Ingeniero DevSecOps

Tendrás como objetivo diseñar, implementar y mantener pipelines de CI/CD seguros, integrando prácticas de seguridad en todas las fases del desarrollo y despliegue. Garantizar la seguridad de aplicaciones, infraestructura en la nube y el cumplimiento normativo mediante automatización y colaboración entre equipos.

Algunas funciones serán

Implementación y Mantenimiento de Pipelines de CI/CD Seguros: - Diseñar, implementar y mantener pipelines de CI/CD en Azure DevOps con un enfoque en la seguridad, asegurando la integración y el despliegue continuo de aplicaciones de manera ágil y segura. - Automatizar la verificación de seguridad en cada etapa del pipeline, desde el análisis de código hasta el despliegue en producción.

Integración de Seguridad en el Ciclo de Vida del Desarrollo de Software (SDLC): - Colaborar con los equipos de desarrollo, calidad y operaciones para integrar prácticas de seguridad (DevSecOps) en cada fase del SDLC, asegurando que las vulnerabilidades se detecten y solucionen temprano en el ciclo de vida de desarrollo. - Implementar herramientas de escaneo de código (SAST), pruebas de seguridad dinámicas (DAST) y monitoreo de vulnerabilidades en dependencias para aplicaciones y servicios.

Gestión y Seguridad de Contenedores y Orquestación: - Configurar y asegurar contenedores Docker y gestionar clústeres de Kubernetes (preferiblemente en Azure AKS), garantizando la seguridad de los contenedores y el acceso controlado en entornos de orquestación. - Integrar herramientas de seguridad para escaneo de imágenes de contenedores, gestión de vulnerabilidades y cumplimiento de políticas de seguridad en entornos de contenedores.

Automatización de Infraestructura como Código (IaC): - Desarrollar y mantener la infraestructura mediante herramientas de IaC como Terraform, ARM, Bicep y Ansible, aplicando las mejores prácticas de seguridad para entornos en la nube. - Implementar controles de acceso y políticas de seguridad desde la configuración de la infraestructura en la nube, garantizando que se cumplan los estándares de seguridad y compliance.

Monitoreo, Detección de Amenazas y Respuesta ante Incidentes: - Configurar y optimizar herramientas de monitoreo y alertas (Azure Monitor, Prometheus, Grafana) para detectar y responder proactivamente a incidentes de seguridad en la infraestructura y aplicaciones. - Colaborar en la detección y respuesta ante amenazas mediante herramientas SIEM (como Azure Sentinel o Splunk) y sistemas de seguridad automatizados (SOAR).

Gestión de Identidad y Acceso (IAM): - Configurar y gestionar políticas de control de acceso e identidad (IAM) en entornos de nube, asegurando que los permisos estén debidamente segmentados y que los usuarios tengan solo los accesos necesarios. - Implementar autenticación multifactor (MFA), encriptación y gestión de secretos mediante herramientas como Azure Key Vault para garantizar la protección de información sensible.

Cumplimiento de Normativas y Políticas de Seguridad: - Asegurar que la infraestructura y los procesos de desarrollo cumplan con los estándares de seguridad y normativas de la industria (ISO 27001, GDPR, SOC 2, PCI-DSS). - Diseñar Cultura y mantener políticas de seguridad en la nube (Azure Policy, AWS Config) y realizar auditorías regulares para identificar y corregir posibles incumplimientos.

Educación y Capacitación en Seguridad para Equipos de Desarrollo: - Colaborar con los desarrolladores para implementar prácticas de codificación segura, guiar en el uso de herramientas de seguridad y promover una cultura de seguridad en todo el equipo. - Proveer capacitación y mejores prácticas para asegurar el cumplimiento de estrategias de seguridad, tanto en el desarrollo de aplicaciones como en la infraestructura.

