[base] SE III

Contribuição

A capacidade de contribuição da pessoa SE III consiste em atuar em problemas/tarefas sem escopos bem definidos, tendo capacidade de gerir suas próprias atividades a partir das necessidades do negócio, sem esperar que as demandas venham até ele/ela. Possui mais autonomia em seu dia-a-dia e já não precisa de acompanhamento para tomar decisões acerca de detalhes dos seus projetos. Além de utilizar sua influência para ajudar a equipe, destravando impedimentos e entregando melhorias com frequência.

A pessoa:

  • Atua em problemas com escopo aberto ou pouco definido;
  • Trabalha principalmente com sua equipe direta e com times de áreas cross, visando a colaboração entre todos envolvidos para o seu projeto;
  • Tem autonomia em seu dia a dia e já não precisa de acompanhamento para tomar decisões acerca de detalhes da solução;
  • Contribui com as decisões técnicas do time
  • Faz parte do processo de criação da solução;
  • Contribuir para a evolução técnica de pessoas juniores.

Principais Desafios 📎
  • Propor melhorias e críticas para os processos/atividades.
  • Solicitar ajuda ou direcionar os problemas da área para pares ou líderes.
  • Colaborar com objetivos da área e corporativos.
  • Buscar a melhoria contínua com orientação a automações.
  • Implementar soluções inovadoras.
  • Gerenciar suas atividades/projetos e a forma de executá-las.

