[base] SE III

Contribuição

A capacidade de contribuição da pessoa SE III consiste em atuar em problemas/tarefas sem escopos bem definidos, tendo capacidade de gerir suas próprias atividades a partir das necessidades do negócio, sem esperar que as demandas venham até ele/ela. Possui mais autonomia em seu dia-a-dia e já não precisa de acompanhamento para tomar decisões acerca de detalhes dos seus projetos. Além de utilizar sua influência para ajudar a equipe, destravando impedimentos e entregando melhorias com frequência.

A pessoa:

  • Atua em problemas com escopo aberto ou pouco definido;
  • Trabalha principalmente com sua equipe direta e com times de áreas cross, visando a colaboração entre todos envolvidos para o seu projeto;
  • Tem autonomia em seu dia a dia e já não precisa de acompanhamento para tomar decisões acerca de detalhes da solução;
  • Contribui com as decisões técnicas do time
  • Faz parte do processo de criação da solução;
  • Contribuir para a evolução técnica de pessoas juniores.

Principais Desafios 📎
  • Propor melhorias e críticas para os processos/atividades.
  • Solicitar ajuda ou direcionar os problemas da área para pares ou líderes.
  • Colaborar com objetivos da área e corporativos.
  • Buscar a melhoria contínua com orientação a automações.
  • Implementar soluções inovadoras.
  • Gerenciar suas atividades/projetos e a forma de executá-las.

