Security Consultant

Projekt rozpoczyna się od tzw. Audit 0, którego celem jest:

• oszacowanie rzeczywistego nakładu pracy potrzebnego do osiągnięcia zgodności z SOC 1,

• identyfikacja potrzeby zaangażowania dodatkowych ról (np. IAM, GCP DevOps).

Zakres obowiązków

• Tworzenie, mapowanie i dokumentowanie kontroli operacyjnych, technicznych i organizacyjnych zgodnych z SOC 1 (Type I & Type II)

• Interpretacja i walidacja dowodów audytowych, w tym okien obserwacyjnych dla SOC 1 Type II

• Prowadzenie zespołów technicznych przez proces analizy luk (gap assessment) i ich remediacji

• Koordynacja pracy zespołów: Security Architects, DevOps, CloudOps

• Nadzór nad wdrażaniem kontroli bezpieczeństwa, w tym:

  • logowanie

  • backupy

  • hardening

  • zarządzanie dostępami

  • procesy CI/CD i zmiany produkcyjne

• Projektowanie i walidacja architektury bezpieczeństwa w chmurze zgodnej z SOC 1:

  • zasada najmniejszych uprawnień (least privilege)

  • separacja środowisk

  • zapewnienie dowodów operacyjnych

• Wsparcie zespołów DevOps/CloudOps w zakresie:

  • IAM

  • monitoringu

  • retencji logów

  • alertowania

  • zarządzania zmianą i incydentami

• Przygotowanie kompletnej dokumentacji audytowej:

  • polityki

  • procedury

  • dowody

  • checklisty techniczne

  • runbooki

• Przygotowanie zespołów do spotkań audytowych (walkthroughs)

• Reprezentowanie zespołu podczas audytu (w tym sesje Q&A)

• Realizacja pełnego procesu SOC 1 end-to-end:

Wymagania

• Ekspercka znajomość standardu SOC 1 (Type I & Type II)

• Bardzo dobra znajomość kontroli ICFR oraz ich implementacji w systemach IT

• Praktyczne doświadczenie w projektowaniu bezpieczeństwa w chmurze

• Doświadczenie w środowiskach startup / scale-up

• Podejście pragmatyczne, nastawione na automatyzację

• Umiejętność minimalizacji narzutu operacyjnego przy zachowaniu wymogów audytowych