Proficiência Técnica 🏆

Geral
  • Conhecimento intermediário de ISO 27001.
  • Conhecimento intermediário em Arquitetura de Softwares.
  • Conhecimento intermediário em Pacote Office.
  • Capacidade intermediária de realizar pesquisas.
  • Conhecimento intermediário da Metodologia ITIL e Cobit.
  • Conhecimento intermediário em metodologias ágeis.
  • Conhecimento sobre os produtos Stone Co.
  • Conhecimento intermediário das métricas da operação.
RedTeam / BlueTeam
  • Conhecimento aprofundado dos temas em que atua/atuou.
  • Conhecimento intermediário/avançado de ferramentas de produtividade (Editor de texto, planilhas eletrônicas e apresentação).
  • Capacidade de analisar dados para tomada de decisão.
  • Experiência com gestão por processos (utilização de ferramentas de qualidade PDCA/ GUT e etc).
  • Experiência e/ou certificação com frameworks de governança de TI (Cobit, ITIL, ISO, etc).
  • Experiência com frameworks de gestão de projetos (SCRUM, PMI, IPMA, etc).
  • Conhecimento dos princípios de segurança cibernética e privacidade e requisitos organizacionais (relevantes para confidencialidade, integridade, disponibilidade, autenticação, legalidade).
  • Conhecimento intermediário em soluções de virtualização e contêineres (NSX, VDI, SDDC).
  • Conhecimento do programa de classificação de informações de uma organização e procedimentos para comprometimento de informações.
  • Conhecimento básico de criptografia.
  • Compreensão de documentos RFC (Request for Comments) publicados pelo IETF (Internet Engineering Task Force).
  • Compreensão básica das certificações de conformidade como SOX, PCI e BACEN, NIST, LGPD.
  • Conhecimento intermediário sobre ISO 27k, ITIL, FIPS 140-2, CWE, CVSS, CVE, MITRE ATT&CK, EDR, MDR.
  • Conhecimento intermediário em servidores Linux (Kernel, Hardening de serviços, automação de processos, NGINX, BIND, SAMBA, IPTABLES).
  • Conhecimento em servidores Windows (Active Directory, IIS, DNS, SSL/TLS, WSUS, hardening de serviços).
  • Conhecimento intermediário das plataformas de Cloud como AWS, Azure, GCP.
  • Compreensão dos serviços de Cloud SaaS, IaaS, Paa, DaaS, CaaS, FaaS.
  • Conhecimento intermediário das soluções de IDS/IPS, Firewall, Web Gateway, E-mail Gateway, Anti-malware, Proxy, HIDS/HIPS, NIDS.
  • Conhecimento em segurança de aplicações criando regras de detecção e mitigação de incidentes no WAF.
  • Capacidade de analisar e criar regras de firewall.
  • Capacidade de interpretar logs e relacioná-los.
  • Capacidade de analisar, identificar e tratar incidentes de segurança da informação
  • Conhecimento básico de Ferramentas OSINT.
  • Conhecimento intermediário de plataforma de BugBounty.
BlueTeam
  • Conhecimento da continuidade dos negócios e da recuperação de desastres baseada em planos operacionais.
  • Conhecimento intermediário de redes e protocolos OSPF, MPLS, IPsec, BGP, IPv6, 80211, L2TP, NTP, IGMP.
  • Conhecimento intermediário do serviço de DNS (DMARC, SPF, DKIM).
  • Conhecimento intermediário de Antivírus (DLP, C&C, HoneyPot).
  • Conhecimento em programação e desenvolvimento (Golang, Ansible, Terraform, Python).
SOC
  • Conhecimento intermediário de redes e protocolos OSPF, MPLS, IPsec, BGP, IPv6, 802.11, L2TP, NTP, IGMP;
  • Conhecimento básico de criptografia;
  • Compreensão de documentos RFC (Request for Comments) publicados pelo IETF (Internet Engineering Task Force);
  • Compreensão básico das certificações de conformidade como SOX, PCI e BACEN, NIST, LGPD;
  • Conhecimento intermediário sobre ISO 27k, ITIL, FIPS 140-2, CWE, CVSS, CVE, MITRE ATT&CK, EDR, MDR;
  • Conhecimento intermediário em servidores Linux (Kernel, Hardening de serviços, automação de processos, NGINX, BIND, SAMBA, IPTABLES);
  • Conhecimento em servidores Windows (Active Directory, IIS, DNS, SSL/TLS, WSUS, hardening de serviços);
  • Conhecimento intermediária do serviço de DNS (DMARC, SPF, DKIM);
  • Conhecimento intermediário em soluções de virtualização e contêineres (NSX, VDI, SDDC);
  • Conhecimento intermediário de Antivírus (DLP, C&C, sandboxing);
  • Conhecimento em programação e desenvolvimento (C, C#, Golang, Ansible, Puppet, PHP, JAVA, RUBY, PERL);
  • Conhecimento intermediário das plataformas de Cloud como AWS, Azure, GCP;
  • Compreensão dos serviços de Cloud SaaS, IaaS, Paa, DaaS, CaaS, FaaS;
  • Conhecimento intermediário das soluções de IDS/IPS, Firewall, Web Gateway, E-mail Gateway, Anti-malware, Proxy, HIDS, NIDS;
  • Conhecimento em segurança de aplicações criando regras de detecção e mitigação de incidentes no WAF;
  • Análise e aprovação de regras de firewall;
  • Capacidade de interpretar logs e correlacioná-los;
  • Capacidade de analisar, identificar e tratar incidentes de segurança da informação.
DevSecOps
  • Revisão estática de código (Secure Code Review) manual e automatizado, utilizando ferramentas aprovadas, em linguagens como (porém não se atendo a): C#, Go, Python, Javascript e Elixir;
  • Realizar análise dinâmica de aplicações utilizando ferramentas como o Burp Suite;
  • Análise de risco arquitetural, visando identificar a aplicação de padrões de ataque conhecidos no modelo de arquitetura proposto;
  • Noções de teste de invasão em API’s, aplicações web e mobile;
  • Conhecimento de como executar provas de conceito sobre vulnerabilidades encontradas;
  • Conhecimento em sistema de gestão de vulnerabilidade e de critérios como: triagem, gravidade, correção e SLA;
  • Elaboração de documentação de segurança como: casos de abuso e requisitos de segurança;
  • Elaboração de guidelines de segurança em desenvolvimento;
  • Elaboração de treinamentos técnicos para nossa plataforma interna;
  • Conhecimento em tópicos de segurança e tecnologias, como exemplo: HTTP, SSL/TLS, WAF, REST, SOAP, Criptografia, JWT, POS, NFC, 2FA e TOTP;
  • Conhecimento das vulnerabilidades mais comuns (OWASP TOP 10);
  • Noções de regulamentações como: PCI-DSS e LGPD;
  • Conhecimento da metodologia de desenvolvimento seguro OWASP SAMM;
  • Auxiliar no desenvolvimento de automações, ferramentas e funcionalidades de segurança;
Governança
  • Capacidade de definir, gerir e publicar indicadores de TI: Key Performance Indicators (KPIs) e Objective and Key Results (OKRs).
  • Capacidade de acelerar a adoção de melhores práticas de mercado, tais como: COBIT, ITIL, PMBoK, BPMN, Lean 6 Sigma, etc.
  • Capacidade de refinar, manter atualizadas e garantir ciclos de melhoria contínua para as políticas e procedimentos de Tecnologia.
Threat Intel
  • Conhecimento intermediário sobre ISO 27k, ITIL, NIST, Cyber Kill Chain, MITRE ATT&CK, CWE, CVSS, CVE.
  • Conhecimento em programação e desenvolvimento (Python, Java e/ou Go).
  • Compreensão dos serviços de Cloud SaaS, IaaS, PaaS, DaaS, CaaS, FaaS.
  • Conhecimento intermediário das soluções de IDS/IPS, Firewall, Web Gateway, E-mail Gateway, Anti-malware, Proxy, HIDS/HIPS, DLP(CASB), Anti-Virus.
  • Conhecimento em segurança de aplicações criando regras de detecção e mitigação de incidentes no WAF.
  • Análise e aprovação de regras de firewall.
  • Capacidade de interpretar logs e relacioná-los.
  • Capacidade de analisar, identificar e tratar incidentes de segurança da informação.
  • Conhecimento em Threat Intelligence e OSINT.
IAM
  • Capacidade de buscar e acompanhar, permanentemente, a evolução tecnológica no que tange às melhores alternativas de gestão de acessos e riscos SoD para atendimento das necessidades da Empresa.
  • Capacidade de avaliar e auxiliar a mitigar os riscos de SoD.
  • Capacidade de realizar avaliações e diligências de gestão de identidades.
  • Capacidade de mapear e desenhar processos, elaborar políticas e procedimentos.
  • Capacidade e conhecimento em revisão de acessos e perfis (RBAC).
  • Desenvoltura para se relacionar com diversas equipes, dentro e fora da empresa.
Cyber Risk
  • Conhecimento de Ferramentas OSINT.
  • Conhecimento intermediário em Excel/Sheets (PROCV, Tabela e Gráfico Dinâmico, principais fórmulas).
  • Conhecimento em Linguagem SQL (Ler e construir queries).
  • Conhecimento básico em Splunk/Kibana/Coletor de Logs** (Ler logs e queries, montar queries de pesquisa).
  • Conhecimento de Risco Corporativo (conhecimento de mercado financeiro, regras de negócio).
  • Conhecimento de Threat Intelligence.

