Resumo: Procuramos um Engenheiro de Segurança em Nuvem para aprimorar a capacidade de engenharia de AppSec, assumindo a responsabilidade pela disponibilidade, confiabilidade, integração e ciclo de vida da cadeia de ferramentas de segurança do SDLC, num papel de engenharia de plataforma. Pontos de destaque: 1. Oportunidade de gerir todo o ciclo de vida da cadeia de ferramentas de segurança do SDLC 2. Foco em engenharia de plataforma e capacitação de desenvolvedores para segurança 3. Papel estratégico na definição do futuro das ferramentas de segurança de aplicações Estamos contratando um Engenheiro de Segurança em Nuvem para aprimorar nossa capacidade de engenharia de AppSec e assumir a responsabilidade pela disponibilidade, confiabilidade, integração e ciclo de vida da cadeia de ferramentas de segurança do SDLC. Trata-se de um papel de engenharia de plataforma. Atualmente, nosso conjunto de ferramentas de AppSec centra-se no GitHub Security, após a desativação do Black Duck, e esperamos incorporar uma plataforma consolidada de segurança de aplicações abrangente e ponta a ponta. Você nos ajudará a operar bem as ferramentas atuais e a industrializar o que virá a seguir. Observação importante sobre o escopo: A verificação de Infraestrutura como Código (IaC) está fora do escopo desta função (já foi transferida e é gerida por outra equipe), embora seja vantajoso se você possuir essa experiência. **Principais responsabilidades** ------------------------ ### **1\. Confiabilidade das ferramentas e responsabilidade operacional** * Gerir diariamente a saúde da pilha de ferramentas de AppSec: disponibilidade, desempenho, resiliência, atualizações e gestão do ciclo de vida. * Definir e manter SLOs, monitoramento, alertas, planejamento de capacidade e manuais de resposta a incidentes. * Estabelecer procedimentos claros de suporte e manutenção alinhados ao modelo de equipe de plataforma (equipes operacionais de primeira linha utilizam as ferramentas e prestam os serviços). ### **2\. Integração no SDLC e capacitação de desenvolvedores** * Criar e manter integrações seguras e reutilizáveis no CI/CD (modelos, pipelines padrão, fluxos de trabalho reutilizáveis). * Entregar automações que reduzam atritos: onboarding autoatendido, configurações padrão seguras, guardrails e configuração consistente entre repositórios. * Integrar os resultados das ferramentas nos fluxos operacionais (gestão de chamados, relatórios e filas de triagem geridas pelas equipes operacionais de primeira linha). ### **3\. Governança, controle de acesso e adequação corporativa** * Garantir que as ferramentas estejam alinhadas às necessidades corporativas: SSO/SAML, RBAC, registro de auditoria, tratamento de dados e requisitos de segurança da plataforma. * Produzir documentação clara e padrões de referência: como realizar o onboarding, como fazer a manutenção e o que representa uma boa prática. * Colaborar com equipes de plataforma/DevOps para implementar mudanças com segurança e impacto mínimo nos negócios. ### **4\. Estratégia e incorporação de ferramentas (consolidação no Q4)** * Apoiar atividades de avaliação: testes práticos, protótipos de integração, contribuições para pontuação e validação de adequação ao ambiente. * Planejar e executar a incorporação/migração: arquitetura, fases de implantação, comunicações, estratégia de desativação e adoção mensurável. * Garantir que os impactos de custo, desempenho e dados sejam compreendidos e controlados. **Habilidades e experiência** ------------------------- ### **Obrigatórios** * Experiência sólida em engenharia de plataforma, DevSecOps ou engenharia de ferramentas de segurança, com histórico comprovado de operação de ferramentas em produção. * Experiência comprovada na integração de ferramentas de segurança no CI/CD em larga escala (modelos de fluxo de trabalho, automação reutilizável, integração via API). * Experiência comprovada na incorporação de ferramentas de segurança desde o início, incluindo levantamento de requisitos, elaboração de documentos RFI/RFP, pontuação de fornecedores, provas de conceito, avaliação, finalização de contratos, planejamento estruturado de adoção e liderança de implantação/migração em escala corporativa. * Boa capacidade de script/codificação (por exemplo, Python, Go ou similares) e familiaridade com conceitos de infraestrutura como código. * Bojo instinto operacional: depuração, resposta a incidentes, gerenciamento de mudanças e redação de manuais de procedimento realmente utilizáveis. * Capacidade de trabalhar entre equipes e influenciar resultados sem deter prioridades de todos. * Capacidade de traduzir conceitos técnicos em opções claras e pragmáticas para partes interessadas seniores, proprietários de produtos e equipes de engenharia. * Hábitos sólidos de documentação: manuais de procedimento, guias de onboarding, arquiteturas de referência e registros de decisões atualizados. ### **Desejáveis** * Experiência na construção ou operação de uma pilha AST ponta a ponta (SAST, DAST, detecção de segredos, SCA, SBOM, sinais em tempo de execução). * Familiaridade com a configuração de segurança do GitHub em escala corporativa (padronização de políticas, automação de onboarding de repositórios, relatórios). * Experiência com incorporação/migração de fornecedores (apoio a RFI/RFP, testes-piloto, implantação faseada). **Como será o sucesso (primeiros 6–12 meses)** ----------------------------------------------------- * A disponibilidade das ferramentas é estável e mensurável (SLOs, dashboards, baixa incidência de indisponibilidade não programada). * O onboarding é repetível e autoatendido, com padrões consistentes entre equipes. * As falhas de varredura e problemas de integração diminuem significativamente devido a melhores padrões e automação. * A incorporação de ferramentas no Q4 é executada em fases controladas, com mínima interrupção e resultados claros de adoção. \#LI\-SS1 A Maersk compromete-se com um local de trabalho diverso e inclusivo, acolhendo diferentes estilos de pensamento. A Maersk é empregador que oferece igualdade de oportunidades e recebe candidaturas independentemente de raça, cor, gênero, sexo, idade, religião, crença, origem nacional, ascendência, cidadania, estado civil, orientação sexual, deficiência física ou mental, condição médica, gravidez ou licença parental, status de veterano, identidade de gênero, informação genética ou qualquer outra característica protegida pela legislação aplicável. Consideraremos candidatos qualificados com antecedentes criminais de maneira compatível com todos os requisitos legais. Estamos felizes em apoiar quaisquer ajustes necessários durante o processo de candidatura e contratação. Se precisar de assistência especial ou adaptação para utilizar nosso site, candidatar-se a uma vaga ou desempenhar uma função, entre em contato conosco enviando um e-mail para accommodationrequests@maersk.com .