Security Consultant

Projekt rozpoczyna się od tzw. Audit 0, którego celem jest: • oszacowanie rzeczywistego nakładu pracy potrzebnego do osiągnięcia zgodności z SOC 1, • identyfikacja potrzeby zaangażowania dodatkowych ról (np. IAM, GCP DevOps). Zakres obowiązków • Tworzenie, mapowanie i dokumentowanie kontroli operacyjnych, technicznych i organizacyjnych zgodnych z SOC 1 (Type I & Type II) • Interpretacja i walidacja dowodów audytowych, w tym okien obserwacyjnych dla SOC 1 Type II • Prowadzenie zespołów technicznych przez proces analizy luk (gap assessment) i ich remediacji • Koordynacja pracy zespołów: Security Architects, DevOps, CloudOps • Nadzór nad wdrażaniem kontroli bezpieczeństwa, w tym:• logowanie • backupy • hardening • zarządzanie dostępami • procesy CI/CD i zmiany produkcyjne • Projektowanie i walidacja architektury bezpieczeństwa w chmurze zgodnej z SOC 1: • zasada najmniejszych uprawnień (least privilege) • separacja środowisk • zapewnienie dowodów operacyjnych • Wsparcie zespołów DevOps/CloudOps w zakresie: • IAM • monitoringu • retencji logów • alertowania • zarządzania zmianą i incydentami • Przygotowanie kompletnej dokumentacji audytowej: • polityki • procedury • dowody • checklisty techniczne • runbooki • Przygotowanie zespołów do spotkań audytowych (walkthroughs) • Reprezentowanie zespołu podczas audytu (w tym sesje Q&A) • Realizacja pełnego procesu SOC 1 end-to-end: Wymagania • Ekspercka znajomość standardu SOC 1 (Type I & Type II) • Bardzo dobra znajomość kontroli ICFR oraz ich implementacji w systemach IT • Praktyczne doświadczenie w projektowaniu bezpieczeństwa w chmurze • Doświadczenie w środowiskach startup / scale-up • Podejście pragmatyczne, nastawione na automatyzację • Umiejętność minimalizacji narzutu operacyjnego przy zachowaniu wymogów audytowych