CISO / Chief Information Security Officer / DevSecOps Engineer

Ищем CISO с сильными DevSecOps-навыками, который сможет построить функцию информационной безопасности с нуля: архитектуру, команду, процессы, практики и контроль, а также провести компанию через лицензирование и надзор регуляторов (в первую очередь VARA, UAE).

Роль hands-on: стратегическое управление + практическая реализация.

Технологический стек проекта

• Cloud: AWS (EC2, RDS/PostgreSQL, Redis)

• Kubernetes

• IaC: Terraform, Ansible

• CI/CD: GitLab CI

• Secrets: Vault

• Access / Zero Trust: Teleport

• Programming languages: Python, C++

Ключевые зоны ответственности

1. Governance, Risk & Compliance

• Построение функции ИБ и операционной модели Security с нуля

• Подготовка, сопровождение и защита лицензии VARA и взаимодействие с регуляторами

• Разработка и внедрение security-политик, стандартов, процедур

• Ведение risk register, управление рисками, контроль remediation

• Подготовка к аудитам и проверкам (VARA, ISO 27001 и аналогичные)

2. Identity & Access Management (IAM)

• Проектирование централизованного IAM

• Разработка и внедрение RBAC / least privilege

• SSO, MFA, Zero Trust (Teleport)

• Процессы выдачи, ревокации и периодических access review

• Аудит привилегий и мониторинг аномалий доступа

3. DevSecOps & Application Security

• Встраивание безопасности в SDLC совместно с Head of Development

• Внедрение DevSecOps-практик:

• SAST / DAST / SCA

• Security scanning IaC (tfsec, checkov и аналоги)

• Threat modeling, review архитектуры приложений

• Управление секретами, защита IP

• Контроль third-party зависимостей и сервисов

4. Infrastructure & Cloud Security

• Hardening AWS, Linux, Kubernetes

• Сегментация сетей, secure network architecture

• Patch management и baseline-конфигурации

• Совместная работа с Head of Infrastructure & Networks

• Контроль cloud security posture

5. Monitoring, Incidents & SOC

• Проектирование и внедрение SIEM

• Построение SOC (процессы + инструменты)

• Реагирование на инциденты, IR playbooks

• Постоянное улучшение detection & response

Требования

• 5–7+ лет в Information Security / DevSecOps / Security Engineering

• Практический опыт получения и сопровождения лицензий и требований регуляторов

• Опыт построения security-функции и процессов с нуля

• Сильная экспертиза в:

• DevSecOps и secure SDLC

• Cloud & Kubernetes security

• IAM / RBAC / Zero Trust

• Практический опыт:

• AWS, Linux, Kubernetes

• Terraform, Ansible

• GitLab CI

• Vault, Teleport

• Понимание OWASP, secure architecture, threat modeling

• Опыт внедрения SIEM и incident response

• Способность общаться с бизнесом и регуляторами, а не только с инженерами

Будет плюсом

• Реальный опыт работы с VARA, FinTech, Crypto, VASP

• SIEM: Wazuh / ELK / OpenSearch / Loki

• Compliance: ISO 27001, SOC 2, GDPR

• Опыт построения и масштабирования security-команд

Что мы предлагаем

• Построение ИБ с нуля, без legacy и бюрократии

• Реальное влияние на архитектуру, процессы и продукт

• Прямая работа с регуляторами и топ-менеджментом

• Удалённый формат работы

• Рост до Head of Security / CISO с полной ответственностью за домен