Starsza Analityczka / Starszy Analityk / Główna Analityczka / Główny Analityk (audyty i konfiguracja systemów cyberbezpieczeństwa) (k/m/n)
Miejskie Przedsiębiorstwo Wodociągów i Kanalizacji w m. st. Warszawie Spółka Akcyjna
⚲ Warszawa, Śródmieście
Do uzgodnienia
Opis stanowiska
Nasze wymagania:
udokumentowane min. 5- letnie doświadczenie zawodowe w tym min. 3 lata w pracy na podobnym stanowisku
wykształcenie wyższe preferowane z obszaru cyberbezpieczeństwa lub informatyki
zakończone zdanym egzaminem szkolenia z obszaru wykonywania pentestów (CEH, OSCP, GPEN)
wiedza z zakresu technologii sieciowych (mile widziana znajomość systemów analizy ruchu sieciowego, systemów klasy NGFW, znajomość wireshark, nmap),
wiedza i praktyczna znajomość systemów bezpieczeństwa: SIEM, SOAR, EDR, NDR
wiedza i praktyczna narzędzi bezpieczeństwa, w szczególności skanerów podatności,
zdolności w zakresie analizy i samodzielnego rozwiązywania problemów
znajomość języka angielskiego w stopniu umożliwiającym czytanie dokumentacji
gotowość do podjęcia pracy w systemie 2- zmianowym, pon.- pt.
zaświadczenie o niekaralności (podstawa prawna: art. 6d ust. 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (t.j. Dz. U. z 2023 r. poz. 122 z późn. zm.))
Zakres obowiązków:
prowadzenie cyklicznych audytów konfiguracji systemów bezpieczeństwa (firewall, WAF, SIEM, SOAR, EDR, NDR)
prowadzenie testów bezpieczeństwa dla infrastruktury teleinformatycznej Spółki – testy możliwości przełamania zabezpieczeń, testy konfiguracji i ustawień systemów i aplikacji, analiza bezpieczeństwa wdrażanych aplikacji, ocena i optymalizacja zabezpieczeń, przygotowanie zaleceń w zakresie usuwania wykrytych luk bezpieczeństwa i nadzór nad realizacją zaleceń
przygotowywanie i nadzór nad realizację testów bezpieczeństwa w Spółce
opracowywanie i aktualizacja polityk konfiguracyjnych oraz standardów bezpieczeństwa IT
przygotowywanie rekomendacji dla użytkowników i zespołów IT w zakresie bezpiecznych konfiguracji
zapewnienie zgodności z wymaganiami norm (ISO 27001, NIS2, KRI)
analiza zdarzeń i incydentów cyberbezpieczeństwa
współpraca z administratorami sieci / systemów teleinformatycznych w zakresie wyjaśniania incydentów cyberbezpieczeństwa
dostrajanie systemów bezpieczeństwa teleinformatycznego
szacowanie ryzyka i konsekwencji naruszenia bezpieczeństwa informacji, raportowanie wyników przeprowadzonej analizy ryzyka
opracowywanie i aktualizacja wewnętrznych procedur związanych z cyberbezpieczeństwem
udział w prowadzeniu audytów wewnętrznych z obszaru bezpieczeństwa informacji na zgodność z wymaganiami normy ISO/IEC 27001
Oferujemy:
pracę z sensem, ponieważ nasza Spółka wpływa realnie na życie milionów mieszkańców aglomeracji warszawskiej każdego dnia
stabilne zatrudnienie w oparciu o umowę o pracę
wsparcie finansowe szkoleń, studiów oraz w uzyskaniu specjalistycznych uprawnień
prywatną opiekę medyczną (także dla Twoich bliskich), Kartę MultiSport z dofinansowaniem przez pracodawcę oraz grupowe ubezpieczenie na życie
zero nudy po pracy dzięki licznym sekcjom sportowym
dodatkowy czas wolny: 3 godziny dla rodziny (kwartalnie) i dzień wolny na Twoje urodziny
Fundusz Socjalny z dofinansowaniem wypoczynku i innymi formami wsparcia
Oprócz pensji zasadniczej oferujemy:
premię kwartalną uzależnioną od realizacji wyznaczonych celów oraz postawy w pracy ocenianej w ramach systemu ocen pracowniczych
inne dodatki do pensji wynikające z prawa pracy
nagrodę roczną oraz dodatki wynikające z Regulaminu Wynagradzania obowiązującego w naszej Spółce
udokumentowane min. 5- letnie doświadczenie zawodowe w tym min. 3 lata w pracy na podobnym stanowisku
wykształcenie wyższe preferowane z obszaru cyberbezpieczeństwa lub informatyki
zakończone zdanym egzaminem szkolenia z obszaru wykonywania pentestów (CEH, OSCP, GPEN)
wiedza z zakresu technologii sieciowych (mile widziana znajomość systemów analizy ruchu sieciowego, systemów klasy NGFW, znajomość wireshark, nmap),
wiedza i praktyczna znajomość systemów bezpieczeństwa: SIEM, SOAR, EDR, NDR
wiedza i praktyczna narzędzi bezpieczeństwa, w szczególności skanerów podatności,
zdolności w zakresie analizy i samodzielnego rozwiązywania problemów
znajomość języka angielskiego w stopniu umożliwiającym czytanie dokumentacji
gotowość do podjęcia pracy w systemie 2- zmianowym, pon.- pt.
zaświadczenie o niekaralności (podstawa prawna: art. 6d ust. 1 ustawy z dnia 26 kwietnia 2007 r. o zarządzaniu kryzysowym (t.j. Dz. U. z 2023 r. poz. 122 z późn. zm.))
