Analista de Segurança da Informação Sr - DevSecOps / Cloud Security

Estamos em busca de um Analista de Segurança da Informação Sênior com expertise em DevSecOps / AppSec / CloudSecurity focado em segurança em nuvem e Code Review para se juntar à nossa equipe. O candidato ideal será responsável por desenvolver, validar e implementar soluções de segurança robustas, garantindo que aplicativos e plataformas sejam desenvolvidos, mantidos e operados com segurança, reduzindo vulnerabilidades, protegendo dados sensíveis e a privacidade dos usuários, e assegurando a integridade das aplicações. Atuação conjunta com Cyber Security, Arquitetura, Engenharia e Desenvolvimento para incorporar segurança por design ao longo de todo o SSDLC.

Definir e implementar estratégias de segurança em aplicações e plataformas, alinhadas a padrões arquiteturais em conjunto com Arquitetura de S.I.

Integrar segurança nos pipelines CI/CD (Azure DevOps e GitHub Actions): SAST, DAST, SCA, Secret Scanning, análise de containers OCR Scanning/IAST e políticas de bloqueio de build por risco.

Gerenciar o ciclo de vida de vulnerabilidades (SAST/DAST/SCA/Container): triagem, priorização (CVSS/CWE), orientação às squads e acompanhamento até a correção.

Conduzir Secure SDLC: Threat Modeling (STRIDE/DREAD/MITRE ATT&CK), security reviews de arquitetura, code reviews focados em segurança, guidelines (OWASP Top 10 / API Top 10 / ASVS) e hardening desde o design até a produção.

Cloud Security (MultiCloud):

Azure: Operar controles nativos (Entra ID/Azure AD, Enterprise Application, App Registration, RBAC, PIM, Conditional Access, Azure Policy, Defender for Cloud), hardening de VMs, AKS, App Services e Storage, gestão de segredos e chaves (Key Vault).

AWS/GCP: Implementar padrões de identidade, segmentação de rede, postura (CSPM), segredos/cofres, observabilidade e políticas.

Kubernetes & Containers: hardening (CIS), controles de admissão, imagens assinadas, escaneamento, runtime security, segregação de namespaces e policies (e.g., NetworkPolicy, PodSecurity).

CSPM & Postura: operar/ajustar políticas, remediações coordenadas e automações de conformidade em Azure/AWS/GCP.

Automação & IaC: inserir controles de segurança em Terraform (policy as code, scan de IaC), criar automações e integrações (PowerShell, Python, Go).

Resposta a Incidentes e Hunting: apoiar análises, retroalimentar processos e fortalecer controles defensivos.

Enablement & Cultura: treinar, conscientizar e influenciar times de engenharia, posicionando segurança como parceiro habilitador.

Compliance & Auditoria (principalmente financeiro): apoiar evidências e aderência a NIST, ISO 27001, OWASP, LGPD e normas do Bacen quando aplicável.

Experiência consolidada em Application Security / DevSecOps, com iniciativas técnica e integração de segurança no SSDLC.

Vivência multicloud com foco em Azure e AWS (hands-on) e boa em GCP (forte em AWS/AZURE com disposição para expandir GCP).

Prática com CI/CD (Azure DevOps e/ou GitHub), SAST, SCA, DAST, Secret Scanning, análise de containers e automação de controles.

IAM/RBAC/PIM, segmentação e Networking (VNet/VPC, NSG/SG, Firewall/WAF), políticas e postura em nuvem (Defender for Cloud/CSPM).

Kubernetes (AKS/EKS/GKE) e containers: segurança de imagem, supply chain, policies e hardening.

Gestão de segredos/cofres (Azure Key Vault, AWS Secrets Manager, GCP Secret Manager, HashiCorp Vault).

Conhecimento sólido de OWASP Top 10, API Security Top 10, ASVS, MITRE ATT&CK, Zero Trust e modelagem de ameaças.

Scripting (PowerShell, Python ou Go, AZ CLI e AWSCLI) e Terraform (IaC) com práticas de segurança (policy/scan).

Comunicação clara, influência e autonomia para conduzir correções e decisões arquiteturais.

Formação Superior em TI/Engenharia correlata.

Experiência comprovada em SDL/SSDLC corporativo e segurança por design em ambientes DevOps/DevSecOps.

IAST, scanning de IaC (ex.: Checkov/tfsec), SAST, assinatura de imagens, SBOM e supply chain security (Sigstore/COSIGN).

Exposição a ambientes multicloud de grande escala e ferramentas corporativas (CSPM, CIEM, CNAPP).

Vivência de Threat Emulation/pentests internos e iniciativas de mudança cultural em engenharia.

Vivência com requisitos do mercado financeiro (Resoluções Bacen, NIST, ISO 27001, OWASP, LGPD).

Certificações

CompTIA Security+

EC-Council Certified DevSecOps Engineer (ECDE)

CompTIA DevSecOps Engineer

AZ-500

SC-100

AWS Security Specialty

GCP Professional Cloud Security Engineer

Stack e Ferramentas (exemplos)

Repos & Pipelines: Azure DevOps, GitHub/GitHub Actions.

AppSec: SAST/DAST/SCA, Secret Scanning, Container/IaC scanning, IAST (quando aplicável).

Cloud & Postura: Azure Policy, Defender for Cloud (CSPM/CNAPP), AWS/GCP equivalentes.

K8s/Containers: AKS/EKS/GKE, registries, admission controllers, policies e runtime security.

Segredos/Cofres: Key Vault, Secrets Manager, Secret Manager, HashiCorp Vault.

IaC & Automação: Terraform, Policy as Code, PowerShell, Python, Go.

Frameworks: OWASP (Top 10, API Top 10, ASVS), NIST, ISO 27001, MITRE ATT&CK, Zero Trust.

Somos o ABC Brasil. O banco múltiplo com mais de 35 anos de história, especialistas em soluções financeiras e que impulsiona grandes negócios do país - combinando solidez internacional com a agilidade de uma gestão local, próxima e autônoma. 

Com um portfólio completo de produtos e serviços, nosso foco está em gerar impacto real nos nossos clientes, evoluindo com o mercado e conforme as necessidades de cada um deles, sempre com responsabilidade, integridade e confiança mútua. 

E esta forma de nos relacionarmos nos torna únicos. Acreditamos que conexões verdadeiras e com respeito às diferenças constrói um ambiente colaborativo, humano e inspirador. Aqui, cada pessoa pode ser quem é - e crescer com autonomia e protagonismo. 

ABC Brasil. O banco de quem é singular.

#EuSouSingular #SouABCBrasil #ABCBrasil