[base] SE II

Contribuição

A capacidade de contribuição da pessoa SE II consiste em prezar pela excelência na execução de suas atividades, sendo responsável por inúmeros processos que sustentam a operação e trabalhando em problemas e escopos bem definidos, que tenham um esboço da solução já desenhada. Está aprendendo sobre os fluxos e processos e toma decisões com orientação da liderança ou pares. Além disso, trabalha otimizando processos, propondo melhorias e críticas nas atividades e endereçando os assuntos de sua área para a resolução de problemas, com o objetivo de atingir a máxima entrega de valor.

A pessoa:

  • Atua em problemas e escopos bem definidos, que tenham um esboço da solução já desenhada;
  • Trabalha principalmente no âmbito de sua equipe com apoio de pessoas mais experientes de seu time;
  • O foco do trabalho é aumentar seu conhecimento, ganhando mais confiança e segurança nas suas atividades.

Principais Desafios 📎

IAM
  • Garante que todo o colaborador possua acessos a aplicações e infraestrutura que sejam condizentes com a atividade básica e que, quando for necessário um acesso específico, seja feito um fluxo de solicitação contemplando alçada de aprovação para que seja mensurado o risco de acesso e vazamento de dados. Além de estabelecer um ciclo de vida da identidade do colaborador, bem como de seus acessos, obedecendo critérios trabalhistas, de auditoria e segurança.
RedTeam / BlueTeam
  • Identificar, Gerenciar, Analisar, Monitorar e Estabelecer os planos de contenção de Riscos Operacionais em que a Stone pode estar envolvida, utilizando os processos de melhores práticas de Segurança da Informação, tanto em desenvolvimento, aplicação e infraestrutura.
Threat Intel
  • Prevenir, Identificar, Analisar e Tratar todas as anomalias e possíveis riscos operacionais que a empresa possa enfrentar, com foco em Segurança da Informação. Ser a equipe de Inteligência em resposta a incidentes e ameaças capaz de evitar todo e qualquer impacto gerado por ameaças ou incidentes de segurança da informação, mitigando os riscos do negócio.
Governança
  • Alinhar os objetivos e estratégias da segurança da informação com os objetivos e estratégias do negócio. Garantir que os riscos estejam devidamente resolvidos. Estabelecer a segurança da informação em toda a organização. Adotar uma abordagem baseada em riscos. Estabelecer a direção de decisões de investimento. Assegurar conformidade com os requisitos internos e externos.
Cyber Risk
  • Garantir que os processos operacionais e tecnológicos da equipe de Cyber Risk estão de acordo com as normas e políticas de segurança da informação, monitorar e acompanhar o fluxo transacional de forma que se evite qualquer tipo de dano financeiro para clientes e danos à imagem da organização. Implementar novas soluções e alertas que garantam uma maior segurança na operação transacional da organização e clientes parceiros.
SOC
  • Atuar no tratamento dos incidentes de segurança da informação realizando um processo que se inicia na preparação, detecção e análise, posteriormente executamos a contenção, mitigação e recuperação de determinado incidente.Efetuar análise após o incidente e fornecer as melhorias adequadas para elevar o nível de maturidade de nossa companhia.
DevSecOps
  • Garantir a inclusão de práticas de segurança em etapas do ciclo de desenvolvimento de software, como exemplo: revisão de código, análise dinâmica de aplicações e análise de risco arquitetural, com o intuito de criarmos aplicações mais seguras, realizarmos a detecção precoce de falhas e a prevenção ou redução de danos causados por ataques cibernéticos.