Proficiência Técnica 🏆

Geral
  • Conhecimento intermediário de ISO 27001.
  • Conhecimento intermediário em Arquitetura de Softwares.
  • Conhecimento intermediário em Pacote Office.
  • Capacidade intermediária de realizar pesquisas.
  • Conhecimento intermediário da Metodologia ITIL e Cobit.
  • Conhecimento intermediário em metodologias ágeis.
  • Conhecimento sobre os produtos Stone Co.
  • Conhecimento intermediário das métricas da operação.
RedTeam / BlueTeam
  • Conhecimento aprofundado dos temas em que atua/atuou.
  • Conhecimento intermediário/avançado de ferramentas de produtividade (Editor de texto, planilhas eletrônicas e apresentação).
  • Capacidade de analisar dados para tomada de decisão.
  • Experiência com gestão por processos (utilização de ferramentas de qualidade PDCA/ GUT e etc).
  • Experiência e/ou certificação com frameworks de governança de TI (Cobit, ITIL, ISO, etc).
  • Experiência com frameworks de gestão de projetos (SCRUM, PMI, IPMA, etc).
  • Conhecimento dos princípios de segurança cibernética e privacidade e requisitos organizacionais (relevantes para confidencialidade, integridade, disponibilidade, autenticação, legalidade).
  • Conhecimento intermediário em soluções de virtualização e contêineres (NSX, VDI, SDDC).
  • Conhecimento do programa de classificação de informações de uma organização e procedimentos para comprometimento de informações.
  • Conhecimento básico de criptografia.
  • Compreensão de documentos RFC (Request for Comments) publicados pelo IETF (Internet Engineering Task Force).
  • Compreensão básica das certificações de conformidade como SOX, PCI e BACEN, NIST, LGPD.
  • Conhecimento intermediário sobre ISO 27k, ITIL, FIPS 140-2, CWE, CVSS, CVE, MITRE ATT&CK, EDR, MDR.
  • Conhecimento intermediário em servidores Linux (Kernel, Hardening de serviços, automação de processos, NGINX, BIND, SAMBA, IPTABLES).
  • Conhecimento em servidores Windows (Active Directory, IIS, DNS, SSL/TLS, WSUS, hardening de serviços).
  • Conhecimento intermediário das plataformas de Cloud como AWS, Azure, GCP.
  • Compreensão dos serviços de Cloud SaaS, IaaS, Paa, DaaS, CaaS, FaaS.
  • Conhecimento intermediário das soluções de IDS/IPS, Firewall, Web Gateway, E-mail Gateway, Anti-malware, Proxy, HIDS/HIPS, NIDS.
  • Conhecimento em segurança de aplicações criando regras de detecção e mitigação de incidentes no WAF.
  • Capacidade de analisar e criar regras de firewall.
  • Capacidade de interpretar logs e relacioná-los.
  • Capacidade de analisar, identificar e tratar incidentes de segurança da informação
  • Conhecimento básico de Ferramentas OSINT.
  • Conhecimento intermediário de plataforma de BugBounty.
BlueTeam
  • Conhecimento da continuidade dos negócios e da recuperação de desastres baseada em planos operacionais.
  • Conhecimento intermediário de redes e protocolos OSPF, MPLS, IPsec, BGP, IPv6, 80211, L2TP, NTP, IGMP.
  • Conhecimento intermediário do serviço de DNS (DMARC, SPF, DKIM).
  • Conhecimento intermediário de Antivírus (DLP, C&C, HoneyPot).
  • Conhecimento em programação e desenvolvimento (Golang, Ansible, Terraform, Python).
SOC
  • Conhecimento intermediário de redes e protocolos OSPF, MPLS, IPsec, BGP, IPv6, 802.11, L2TP, NTP, IGMP;
  • Conhecimento básico de criptografia;
  • Compreensão de documentos RFC (Request for Comments) publicados pelo IETF (Internet Engineering Task Force);
  • Compreensão básico das certificações de conformidade como SOX, PCI e BACEN, NIST, LGPD;
  • Conhecimento intermediário sobre ISO 27k, ITIL, FIPS 140-2, CWE, CVSS, CVE, MITRE ATT&CK, EDR, MDR;
  • Conhecimento intermediário em servidores Linux (Kernel, Hardening de serviços, automação de processos, NGINX, BIND, SAMBA, IPTABLES);
  • Conhecimento em servidores Windows (Active Directory, IIS, DNS, SSL/TLS, WSUS, hardening de serviços);
  • Conhecimento intermediária do serviço de DNS (DMARC, SPF, DKIM);
  • Conhecimento intermediário em soluções de virtualização e contêineres (NSX, VDI, SDDC);
  • Conhecimento intermediário de Antivírus (DLP, C&C, sandboxing);
  • Conhecimento em programação e desenvolvimento (C, C#, Golang, Ansible, Puppet, PHP, JAVA, RUBY, PERL);
  • Conhecimento intermediário das plataformas de Cloud como AWS, Azure, GCP;
  • Compreensão dos serviços de Cloud SaaS, IaaS, Paa, DaaS, CaaS, FaaS;
  • Conhecimento intermediário das soluções de IDS/IPS, Firewall, Web Gateway, E-mail Gateway, Anti-malware, Proxy, HIDS, NIDS;
  • Conhecimento em segurança de aplicações criando regras de detecção e mitigação de incidentes no WAF;
  • Análise e aprovação de regras de firewall;
  • Capacidade de interpretar logs e correlacioná-los;
  • Capacidade de analisar, identificar e tratar incidentes de segurança da informação.
DevSecOps
  • Revisão estática de código (Secure Code Review) manual e automatizado, utilizando ferramentas aprovadas, em linguagens como (porém não se atendo a): C#, Go, Python, Javascript e Elixir;
  • Realizar análise dinâmica de aplicações utilizando ferramentas como o Burp Suite;
  • Análise de risco arquitetural, visando identificar a aplicação de padrões de ataque conhecidos no modelo de arquitetura proposto;
  • Noções de teste de invasão em API’s, aplicações web e mobile;
  • Conhecimento de como executar provas de conceito sobre vulnerabilidades encontradas;
  • Conhecimento em sistema de gestão de vulnerabilidade e de critérios como: triagem, gravidade, correção e SLA;
  • Elaboração de documentação de segurança como: casos de abuso e requisitos de segurança;
  • Elaboração de guidelines de segurança em desenvolvimento;
  • Elaboração de treinamentos técnicos para nossa plataforma interna;
  • Conhecimento em tópicos de segurança e tecnologias, como exemplo: HTTP, SSL/TLS, WAF, REST, SOAP, Criptografia, JWT, POS, NFC, 2FA e TOTP;
  • Conhecimento das vulnerabilidades mais comuns (OWASP TOP 10);
  • Noções de regulamentações como: PCI-DSS e LGPD;
  • Conhecimento da metodologia de desenvolvimento seguro OWASP SAMM;
  • Auxiliar no desenvolvimento de automações, ferramentas e funcionalidades de segurança;
Governança
  • Capacidade de definir, gerir e publicar indicadores de TI: Key Performance Indicators (KPIs) e Objective and Key Results (OKRs).
  • Capacidade de acelerar a adoção de melhores práticas de mercado, tais como: COBIT, ITIL, PMBoK, BPMN, Lean 6 Sigma, etc.
  • Capacidade de refinar, manter atualizadas e garantir ciclos de melhoria contínua para as políticas e procedimentos de Tecnologia.
Threat Intel
  • Conhecimento intermediário sobre ISO 27k, ITIL, NIST, Cyber Kill Chain, MITRE ATT&CK, CWE, CVSS, CVE.
  • Conhecimento em programação e desenvolvimento (Python, Java e/ou Go).
  • Compreensão dos serviços de Cloud SaaS, IaaS, PaaS, DaaS, CaaS, FaaS.
  • Conhecimento intermediário das soluções de IDS/IPS, Firewall, Web Gateway, E-mail Gateway, Anti-malware, Proxy, HIDS/HIPS, DLP(CASB), Anti-Virus.
  • Conhecimento em segurança de aplicações criando regras de detecção e mitigação de incidentes no WAF.
  • Análise e aprovação de regras de firewall.
  • Capacidade de interpretar logs e relacioná-los.
  • Capacidade de analisar, identificar e tratar incidentes de segurança da informação.
  • Conhecimento em Threat Intelligence e OSINT.
IAM
  • Capacidade de buscar e acompanhar, permanentemente, a evolução tecnológica no que tange às melhores alternativas de gestão de acessos e riscos SoD para atendimento das necessidades da Empresa.
  • Capacidade de avaliar e auxiliar a mitigar os riscos de SoD.
  • Capacidade de realizar avaliações e diligências de gestão de identidades.
  • Capacidade de mapear e desenhar processos, elaborar políticas e procedimentos.
  • Capacidade e conhecimento em revisão de acessos e perfis (RBAC).
  • Desenvoltura para se relacionar com diversas equipes, dentro e fora da empresa.
Cyber Risk
  • Conhecimento de Ferramentas OSINT.
  • Conhecimento intermediário em Excel/Sheets (PROCV, Tabela e Gráfico Dinâmico, principais fórmulas).
  • Conhecimento em Linguagem SQL (Ler e construir queries).
  • Conhecimento básico em Splunk/Kibana/Coletor de Logs** (Ler logs e queries, montar queries de pesquisa).
  • Conhecimento de Risco Corporativo (conhecimento de mercado financeiro, regras de negócio).
  • Conhecimento de Threat Intelligence.

