Senior Security Consultant (SOC1)

Szczegóły projektu

• Czas trwania: krótkoterminowy projekt (do 3 miesięcy)

• Zaangażowanie: 1 FTE

• Dyżury (on-call): wymagane

Kontekst projektu

Projekt rozpoczyna się od etapu Audit 0, którego celem jest oszacowanie realnego zakresu prac potrzebnych do osiągnięcia zgodności z SOC 1. 

Zakres odpowiedzialności

• Tworzenie i dokumentowanie kontroli operacyjnych, technicznych i organizacyjnych zgodnych z wymaganiami SOC 1 (Type I oraz Type II)

• Analiza oraz walidacja materiałów audytowych, w tym pracy na tzw. „oknach obserwacyjnych” dla SOC 1 Type II

• Prowadzenie zespołów technicznych przez proces analizy luk (gap assessment) oraz wdrażania działań naprawczych

• Koordynacja współpracy z architektami bezpieczeństwa, zespołami DevOps oraz CloudOps

• Nadzór nad wdrażaniem zabezpieczeń, takich jak: logowanie zdarzeń, backupy, hardening, zarządzanie dostępami, procesy CI/CD oraz zmiany na środowiskach produkcyjnych

• Projektowanie oraz weryfikacja architektury chmurowej i bezpieczeństwa zgodnej z SOC 1 (zasada najmniejszych uprawnień, separacja środowisk, zbieranie dowodów operacyjnych)

• Wsparcie zespołów technicznych w obszarach IAM, monitoringu, retencji logów, alertowania oraz zarządzania incydentami i zmianą

• Przygotowanie pełnej dokumentacji audytowej (polityki, procedury, checklisty techniczne, runbooki, dowody)

• Przygotowanie zespołów do spotkań audytowych oraz walkthroughów kontroli

• Reprezentowanie strony technicznej podczas audytu, w tym udział w sesjach Q&A

• Dostarczenie kompletnego podejścia do SOC 1:
  Assessment → Remediation → Evidence Collection → Type I → Type II → Utrzymanie operacyjne

Wymagania

• Bardzo dobra znajomość standardu SOC 1 (Type I i Type II)

• Solidne rozumienie kontroli ICFR oraz ich implementacji w systemach IT

• Doświadczenie praktyczne w projektowaniu zabezpieczeń i architektury w środowiskach chmurowych

• Doświadczenie w pracy w dynamicznych środowiskach typu startup / scale-up

• Umiejętność optymalizowania procesów pod kątem minimalizacji narzutu operacyjnego przy jednoczesnym spełnieniu wymagań audytowych

Umiejętności techniczne

• Cybersecurity (zarówno ogólne, jak i w kontekście chmury)

• Projektowanie architektury bezpieczeństwa