Proficiência Técnica 🏆

Geral
  • Capacidade intermediária de realizar pesquisas.
RedTeam / BlueTeam
  • Conhecimento intermediário de ferramentas de produtividade (Editor de texto, planilhas eletrônicas e apresentação).
  • Capacidade de mapear processos e utilizar ferramentas de qualidade para propor melhorias (PDCA / GUT e etc).
  • Familiaridade com frameworks de governança de TI (Cobit, ITIL, ISO 20.000, etc).
  • Conhecimento básico dos recursos e aplicabilidade de equipamentos de rede, incluindo roteadores, switches, pontes, servidores, mídia de transmissão e hardwares relacionados.
  • Conhecimento de conceitos básicos de criptografia.
  • Conhecimento de conceitos básicos de backup e recuperação de dados.
  • Conhecimento de sistemas de banco de dados.
  • Compreensão de documentos RFC (Request for Comments) publicados pelo IETF (Internet Engineering Task Force).
  • Compreensão básica do funcionamento do serviço de DNS.
  • Conhecimento básico em servidores Linux (systemd, SSH, serviços Apache/Nginx).
  • Conhecimento básico em soluções de virtualização e container (HyperV, VMware, Vbox, Docker, LXC).
  • Conhecimento básico em bancos de dados (comandos SQL e serviços).
  • Capacidade de utilizar ferramentas de monitoramento (Datadog, Grafana e Kibana).
  • Conhecimento básico em programação e desenvolvimento (Bash, Powershell, Python, JSON, XML, YAML).
  • Entender a funcionalidade básica de soluções de segurança como IDS/IPS (NIDS, HIPS), Firewall, Web Gateway, E-mail, Gateway, WAF, Antimalware.
  • Conhecer de forma básica os tipos de ataques (port scan, DDoS, brute force, phishing, XSS, CSRF, Code Injection)
BlueTeam
  • Capacidade de analisar e implementar patches de segurança nos sistemas operacionais Windows, Linux e Macintosh.
  • Conhecimento básico de Endpoint protector.
RedTeam
  • Conhecimento básico de redes e protocolos TCP/IP, UDP, SMTP, ICMP, POP, IMAPS, SNMP, NTP, DHCP, TELNET, FTP, HTTP, SSH, RDP, SMB.
SOC
  • Conhecimento de básico de redes e protocolos TCP/IP, UDP, SMTP, ICMP, POP, IMAPS, SNMP, NTP, DHCP, TELNET, FTP, HTTP, SSH, RDP, SMB;
  • Compreensão de documentos RFC (Request for Comments) publicados pelo IETF (Internet Engineering Task Force);
  • Compreensão básica do funcionamento do serviço de DNS;
  • Conhecimento básico em servidores Linux (systemd, SSH, serviços Apache/Nginx);
  • Conhecimento básico em servidores Windows (serviços, registro, log de eventos);
  • Conhecimento básico em soluções de virtualização e container (HyperV, VMware, Vbox, Docker, LXC);
  • Conhecimento básico em bancos de dados (comandos SQL e serviços);
  • Análise e implementação de patches de segurança nos sistemas operacionais Windows, Linux e Macintosh;
  • Conhecimento básico de Antivírus Endpoint;
  • Utilização de ferramentas de monitoramento (Zabbix, Grafana e Kibana);
  • Conhecimento básico em programação e desenvolvimento (Bash, Powershell, Python, JSON, XML, YAML);
  • Entender a funcionalidade básica de soluções de segurança como IDS/IPS (NIDS, HIPS), Firewall, Web Gateway, E-mail Gateway, WAF, Anti-malware;
  • Conhecer de forma básica os tipos de ataques (port scan, DDoS, brute force, phishing, XSS, CSRF, Code Injection);
  • Capacidade de interpretar logs e relacioná-los;
  • Capacidade de analisar, identificar e tratar incidentes de segurança da informação.
DevSecOps
  • Revisão estática de código (Secure Code Review) manual e automatizado, utilizando ferramentas aprovadas, em linguagens como (porém não se atendo a): C#, Go, Python, Javascript até Elixir;
  • Realizar análise dinâmica de aplicações utilizando ferramentas como o Burp Suite;
  • Conhecimento de como executar provas de conceito sobre vulnerabilidades encontradas;
  • Conhecimento em sistema de gestão de vulnerabilidade e de critérios como: triagem, gravidade, correção e SLA;
  • Conhecimento em tópicos de segurança e tecnologias, como exemplo: HTTP, SSL/TLS, WAF, REST, SOAP, Criptografia, JWT, POS, NFC, 2FA e TOTP;
  • Conhecimento das vulnerabilidades mais comuns (OWASP TOP 10);
  • Noções de regulamentações como: PCI-DSS e LGPD;
  • Conhecimento da metodologia de desenvolvimento seguro OWASP SAMM;
  • Auxiliar no desenvolvimento de automações, ferramentas e funcionalidades de segurança;
Governança
  • Compreensão básica das certificações de conformidade como SOX, PCI, BACEN, LGPD.
  • Familiarização com frameworks de segurança como CIS Controls, CIS.
  • Conhecimento intermediário da Metodologia ITIL e Cobit.
IAM
  • Conhecimento básico em ISO 27001;
  • Conhecimento básico em LDAP;
  • Conhecimento básico em Active Directory;
  • Conhecimento intermediário da Metodologia ITIL e Cobit.
Threat Intel
  • Conhecimento básico de redes e protocolos TCP/IP.
  • Compreensão básica do funcionamento do serviço de DNS.
  • Conhecimento básico em servidores Windows/Linux
  • Conhecer de forma básica os tipos de ataques (port scan, DDoS, brute force, phishing, XSS, CSRF, Code Injection).
  • Entender a funcionalidade básica de soluções de segurança como Firewall, Web Gateway, Email Gateway, WAF, Anti-Vírus.
  • Capacidade de analisar, identificar e tratar incidentes de segurança da informação.
Cyber Risk
  • Conhecimento básico de Ferramentas OSINT.
  • Conhecimento intermediário em Excel/Sheets (PROCV, Tabela e Gráfico Dinâmico, principais fórmulas).
  • Conhecimento de Risco Corporativo (conhecimento de mercado financeiro, regras de negócio e operação).

