Overview
La unidad de PROTECT tiene como objetivo mejorar el nivel de seguridad de los diferentes ámbitos y tecnologías de BBVA a nivel global; detectando riesgos y amenazas y ofreciendo soluciones preventivas de mitigación.
Responsabilidades
* Realización de tareas relacionadas con hacking ético de aplicaciones, redes y sistemas.
* Realizar o apoyar en los análisis de seguridad y pruebas de pentesting de cualquier tipo de entorno y/o plataforma.
* Mejorar los procedimientos, marcos y funciones del servicio actual con el fin de ofrecer una mejora continua y asegurar las entregas del servicio acorde a los SLAs definidos.
* Colaborar en las gestiones necesarias durante las actividades realizadas por el equipo de pentester.
* Colaborar en todos los aspectos relacionados con el desarrollo y evolución de la unidad de Global Ethical Hacking, participando y aportando ideas de mejora en el servicio.
* Colaborar en la transición del servicio, para pasar de un enfoque reactivo (escanear y reportar) a uno continuo, priorizando las vulnerabilidades basándose no solo en su criticidad CVSS, sino en la inteligencia de amenazas (CTI) y la exposición real de los activos del banco.
* Participar en la ejecución de ejercicios de hacking ético, de forma eventual.
* Apoyar en la revisión de los entregables y verificación de cumplimiento de SLAs.
* Realizar "Quality Assurance" (QA) periódico sobre los informes del proveedor.
* Identificar si se están reportando hallazgos repetitivos que podrían automatizarse, si se están omitiendo activos críticos, o si las PoCs pueden causar disrupciones.
* Velar por que la información o base de conocimiento del servicio se encuentre correctamente documentada.
* Realizar un seguimiento del estado de las vulnerabilidades reportadas.
* Asegurar la revisión de todos los activos en perímetro de BBVA, liderando la inclusión de nuevos módulos que permitan detectar las últimas vulnerabilidades que aparecen.
* Promover la automatización de tareas para eficientar los procesos.
* Participar en el diseño de campañas de vulnerabilidades en los activos externos e internos del grupo.
* Revisar periódicamente si las herramientas tecnológicas que utiliza el proveedor (escáneres comerciales, herramientas custom) siguen siendo punteras o si es necesario adoptar nuevas tecnologías para mantener la calidad del servicio.
* Proporcionar evidencias de la identificación y remediación de vulnerabilidades explotables a auditores internos y externos, asegurando el cumplimiento de normativas financieras (DORA, NIS2, PSD2, PCI-DSS, circulares del Banco de España/BCE).
Habilidades y cualidades
* Conocimientos técnicos en ciberseguridad muy orientados hacia la parte ofensiva (Hacking, Red Team, Vulnerabilidades, etc.).
* Capacidad demostrada para analizar, evaluar e interpretar conjuntos complejos de información y datos con una sólida comprensión y aplicación de técnicas analíticas.
* Capacidad de liderazgo de equipos y operaciones, con humanidad, cercanía y empatía hacia el equipo, que fomente el trabajo en equipo sin egos ni envidias.
* Pensamiento crítico y lateral, con capacidad de abstracción y de poder mirar todas las opciones posibles.
* Proactividad, iniciativa y automotivación, con capacidad de innovación, creatividad, curiosidad e inconformismo.
* Capacidad de toma de decisiones basada en datos.
* Habilidades organizativas y de gestión; capacidad para iniciar, coordinar y priorizar responsabilidades y dar seguimiento a las tareas hasta su finalización.
* Buenas dotes de comunicación verbal y escrita, con capacidad de redacción, y con conocimientos en diseño y exposición de presentaciones.
* Pasión por lo que se hace y con ganas de aprender, con proactividad y ganas de mejorar continuamente el servicio prestado.
* Sin temor a fracasar, sin temor al riesgo, con capacidad de equivocarse y aceptar errores, así como ayudar a otro en dicho caso.
Requisitos
* Titulación/Grado/Master en cualquiera de las ramas de interés para el puesto: telecomunicaciones o informática.
* Experiencia profesional de más de 3 años en materia de Ciberseguridad, preferiblemente enfocada a la seguridad ofensiva como Hacking Ético, análisis de vulnerabilidades, Red Team.
* Experiencia profesional gestionando algún equipo multidisciplinar orientado a la ciberseguridad y en la evaluación de SLAs, KPIs y calidad de entregables.
* Capacidad demostrada para analizar, evaluar e interpretar conjuntos complejos de información y datos con una sólida comprensión y aplicación de técnicas analíticas.
* Capacidad de redacción y síntesis tanto a nivel técnico como ejecutivo.
* Tener capacidad para explicar el riesgo de un Zero-Day o un fallo crítico a directivos o áreas de negocio sin usar jerga excesivamente técnica.
* Habilidades organizativas y de gestión; capacidad para iniciar, coordinar y priorizar responsabilidades y dar seguimiento a las tareas hasta su finalización.
* Nivel de Inglés requerido: B1 (deseable B2).
* Se valorará experiencia previa en el sector bancario, entendiendo la arquitectura típica (sistemas legacy, mainframe, arquitecturas transaccionales, entornos Swift).
Capacidades Técnicas
* Conocimientos y experiencia de al menos 3 años en análisis de aplicaciones, análisis de infraestructura y test de intrusión y gestión de vulnerabilidades, siendo capaz de saber leer y comprender una prueba de concepto (PoC) o un exploit.
* Conocimientos de los principales estándares en seguridad de la información de aplicación a Ethical Hacking (OWASP, OWASP Mobile, MITRE ATT&CK, PTES, OSSTMM,...), dominio de CVSS (y sus limitaciones de contexto), así como saber realizar búsquedas de información tanto en fuentes abiertas (OSINT) como privadas.
* Conocimiento y manejo de herramientas de integración y ticketing (JIRA) así como de gestión unificada de vulnerabilidades (Tenable, Qualys, Gestvul,...).
* Conocimientos de las principales nubes (AWS, GCP, Azure,...) así como en plataformas de inteligencia artificial (Gemini, OpenAI,...).
* Conocimientos de regulaciones de ciberseguridad y ámbito financiero (DORA, NIS2, PCI-DSS, SOX...) y principales estándares en seguridad de la información (ISO, NIST...).
* Se valorarán las certificaciones relacionadas con la ciberseguridad ofensiva (OCSP, OSEP, OSCE, CRTO, GWAPT, GCPN, CEH...) y certificaciones de gestión y riesgos (CISM, CISSP, CRISC...).
Skills
* Client Orientation
* Empathy
* Ethics
* Innovation
* Proactive Thinking
#J-18808-Ljbffr