Ingeniero de Seguridad de Aplicaciones

Descripción

Resumen: Buscamos a un ingeniero de seguridad altamente motivado para escalar las capacidades de seguridad de aplicaciones y DevSecOps, colaborando con los equipos de ingeniería para integrar la seguridad en el ciclo de vida del desarrollo de software (SDLC). Aspectos destacados: 1. Oportunidad de madurar las capacidades de seguridad de aplicaciones y DevSecOps 2. Rol práctico con equipos de desarrollo y herramientas de seguridad 3. Contribuir a la definición de procesos y a la madurez del programa de seguridad Insulet comenzó en 2000 con una idea y una misión: permitir que nuestros clientes disfruten de la simplicidad, la libertad y una vida más saludable mediante el uso de nuestra plataforma de productos Omnipod®. En las últimas dos décadas hemos mejorado la calidad de vida de cientos de miles de pacientes gracias a una tecnología innovadora que es portátil, resistente al agua y adaptable al estilo de vida. Buscamos personas altamente motivadas y orientadas al rendimiento para formar parte de nuestro equipo en expansión. Lo hacemos contratando a personas extraordinarias guiadas por valores compartidos que superan las expectativas de los clientes. ¡Nuestro éxito continuo depende de ello! **Descripción del puesto:** Buscamos a un ingeniero de seguridad altamente motivado para ayudar a escalar y madurar nuestras capacidades de seguridad de aplicaciones y DevSecOps en todo nuestro portafolio de productos. En este puesto, colaborará estrechamente con los equipos de ingeniería, producto y cumplimiento normativo para integrar la seguridad en el ciclo de vida del desarrollo de software, automatizar las pruebas de seguridad y gestionar la corrección de riesgos relacionados con aplicaciones y productos. Este puesto es ideal para alguien que disfruta trabajar *prácticamente* con equipos de desarrollo, herramientas de seguridad y automatización, además de contribuir a la definición de procesos y a la madurez del programa de seguridad. **Responsabilidades:** * Implementar y operacionalizar un ciclo de vida seguro para el desarrollo de software (SSDLC) en todos los productos, incluida la definición de procesos, controles y puntos de verificación de seguridad en colaboración con equipos multifuncionales. * Ejecutar y escalar pruebas automatizadas de seguridad de aplicaciones en las canalizaciones de CI/CD, incluidas: * Pruebas estáticas de seguridad de aplicaciones (SAST) * Pruebas dinámicas de seguridad de aplicaciones (DAST) * Análisis de composición de software (SCA) * Pruebas de seguridad de API y en tiempo de ejecución * Clasificar, validar y priorizar hallazgos de seguridad, reducir los falsos positivos y colaborar con los equipos de ingeniería para impulsar una corrección efectiva. * Realizar actividades prácticas de seguridad de aplicaciones, incluido el modelado de amenazas, revisiones de diseño seguro, revisiones de código y pruebas de seguridad específicas alineadas con los riesgos de la lista OWASP Top 10 y la lista CWE Top 25. * Apoyar los programas de divulgación de vulnerabilidades y de recompensas por errores (bug bounty), incluida la recepción, validación, coordinación y seguimiento de la corrección. * Contribuir a la concienciación y capacitación en seguridad de aplicaciones, ayudando a los desarrolladores a comprender las prácticas de codificación segura y los patrones comunes de vulnerabilidades. * Desarrollar y mantener métricas y paneles de control de seguridad de aplicaciones, ofreciendo una vista consolidada («un solo panel de visualización») de la postura de riesgo mediante la automatización. * Investigar tecnologías, marcos de trabajo y técnicas de ataque emergentes, evaluando su aplicabilidad y su riesgo para los productos actuales y futuros. * Colaborar con los equipos de Calidad, Regulación, Asuntos Legales, Privacidad, Cumplimiento Normativo, Arquitectura y Desarrollo de Productos para garantizar que la seguridad se diseñe desde el inicio, se verifique durante el desarrollo y se gestione en producción. * Apoyar la documentación y las evidencias de ciberseguridad requeridas para las presentaciones regulatorias en entornos de productos regulados. **Requisitos:** * Licenciatura en seguridad de la información o ciencias de la computación, o experiencia práctica equivalente. * De 3 a 5 años de experiencia en ciberseguridad con un fuerte enfoque en seguridad de aplicaciones, seguridad de productos o DevSecOps. * Experiencia práctica con herramientas tales como: * Herramientas de SAST, DAST, SCA, IAST y pruebas de API Ejemplos: Checkmarx, Snyk, ZAP, Dependency-Track, GitHub Actions, Jenkins o similares * Capacidad demostrada para identificar, validar y explicar las vulnerabilidades de la lista OWASP Top 10 y la lista CWE Top 25. * Experiencia integrando pruebas de seguridad en canalizaciones de CI/CD y flujos de trabajo modernos de desarrollo. * Conocimiento de los programas de divulgación de vulnerabilidades y de recompensas por errores (bug bounty). * Conocimientos prácticos de al menos un lenguaje de programación común (por ejemplo, C, C\+\+, Java, .NET, Python o similar). * Comprensión del modelado de amenazas, superficies de ataque, clases comunes de explotación y marcos como MITRE ATT\&CK. * Excelentes habilidades comunicativas escritas y verbales, con capacidad para traducir riesgos de seguridad en orientaciones claras y accionables para audiencias técnicas y no técnicas. * Habilidades y conductas de liderazgo / interpersonales requeridas: * Comunicar eficazmente información, conceptos e ideas complejos de forma clara y organizada mediante mecanismos verbales, escritos y visuales. * Fuertes habilidades de colaboración y capacidad para trabajar con equipos multifuncionales dentro de la organización de seguridad y privacidad, así como con la organización más amplia de Tecnología Corporativa. * Capacidad para trabajar con equipos virtuales y globales en un entorno acelerado. * Experiencia equilibrando necesidades de seguridad con objetivos empresariales más amplios