASR en todas sus fases, proponiendo planes de mejora y evolución del servicio, así como valorar qué tecnologías adicionales habría que incluir en el alcance del servicio.
Apoyar en el seguimiento de las pruebas realizadas para asegurar que todo el proceso de ejecución se realiza conforme a los procedimientos establecidos.
Apoyar en la redacción de los informes que se realizan en el servicio y asegurar que la información que se indica sea correcta.
Apoyará en la redacción de los informes que se realizan en el servicio
Implicarse en el conocimiento de todas las unidades de Attack Surface Reduction con el objetivo de aportar ideas de mejora en cada una de ellas y encontrar sinergias con el servicio que se desempeñe.
Mantener el conocimiento teórico y práctico de su disciplina dentro del equipo de trabajo intercambiando conocimientos y experiencias, y proponiendo la formación adecuada en cada momento.
Aprovechar y ampliar las capacidades de las herramientas y tecnologías existentes.
LAS SKILLS
Quieren en el banco una persona con conocimientos técnicos en ciberseguridad muy orientados hacia la parte ofensiva (hacking, Red Team, Vulnerabilidades, etc.).
Sentido común y de la lógica, metódica y flexible, con capacidad demostrada para analizar, evaluar e interpretar conjuntos complejos de información y datos con una sólida comprensión y aplicación de técnicas analíticas.
Capacidad de liderazgo de equipos y operaciones, con humanidad, cercanía y empatía hacia el equipo.
Pensamiento crítico y pensamiento lateral, con capacidad de abstracción y de poder mirar todas las opciones posibles, sabiendo pensar como un criminal sin convertirse en uno de ellos.
LA PROACTIVIDAD
Proactividad, iniciativa y automotivación, con capacidad de innovación, creatividad, curiosidad e inconformismo. Esto es lo que reclama la entidad, que quiere una persona con capacidad de toma de decisiones basada en datos, habilidades organizativas y de gestión; capacidad para iniciar, coordinar y priorizar responsabilidades y dar seguimiento a las tareas hasta su finalización, buenas dotes de comunicación verbal y escrita, con capacidad de redacción, y con conocimientos en diseño y exposición de presentaciones, pasión por lo que se hace y con ganas de aprender, con proactividad y ganas de mejorar continuamente el servicio prestado y sin temor a fracasar, sin temor al riesgo, con capacidad de equivocarse y aceptar errores, así como ayudar a otro en dicho caso.
LOS REQUISITOS
Titulación/Grado en cualquiera de las ramas de interés para el puesto: telecomunicaciones o informática.
Experiencia profesional entre 4 y 5 años en materia de Ciberseguridad, preferiblemente enfocada a la seguridad ofensiva como hacking ético, análisis de vulnerabilidades, Red Team.
Experiencia profesional entre 4 y 5 años gestionando un equipo multidisciplinar orientado a la ciberseguridad.
Hay que tener una capacidad demostrada para analizar, evaluar e interpretar conjuntos complejos de información
Capacidad demostrada para analizar, evaluar e interpretar conjuntos complejos de información y datos con una sólida comprensión y aplicación de técnicas analíticas.
Habilidades organizativas y de gestión; capacidad para iniciar, coordinar y priorizar responsabilidades y dar seguimiento a las tareas hasta su finalización.
Conocimientos en profundidad de desarrollo seguro, patrones de seguridad e implementación de los mismos.
Capacidad de desarrollo en lenguajes de scripting (Python, Javascript, Bash) y en lenguajes compilados (Java, C#, etc.).
Conocimientos de las herramientas Qualys, Nessus, Demisto, Splunk y JIRA.
Nivel de Inglés requerido: B2 (deseable C1).
CAPACIDADES TÉCNICAS
Entre las capaciades exigidas están los conocimientos de los principales estándares en seguridad de la información (TIBER-EU, MITRE ATT&CK) así como saber realizar búsquedas de información tanto en fuentes abiertas (OSINT) como privadas.
También contar con conocimientos de los principales estándares en seguridad de la información (ISO, NIST…), de regulaciones de ciberseguridad y ámbito financiero (PCI-DSS, BCE, SOX…), cnocimientos y experiencia en ciberteligencia.
Se valorarán las certificaciones relacionadas con la ciberseguridad y tener conocimiento de ingeniería social.