DevSecOps

                El DevSecOps será el encargado de implantar controles técnicos y operativos de seguridad a lo largo del ciclo de desarrollo y despliegue (DevSecOps), protege bases de datos y aplicaciones, y genera evidencia técnica y procesal para auditorías de estándares y reguladores como ISO 27001, la Superintendencia de Banca, Seguros y AFP (SBS), el Banco Central de Reserva del Perú (LBTR), el Banco Central de la República Argentina (BCRA) y esquemas de pagos como UPI. De acuerdo a los requisitos de la regulación.

Como: Lo hace integrando controles de seguridad en pipelines de CI/CD (SAST, DAST, escaneo de dependencias y hardening), automatizando validaciones en desarrollo y QA, implementando protección en bases de datos (cifrado, control de accesos, monitoreo y auditoría), aplicando buenas prácticas de gestión de vulnerabilidades y DevSecOps, generando evidencias técnicas como logs y reportes, y brindando soporte técnico para integraciones seguras con plataformas externas.

Para que: Con ello busca reducir vulnerabilidades desde etapas tempranas, asegurar pipelines con controles automatizados, fortalecer la seguridad y monitoreo de aplicaciones y bases de datos, cumplir con requisitos regulatorios y facilitar auditorías, garantizar trazabilidad de controles implementados y habilitar integraciones seguras y confiables dentro del ecosistema de pagos.

Principales Funciones:

- Seguridad en el ciclo de desarrollo
- Testing de seguridad en QA y pipelines
- Gestión de vulnerabilidades y respuesta técnica
- Hardening y protección de bases de datos en el ciclo de desarro seguro
- Seguridad de componentes, librerias mediante SCA
- Implementacion y mantencion de soluciones DAST Analisis dinamico de codigo fuente
- Implementacion y mantencion de soluciones SAST Analisis de estatico codigo fuente
- Mejora continua y capacitación en el ciclo de desarrollo seguro a nivel transversal de la compañia

Requerimientos

- Formación: Ingeniería en Sistemas, Informática, o afín; especialización en ciberseguridad o DevSecOps.
- Experiencia mínima: 4 a 6 años en roles DevSecOps, seguridad de aplicaciones y bases de datos; experiencia en entornos financieros es preferible.
- Conocimientos técnicos: SAST (e.g., SonarQube, Veracode), SCA (e.g., Snyk, Dependabot), DAST (e.g., ZAP, Burp), CI/CD (Jenkins, GitLab CI), infraestructura como código, contenedores, bases de datos (MySQL, Postgres, MongoDB), TLS, IAM, secretos y vaults.
- Deseables pero no excluyentes: CSSLP, OSCP, CEH, CISSP, CCSP o certificaciones Cloud security/DevSecOps.
- Habilidades: scripting, automatización, gestión de vulnerabilidades, infraestructura como código (IaC), DevOps,comunicación técnica para audiencias no técnicas, trabajo colaborativo con Desarrollo y QA.