Evaluación y Mejora Continua de la Postura de Seguridad: - Realizar evaluaciones de seguridad y pruebas de penetración periódicas en infraestructura y aplicaciones para identificar y mitigar posibles amenazas. - Monitorear el desempeño de las herramientas y prácticas de seguridad, adaptando la estrategia de DevSecOps en función de nuevas amenazas o avances tecnológicos.

Documentación y Reportes de Seguridad: - Documentar los procesos de seguridad y prácticas DevSecOps, incluyendo políticas de control de acceso, configuración de pipelines, pruebas de seguridad y auditorías de cumplimiento. - Generar reportes de seguridad regulares para stakeholders y colaborar con equipos de compliance para demostrar la conformidad con las normativas.

Este rol requiere una fuerte orientación hacia la seguridad proactiva, la automatización de procesos y la colaboración entre equipos para construir y mantener un entorno de desarrollo seguro y eficiente

Lo que requieres

Perfil

Profesional en Ingeniería de Sistemas, Ingeniería Electrónica o carreras afines, deseable posgrado en Ingeniería de Software o afines. Con Mínimo 4 años de experiencia como Ingeniero DevSecOps.

Experiencia: 7 años de experiencia Cloud y 3 años en soluciones DevOps.

Conocimientos en:

  • Plataformas de Nube y Entornos de Despliegue: – Azure (principal): Administración de recursos en Azure, Azure DevOps, Azure Kubernetes Service (AKS), Azure Policy, Azure Security Center, Azure Key Vault. – Otras Plataformas (deseable): AWS (AWS Security Hub, IAM, KMS, GuardDuty) y Google Cloud Platform (GCP) para entornos multicloud.
  • Contenerización y Orquestación: – Docker: Experiencia en creación, gestión y seguridad de contenedores. – Kubernetes: Dominio de Kubernetes (preferentemente AKS) para la orquestación de contenedores, incluyendo prácticas de seguridad para clústeres y despliegue seguro de aplicaciones.
  • CI/CD y Herramientas de Automatización: – Azure DevOps: Creación de pipelines de CI/CD, automatización de despliegues y monitoreo, con especial enfoque en la integración de medidas de seguridad. – Jenkins (deseable): Implementación y administración de pipelines de CI/CD. – Git: Dominio en gestión de código y estrategias de ramificación seguras (Github, Bitbucket o VSTS). 
  • Herramientas de Seguridad y DevSecOps: – SonarQube: Análisis de calidad y seguridad de código estático. – Kiuwan: Escaneo de seguridad de código y detección de vulnerabilidades en aplicaciones. – Aqua Security, Twistlock o Anchore: Herramientas para la seguridad de contenedores, con capacidades de escaneo y gestión de vulnerabilidades. – OWASP Dependency-Check: Herramienta para la detección de vulnerabilidades en dependencias.
  • Pruebas de Seguridad y Monitoreo: – SAST (Static Application Security Testing): Experiencia en herramientas de análisis de código estático. – DAST (Dynamic Application Security Testing): Implementación de pruebas de seguridad dinámicas para identificar vulnerabilidades en aplicaciones en ejecución. – SIEM (Security Information and Event Management): Conocimiento de herramientas de SIEM (como Splunk o Azure Sentinel) para la monitorización y gestión de eventos de seguridad. 
  • Seguridad en Infraestructura y Redes: – Firewall y Protección de Redes: Configuración de políticas de seguridad en la nube, gestión de WAFs (Web Application Firewalls) y NACLs. – IAM (Identity and Access Management): Buen manejo de políticas de acceso y roles de usuario en entornos de nube (Azure Active Directory, AWS IAM, etc.).
  • Lenguajes de Programación y Scripting: – Bash / Shell Scripting: Para la automatización de tareas y la gestión de entornos en Linux. – Bash / PowerShell Scripting: Para la automatización de tareas y la gestión de entornos en Windows. – Python: Uso de scripts para automatización, integración con herramientas de seguridad y análisis de logs. – YAML/JSON: Para configuración de pipelines y despliegues de infraestructura como código.
  • Infraestructura como Código (IaC): – Terraform: Gestión y despliegue seguro de infraestructura en la nube, con control de versiones y definición de permisos y políticas de seguridad. – Ansible: Automatización y configuración segura de entornos. – Azure Resource Manager (ARM) y Bicep: Plantillas para desplegar infraestructura en Azure de manera segura.
  • Monitoreo y Observabilidad: – Prometheus y Grafana: Para la monitorización de sistemas, detección de anomalías y análisis de desempeño. – Azure Monitor: Supervisión de recursos en Azure, alertas y análisis de incidentes de seguridad. – ELK Stack (Elasticsearch, Logstash, Kibana): Para análisis de logs, auditoría y visualización de métricas. 
  • Políticas de Seguridad y Cumplimiento: – Compliance: Conocimiento en estándares y regulaciones como GDPR, ISO 27001, SOC 2, PCI-DSS. – Políticas de Seguridad en la Nube: Creación y administración de políticas de seguridad en plataformas de nube (Azure Policy, AWS Config).