SoftSkills ⭐

Competência Comportamento
Resolução de Problemas
  • Entende o problema, procura referências, busca aprendizados e testa possíveis soluções. Caso necessário, pede ajuda.
Adaptabilidade
  • É uma pessoa aberta a mudanças e adapta seu trabalho quando as circunstâncias mudam, encarando novos desafios como oportunidades de aprendizado.
Comunicação
  • Comunica-se de forma assertiva e respeitosa. Pratica a escuta ativa e faz perguntas a fim de entender o contexto, problema e necessidades apresentadas e/ou aprender outras visões sobre um mesmo tema, assim, construindo soluções em parceria.
  • Dá visibilidade do trabalho e dos resultados do time aos pares e stakeholders, garantindo alinhamento
Desenvolvimento Contínuo
  • Conversa com a sua liderança sobre objetivos e aspirações de carreira, procurando oportunidades de aprendizado e crescimento.
  • Absorve e pede proativamente por sugestões e feedbacks para seus pares e lideranças. Entende seus pontos fortes e oportunidades de desenvolvimento, agindo ativamente em seu desenvolvimento. Além de oferecer inputs e suporte para que as demais pessoas do time se desenvolvam.
  • Busca aprender e seguir as boas práticas da sua área de atuação e sobre o mercado de meios de pagamento. Compartilha seus conhecimentos e aprendizados com o time, usa o que aprende para solucionar os problemas que enfrenta

Cultura 💚

Pilar Comportamento
Team Play
  • Entende que a força do time é maior do que a individual - considerando seus pares e demais líderes/times.
  • Dá crédito aos demais por suas contribuições e realizações.
  • Têm interesse genuíno no desenvolvimento e nas relações do seu time. Cria relações de confiança e segurança emocional.
  • Sabe que só existe crescimento com sucessão.
The Reason
  • Demonstra percepção das necessidades dos clientes.
  • Identifica oportunidades que beneficiam os clientes.
  • Cria e fornece soluções que atendem às expectativas dos clientes
  • Coloca o cliente no centro. Entende que o nosso sucesso é a consequência do sucesso dos nossos clientes.
  • Deixa o ego e as discordâncias de lado para tomar as melhores decisões pelos nossos clientes.
Live the Ride
  • Lida de forma confortável com incertezas da mudança.
  • Mantém calma sob pressão e encara os desafios com motivação e otimismo.
  • É resiliente. Acorda todos os dias com energia para encarar seus desafios.
  • Tem interesse em aprender e evoluir de forma genuína.
  • Preza pela excelência e qualidade, sempre buscando o melhor resultado.
No Bullshit
  • Ouve o outro com atenção, fala com franqueza e trata as pessoas com respeito.
  • Fornece feedback direto e capaz de mobilizar, contribui com sua opinião e comentários construtivos.
  • É humilde em reconhecer quando erra, é aberto a criticas e aprende com as experiências.
  • Luta pelo certo e age com integridade. Demonstra altos padrões de honestidade.
Own It
  • Age com claro senso de responsabilidade, acompanha os compromissos e certifica-se que as outras pessoas façam o mesmo.
  • Estimula a si próprio e outras pessoas para obter resultados.
  • Transforma potencial em potência, fazendo as coisas acontecerem com diligência, disciplina e profundidade.