Zakres obowiązków:
prowadzenie cyklicznych audytów konfiguracji systemów bezpieczeństwa (firewall, WAF, SIEM, SOAR, EDR, NDR)
prowadzenie testów bezpieczeństwa dla infrastruktury teleinformatycznej Spółki – testy możliwości przełamania zabezpieczeń, testy konfiguracji i ustawień systemów i aplikacji, analiza bezpieczeństwa wdrażanych aplikacji, ocena i optymalizacja zabezpieczeń, przygotowanie zaleceń w zakresie usuwania wykrytych luk bezpieczeństwa i nadzór nad realizacją zaleceń
przygotowywanie i nadzór nad realizację testów bezpieczeństwa w Spółce
opracowywanie i aktualizacja polityk konfiguracyjnych oraz standardów bezpieczeństwa IT
przygotowywanie rekomendacji dla użytkowników i zespołów IT w zakresie bezpiecznych konfiguracji
zapewnienie zgodności z wymaganiami norm (ISO 27001, NIS2, KRI)
analiza zdarzeń i incydentów cyberbezpieczeństwa
współpraca z administratorami sieci / systemów teleinformatycznych w zakresie wyjaśniania incydentów cyberbezpieczeństwa
dostrajanie systemów bezpieczeństwa teleinformatycznego
szacowanie ryzyka i konsekwencji naruszenia bezpieczeństwa informacji, raportowanie wyników przeprowadzonej analizy ryzyka
opracowywanie i aktualizacja wewnętrznych procedur związanych z cyberbezpieczeństwem
udział w prowadzeniu audytów wewnętrznych z obszaru bezpieczeństwa informacji na zgodność z wymaganiami normy ISO/IEC 27001
Oferujemy:
pracę z sensem, ponieważ nasza Spółka wpływa realnie na życie milionów mieszkańców aglomeracji warszawskiej każdego dnia
stabilne zatrudnienie w oparciu o umowę o pracę
wsparcie finansowe szkoleń, studiów oraz w uzyskaniu specjalistycznych uprawnień
prywatną opiekę medyczną (także dla Twoich bliskich), Kartę MultiSport z dofinansowaniem przez pracodawcę oraz grupowe ubezpieczenie na życie
zero nudy po pracy dzięki licznym sekcjom sportowym
dodatkowy czas wolny: 3 godziny dla rodziny (kwartalnie) i dzień wolny na Twoje urodziny
Fundusz Socjalny z dofinansowaniem wypoczynku i innymi formami wsparcia
Oprócz pensji zasadniczej oferujemy:
premię kwartalną uzależnioną od realizacji wyznaczonych celów oraz postawy w pracy ocenianej w ramach systemu ocen pracowniczych
inne dodatki do pensji wynikające z prawa pracy
nagrodę roczną oraz dodatki wynikające z Regulaminu Wynagradzania obowiązującego w naszej Spółce
🔍 Dekoder Ogłoszenia
🟡
udokumentowane min. 5- letnie doświadczenie zawodowe w tym min. 3 lata w pracy na podobnym stanowisku
Chociaż wymagane jest 5 lat doświadczenia, faktyczne oczekiwania mogą być elastyczne, jeśli kandydat wykaże się odpowiednimi umiejętnościami i wiedzą.
🟡
wykształcenie wyższe preferowane z obszaru cyberbezpieczeństwa lub informatyki
Wykształcenie kierunkowe jest mile widziane, ale nie jest absolutnym wymogiem, co otwiera drzwi dla kandydatów z innych dziedzin, którzy posiadają odpowiednie doświadczenie.
🔴
zakończone zdanym egzaminem szkolenia z obszaru wykonywania pentestów (CEH, OSCP, GPEN)
Posiadanie certyfikatów jest silnie preferowane i może być kluczowe w procesie rekrutacji, nawet jeśli nie jest to formalnie wymagane.
🔴
gotowość do podjęcia pracy w systemie 2- zmianowym, pon.- pt.
Oznacza to, że praca może wymagać pracy w niestandardowych godzinach, w tym wieczorami i potencjalnie w weekendy, jeśli zajdzie taka potrzeba.
🟡
prowadzenie testów bezpieczeństwa dla infrastruktury teleinformatycznej Spółki – testy możliwości przełamania zabezpieczeń, testy konfiguracji i ustawień systemów i aplikacji, analiza bezpieczeństwa wdrażanych aplikacji, ocena i optymalizacja zabezpieczeń, przygotowanie zaleceń w zakresie usuwania wykrytych luk bezpieczeństwa i nadzór nad realizacją zaleceń
Zakres obowiązków jest bardzo szeroki i może obejmować zarówno proaktywne testowanie, jak i reaktywne reagowanie na incydenty oraz zarządzanie całym cyklem życia bezpieczeństwa aplikacji.