Conocimientos deseables

  • Herramientas de Respuesta ante Incidentes: Conocimiento en respuestas automatizadas, como SOAR (Security Orchestration, Automation, and Response) en plataformas como Azure Sentinel o Splunk Phantom. 
  • Pruebas de Penetración: Familiaridad con herramientas de pentesting como Metasploit y Burp Suite para fortalecer la seguridad proactiva en los pipelines y aplicaciones.

Competencias fundamentales / Soft Skills

  • Es positivo, sereno y determinado ante el cambio: Posee Inteligente emocional y social.
  • Vive en comunicación permanente de forma asertiva y cercana: comunicación efectiva saber escuchar, saber presentar, empatía, orientación al cliente. 
  • Impulsa la colaboración, el aprendizaje y la innovación: inquieto por aprender
  • Actúa con perspectiva eco – sistémica: Liderazgo, empoderamiento y orientación a resultados
  • Es sensible al riesgo y a las oportunidades: Es negociador y realiza análisis de información

Resultados esperados

  • Pipelines de CI/CD seguros: Implementación de pipelines automatizados que integren prácticas de seguridad en todas las fases del desarrollo, con detección temprana de vulnerabilidades y despliegue continuo eficiente. 
  • Cumplimiento normativo: Garantizar que la infraestructura y las aplicaciones cumplan con los estándares de seguridad y normativas vigentes (ISO 27001, GDPR, PCI-DSS) mediante políticas de seguridad automatizadas y auditorías regulares. 
  • Seguridad en contenedores y orquestación: Implementación de medidas de seguridad robustas en contenedores Docker y clústeres Kubernetes, incluyendo escaneo de imágenes y gestión de vulnerabilidades. 
  • Monitoreo y respuesta ante incidentes: Implementación de herramientas de monitoreo y alertas eficientes, con capacidad de respuesta rápida a incidentes de seguridad mediante soluciones de SIEM y automatización de la respuesta ante amenazas. 
  • Automatización de infraestructura segura: Gestión y despliegue seguro de infraestructura utilizando herramientas de Infraestructura como Código (IaC) como Terraform, Ansible y Azure Resource Manager, aplicando políticas de seguridad y control de accesos.
  • Seguridad proactiva: Fomento de una cultura de seguridad dentro de los equipos de desarrollo y operaciones, mediante capacitaciones continuas y la integración de prácticas de seguridad en todo el ciclo de vida del software.
  • Mejora continua de procesos: Evaluación y mejora continua de las prácticas de seguridad y automatización, adaptando las soluciones a nuevas amenazas y avances tecnológicos, con el objetivo de optimizar la postura de seguridad de la organización.

Condiciones deseables

Debe tener disponibilidad para viajar por solicitud del cliente.

Aplica aquí

Pongámonos en contacto