Senior Product Security Engineer

Be in IT to firma rekrutacyjna, wyspecjalizowana w poszukiwaniu Specjalistów z branży technologii informatycznych. Obecnie, dla naszego klienta, poszukujemy osoby na stanowisko Senior Product Security Engineer.

Zakres obowiązków:

• Długofalowa współpraca z międzynarodową, topową firmą consultingową, świadcząca usługi IT dla dużych i średnich firm z różnorodnych sektorów jak automotive, finanse, bankowość czy produkcja.

• Zaprojektowanie i wdrożenie operacyjnego modelu PSIRT vulnerability lifecycle: intake, triage, risk assessment, śledzenie remediacji, disclosure oraz zamknięcie podatności.

• Prowadzenie działań triage i oceny ryzyka: analiza exploitability, ekspozycji produktu/systemu, wpływu operacyjnego oraz mapowanie CVE/CVSS na priorytety inżynierskie.

• Definiowanie i operacjonalizacja modeli oceny krytyczności łączących scoring CVSS z modyfikatorami kontekstowymi (bezpieczeństwo, niezawodność, regulacje, ryzyko operacyjne).

• Tworzenie workflow triage, kryteriów priorytetyzacji, modeli eskalacji oraz frameworków decyzyjnych równoważących pilność remediacji z ograniczeniami biznesowymi i technicznymi.

• Doradztwo w zakresie architektury narzędziowej (ServiceNow VM lub rozwiązania równoważne, platformy vulnerability management, integracje z SIEM/SOAR), w tym modelowanie cyklu zgłoszeń, schematów metadanych i punktów przekazania do zespołów inżynieryjnych.

• Definiowanie taksonomii i wymaganych metadanych (linia produktowa, wersje firmware, hierarchie assetów, ownership, flagi exploitability, klasyfikacja zdarzeń/incydentów).

• Opracowanie artefaktów procesowych PSIRT: SOP, playbooki triage, kryteria klasyfikacji, modele RACI, drzewa eskalacji, SLA remediacyjne, workflow disclosure oraz procedury notyfikacji regulacyjnej.

• Projektowanie punktów integracyjnych z SOC, SIEM/SOAR, DevOps, R&D, Product Security i Operations; definiowanie triggerów alertów oraz mechanizmów przekazywania do remediacji.

• Wsparcie konfiguracji i rollout narzędzi: wymagania dla modelu danych, pola obowiązkowe, mechanizmy eskalacji, dashboardy, metryki oraz wymagania audytowe.

• Przekładanie strategicznych ram PSIRT na operacyjne praktyki i modele integracji z backlogiem inżynierskim (SLA, priorytetyzacja, tracking remediacji).

• Szkolenia, onboarding oraz transfer wiedzy do zespołów wewnętrznych; rola eksperta merytorycznego w obszarze PSIRT.

• Monitorowanie i ciągłe doskonalenie KPI PSIRT, dashboardów oraz procesów post-incident / lessons learned.

Oczekujemy:

• Głębokiego doświadczenia w obszarze PSIRT, product security lub pre-CERT, preferencyjnie w środowiskach przemysłowych, embedded/OT/IoT, systemach safety-critical lub złożonych produktach software’owych.

• Praktycznej wiedzy w zakresie vulnerability triage, analizy CVE, oceny exploitability oraz planowania remediacji opartej na ryzyku.

• Doświadczenia w stosowaniu CVSS oraz budowie modeli severity z modyfikatorami kontekstowymi (regulacje, bezpieczeństwo, wpływ operacyjny).

• Znajomości narzędzi: ServiceNow Vulnerability Management (preferowane) lub Kenna, Tenable, Qualys, workflow opartych o Jira lub równoważnych platform VM.

• Umiejętności projektowania modeli danych i taksonomii metadanych dla podatności, assetów, firmware, linii produktowych oraz ownership.

• Znajomości integracji SOC / SIEM / SOAR i projektowania pipeline’ów alert-to-PSIRT.

• Doświadczenia w przekładaniu procesów bezpieczeństwa na modele backlogowe engineeringu, SLA i mechanizmy śledzenia remediacji.

• Umiejętności tworzenia dokumentacji operacyjnej (SOP, playbooki, RACI, modele eskalacji, procesy disclosure i compliance).

• Zdolności definiowania metryk, dashboardów i wymogów dowodowych dla governance i audytu.

• Znajomości języka angielskiego na poziomie min. B2/C1 – umożliwiająca swobodną pracę w międzynarodowym środowisku.

• Mile widziana dostępność ASAP; akceptowalny jest maksymalnie miesięczny okres wypowiedzenia ze skutkiem na koniec miesiąca.

Oferujemy:

• Długofalową współpracę z wynagrodzeniem w przedziale 190-210 PLN netto/godz. + VAT.

• Wsparcie przy zakładaniu i prowadzeniu działalności gospodarczej, dla osób bez takiego doświadczenia.

• Sprawny i szybki proces rekrutacyjny - jedna, maksymalnie dwie rozmowy techniczne z managerami, online (każda po godzinie).

• Współpracę w godzinach 9:00-17:00, możliwa lekka elastyczność.

• Współpracę w pełni zdalną.

• Benefity - prywatna opieka medyczna, karta Multisport.

• Nowoczesny sprzęt zapewniany przez firmę, wraz z softem i konfiguracją.