Analista de Segurança da Informação e Cyber Sênior

Sobre a posição

Buscamos uma pessoa para atuação sênior na segunda linha de defesa em Segurança da Informação, combinando conhecimento técnico em Cibersegurança com visão de governança, riscos, controles e conformidade.

O profissional deverá ter capacidade de compreender ambientes tecnológicos, avaliar evidências técnicas, questionar configurações, validar controles, acompanhar remediações e dialogar com profundidade com times de Tecnologia, Infraestrutura, SOC e fornecedores especializados. O conhecimento técnico será aplicado para avaliar, orientar, desafiar, validar, acompanhar e fortalecer os controles de Segurança da Informação da Companhia.

• Atuar, sob a ótica da segunda linha de defesa, a governança de Segurança da Informação e Cibernética, atuando com base técnica para avaliar a efetividade dos controles, apoiar a evolução do programa, manter a aderência aos normativos internos e contribuir com reportes, indicadores e subsídios para fóruns, comitês e grupos de trabalho.
• Conduzir avaliações, monitoramentos e testes de controles internos de Segurança da Informação, verificando não apenas a existência formal dos controles, mas também sua implementação técnica, suficiência, evidências e aderência às políticas, procedimentos, requisitos regulatórios e boas práticas aplicáveis.
• Avaliar e desafiar tecnicamente controles relacionados a IAM, MFA, acessos privilegiados, segregação de funções, logs, DLP, firewall, EDR, endpoints, hardening, vulnerabilidades, patching, gestão de configurações, segurança em nuvem, terceiros e ambientes tecnológicos, acompanhando planos de ação e evidências de correção.
• Coordenar e fortalecer a governança do processo de gestão de incidentes de Segurança da Informação, acompanhando classificação, severidade, causa raiz, impactos, contenção, comunicação, evidências, lições aprendidas e planos de ação, com capacidade de dialogar tecnicamente com times de Tecnologia, Infraestrutura, SOC, Jurídico, Compliance, DPO e áreas de negócio.
• Liderar iniciativas de conscientização, treinamento e cultura de Segurança da Informação, conectando os conteúdos a riscos e situações práticas do ambiente tecnológico, como phishing, engenharia social, proteção de credenciais, classificação da informação, uso aceitável de recursos, proteção de dados, reporte de incidentes e boas práticas de segurança.
• Atuar na governança e no acompanhamento de fornecedores de Segurança da Informação, avaliando contratos, SLAs, relatórios técnicos, evidências, riscos, pendências e planos de ação, incluindo fornecedores de SOC, ferramentas de segurança, monitoramento, DLP, EDR, IAM, gestão de vulnerabilidades, consultorias e serviços relacionados.
• Apoiar projetos, produtos, integrações, mudanças e iniciativas estratégicas com abordagem de Security by Design, avaliando requisitos técnicos de segurança, riscos cibernéticos, fluxos de dados, acessos, integrações, exposição externa, controles compensatórios e aderência às diretrizes internas desde as fases iniciais.
• Validar, questionar e acompanhar tecnicamente regras, configurações, exceções e controles de Segurança da Informação, incluindo firewall, DLP, IAM, acessos privilegiados, logs, SIEM/SOC, endpoints, segregação de funções, vulnerabilidades e proteção de ambientes, sem assumir a execução operacional recorrente de infraestrutura ou sustentação técnica.
• Apoiar auditorias internas, externas, avaliações independentes e demandas regulatórias relacionadas a Segurança da Informação, avaliando a suficiência técnica das evidências, preparando respostas, acompanhando recomendações e monitorando planos de ação até sua conclusão.
• Participar de grupos de trabalho internos e externos relacionados a Segurança da Informação, Riscos, Compliance, Tecnologia, Incidentes, Continuidade, Privacidade e Governança, contribuindo com visão crítica, conhecimento técnico, análise de riscos, controles e melhoria contínua.

Formação acadêmica

• Formação em Tecnologia da Informação, Segurança da Informação, Sistemas de Informação, Ciência da Computação, Engenharia, Redes, Análise de Sistemas.
• Certificações em Segurança da Informação e Cyber serão requisitos diferenciais.
• Pós-graduação ou especialização em áreas relacionadas é desejável.

