Information Security Lead

Компания, строящая iGaming-платформу и масштабирующая бизнес с распределёнными командами, ищет Information Security Lead, который выстроит и будет вести end-to-end контур информационной безопасности: стратегия и roadmap, GRC (risk/compliance), security operations, AppSec/CloudSec, управление инцидентами, защита данных и third-party risk.

Задачи:

• Сформировать и поддерживать security strategy + 12–18-месячный roadmap, привязанный к продуктовым и операционным приоритетам
• Настроить модель управления: risk register, владельцы рисков, цикл пересмотра, комитет/ритуалы, правила принятия решений по security-исключениям
• Построить и вести ISMS, подготовку и сопровождение аудитов/сертификаций (включая ISO 27001/27701, PCI DSS, GDPR и релевантные требования регуляторов iGaming)
• Обеспечить evidence-процесс: сбор артефактов, контроль корректирующих действий, управление сроками и владельцами
• Совместно с CDO/Head of Data закрепить политики классификации данных, PII/consent, DPIA, DLP; обеспечить контроль доступов (RBAC/ABAC), аудит и расследования
• Задать требования к хранению/передаче данных и логированию для критичных контуров
• Настроить модель обнаружения и реагирования: SIEM/SOAR и/или MDR, playbooks, triage, эскалации, метрики, пост-инцидентные разборы (RCA)
• Организовать tabletop-упражнения, проверку DR/BCP сценариев, readiness для ключевых сервисов
• Выстроить сканирование/управление уязвимостями, SLA на исправления по критичности, контроль выполнения
• Запустить/масштабировать регулярные pentest/VA, security assessments, контроль ремедиации
• Внедрить secure SDLC: threat modeling для ключевых изменений, security requirements, code review практики, SAST/DAST, секреты, dependency scanning
• Построить security champions подход в engineering-командах и стандарты API/app security для интеграций с провайдерами/агрегаторами
• Задать требования и контроль по IAM, сегментации, ключам/секретам, логированию, hardening, доступам, управлению изменениями и конфигурациями
• Вести third-party risk по инфраструктурным и продуктовым вендорам (контрактные требования, SLA, аудит-права, оценки)
• Спроектировать структуру (GRC / SecOps / AppSec / Security Engineering), hiring-план, зоны ответственности и модель “in-house vs vendors”
• Настроить обучение сотрудников: security awareness, фишинг-симуляции, обязательные политики и контроль прохождения

Требования:

• Опыт построения и масштабирования security-программы в digital/regulated среде (iGaming/fintech/payments/marketplaces) на уровне Head/Director/CISO, включая управление несколькими потоками: GRC + SecOps + AppSec
• Практика управления compliance и аудитами по ISO 27001/27701, PCI DSS, GDPR; опыт подготовки evidence и прохождения внешних проверок
• Опыт выстраивания incident response: процессы, SOC/MDR, SIEM, playbooks, post-mortem, учения
• Практика vulnerability management + pentest/assessments и доведение ремедиации до результата
• Понимание security-аспектов интеграционного B2B-ландшафта: third-party risk, требования к API, контрактные security-клаузы, контроль доступов и логирования
• Лидерство и коммуникации: управление приоритетами между продуктом/engineering/data/legal/finance, формализация риск-решений, работа с эскалациями и отчётность для CEO/CTO и руководителей функций

Условия:

• Офисный формат работы (Лимассол) и официальное оформление по ТК Кипра
• Оплачиваемые завтраки и обеды в офисе
• 4 day off в году
• Отпуск 21 рабочих дней
• Оплачиваемые больничные согласно трудовому законодательству
• Возможности профессионального обучения и карьерного развития
• Компенсация занятий английским языком
• Регулярные корпоративы
• Скидки от компаний-партнеров
• Отсутствие лишней бюрократии и возможность работать в русскоязычной команде
• Гибкость в подходах и методологиях работы