SoftSkills ⭐

Competência Comportamento
Resolução de Problemas
  • Entende o problema, procura referências, busca aprendizados e testa possíveis soluções. Caso necessário, pede ajuda.
  • Chega em novas possibilidades e respostas com profundidade, posiciona seus argumentos, visões baseando-se em dados e fatos, influenciando o time a chegar em uma solução.
  • Mede impacto versus investimento para priorizar suas atividades e tomar decisões acerca de como resolver um problema com senso de urgência
Adaptabilidade
  • É uma pessoa aberta a mudanças e adapta seu trabalho quando as circunstâncias mudam, encarando novos desafios como oportunidades de aprendizado.
  • Consegue navegar em situações ambíguas, mantendo-se resiliente diante de adversidades. Atua de forma a nortear e mobilizar o time para que as transformações aconteçam
Comunicação
  • Adéqua informações complexas para se relacionar com diferentes áreas/pessoas a fim de resolver os problemas que encontra
  • Comunica-se de forma assertiva e respeitosa. Pratica a escuta ativa e faz perguntas a fim de entender o contexto, problema e necessidades apresentadas e/ou aprender outras visões sobre um mesmo tema, assim, construindo soluções em parceria
  • Dá visibilidade do trabalho e dos resultados do time aos pares e stakeholders, garantindo alinhamento
Desenvolvimento Contínuo
  • Conversa com a sua liderança sobre objetivos e aspirações de carreira, procurando oportunidades de aprendizado e crescimento.
  • Absorve e pede proativamente por sugestões e feedbacks para seus pares e lideranças. Entende seus pontos fortes e oportunidades de desenvolvimento, agindo ativamente em seu desenvolvimento. Além de oferecer inputs e suporte para que as demais pessoas do time se desenvolvam.
  • Busca aprender e seguir as boas práticas da sua área de atuação e sobre o mercado de meios de pagamento. Compartilha seus conhecimentos e aprendizados com o time, usa o que aprende para solucionar os problemas que enfrenta

Cultura 💚

Pilar Comportamento
Team Play
  • Entende que a força do time é maior do que a individual - considerando seus pares e demais líderes/times.
  • Dá crédito aos demais por suas contribuições e realizações.
  • Têm interesse genuíno no desenvolvimento e nas relações do seu time. Cria relações de confiança e segurança emocional.
  • Sabe que só existe crescimento com sucessão.
The Reason
  • Demonstra percepção das necessidades dos clientes.
  • Identifica oportunidades que beneficiam os clientes.
  • Cria e fornece soluções que atendem às expectativas dos clientes
  • Coloca o cliente no centro. Entende que o nosso sucesso é a consequência do sucesso dos nossos clientes.
  • Deixa o ego e as discordâncias de lado para tomar as melhores decisões pelos nossos clientes.
Live the Ride
  • Lida de forma confortável com incertezas da mudança.
  • Mantém calma sob pressão e encara os desafios com motivação e otimismo.
  • É resiliente. Acorda todos os dias com energia para encarar seus desafios.
  • Tem interesse em aprender e evoluir de forma genuína.
  • Preza pela excelência e qualidade, sempre buscando o melhor resultado.
No Bullshit
  • Ouve o outro com atenção, fala com franqueza e trata as pessoas com respeito.
  • Fornece feedback direto e capaz de mobilizar, contribui com sua opinião e comentários construtivos.
  • É humilde em reconhecer quando erra, é aberto a criticas e aprende com as experiências.
  • Luta pelo certo e age com integridade. Demonstra altos padrões de honestidade.
Own It
  • Age com claro senso de responsabilidade, acompanha os compromissos e certifica-se que as outras pessoas façam o mesmo.
  • Estimula a si próprio e outras pessoas para obter resultados.
  • Transforma potencial em potência, fazendo as coisas acontecerem com diligência, disciplina e profundidade.