Conhecimentos técnicos e ferramentas

• Conhecimento técnico suficiente para avaliar, questionar e validar controles de Segurança da Informação em ambientes corporativos, incluindo IAM, MFA, acessos privilegiados, segregação de funções, firewall, DLP, EDR, SIEM/SOC, logs, hardening, vulnerabilidades, patching, endpoints, redes, nuvem e gestão de configurações.
• Conhecimento técnico em ambiente AWS, especialmente em controles de Gestão de Acessos, IAM, perfis e permissões, segregação de funções, acessos privilegiados, contas, roles, políticas, grupos, trilhas de auditoria e evidências de conformidade, com capacidade de avaliar riscos, identificar excessos de privilégios, validar aderência às políticas internas e acompanhar planos de correção junto aos times técnicos.
• Capacidade de interpretar evidências técnicas, relatórios de ferramentas de segurança, alertas, dashboards, resultados de varreduras de vulnerabilidades, status de patching, trilhas de logs, regras de acesso, exceções e planos de remediação.
• Conhecimento em gestão de riscos, controles internos, auditoria, conformidade, indicadores, planos de ação e testes de controles aplicados a Segurança da Informação e Cibersegurança.
• Conhecimento em frameworks, normas e boas práticas de Segurança da Informação e Cibersegurança, como ISO 27001/27002, NIST CSF, CIS Controls, COBIT ou equivalentes.
• Experiência ou conhecimento aplicado em gestão de incidentes de Segurança da Informação, incluindo triagem, classificação, análise de impacto, causa raiz, evidências, lições aprendidas e acompanhamento de ações corretivas.
• Conhecimento sobre Security by Design, avaliação de riscos em projetos, validação de requisitos de segurança, revisão de acessos, segregação de funções, controles compensatórios e monitoramento de terceiros.
• Capacidade de interagir com times técnicos de Tecnologia, Infraestrutura, SOC, fornecedores e áreas de negócio, traduzindo riscos técnicos em linguagem executiva e acompanhando ações sem assumir a execução operacional recorrente.
• Boa capacidade de documentação, análise crítica, comunicação, organização de evidências, elaboração de relatórios e acompanhamento de pendências.

Habilidades comportamentais

• Maturidade técnica, visão crítica e comunicação executiva.
• Excelente capacidade de redação, organização e articulação.
• Autonomia, liderança técnica e postura consultiva.
• Comprometimento, engajamento institucional e foco em qualidade, prazo e resultado.
• Reporte proativo à liderança e fóruns de governança.

Diferenciais

• Certificações e especializações relevantes, como CompTIA Security+, CompTIA CySA+, ISC2 CISSP, ISACA CISM, ISACA CRISC, AWS Certified Security, serão considerados diferenciais.
• Vivência em empresas reguladas ou no setor financeiro.
• Participação em projetos de melhoria, automação, analytics ou transformação de processos.

Vale Refeição, pago no cartão Swile;

Faça Você Mesmo, pago no cartão Swile;

Auxílio home office, pago no cartão Swile;

Vale Transporte, pago no cartão Swile;

Auxílio Creche;

Plano de Saúde SulÁmerica;

Plano Odontológico SulÁmerica;

Seguro de Vida;

Day Off - no mês do seu aniversário;

Vittude: plataforma de apoio à saúde mental;

TotalPass: ampla rede de academias.

A SPC Grafeno nasceu em setembro de 2019 com uma missão clara: trazer mais dinamismo, segurança e competitividade para o mercado financeiro brasileiro. Como uma Joint Venture formada pela união da startup Grafeno Digital, uma fintech inovadora especializada em simplificar processos financeiros, e o Serviço de Proteção ao Crédito (SPC Brasil), uma plataforma com mais de 60 anos de experiência em análise de dadospara decisões de crédito, criamos uma infraestrutura única para os credores do Brasil.

Nossa proposta de valor vai além das exigências legais. Combinamos o melhor das capacidades do SPC Brasil e do Grupo Grafeno para conduzir seus processos regulatórios com excelência. Oferecemos mais do que registro e escrituração de ativos; trazemos inteligência, segurança e agilidade para a tomada de decisão dos nossos credores, proporcionando uma experiência completa, do cumprimento das demandas regulatórias às soluções bancárias.