SoftSkills ⭐

Competência Comportamento
Resolução de Problemas
  • Entende o problema, procura referências, busca aprendizados e testa possíveis soluções. Caso necessário, pede ajuda.
  • Chega em novas possibilidades e respostas com profundidade, posiciona seus argumentos, visões baseando-se em dados e fatos, influenciando o time a chegar em uma solução.
  • Mede impacto versus investimento para priorizar suas atividades e tomar decisões acerca de como resolver um problema com senso de urgência
Adaptabilidade
  • É uma pessoa aberta a mudanças e adapta seu trabalho quando as circunstâncias mudam, encarando novos desafios como oportunidades de aprendizado.
  • Consegue navegar em situações ambíguas, mantendo-se resiliente diante de adversidades. Atua de forma a nortear e mobilizar o time para que as transformações aconteçam
Comunicação
  • Adéqua informações complexas para se relacionar com diferentes áreas/pessoas afim de resolver os problemas que encontra
  • Comunica-se de forma assertiva e respeitosa. Pratica a escuta ativa e faz perguntas a fim de entender o contexto, problema e necessidades apresentadas e/ou aprender outras visões sobre um mesmo tema, assim, construindo soluções em parceria
  • Dá visibilidade do trabalho e dos resultados do time aos pares e stakeholders, garantindo alinhamento
Desenvolvimento Contínuo
  • Conversa com a sua liderança sobre objetivos e aspirações de carreira, procurando oportunidades de aprendizado e crescimento.
  • Absorve e pede proativamente por sugestões e feedbacks para seus pares e lideranças. Entende seus pontos fortes e oportunidades de desenvolvimento, agindo ativamente em seu desenvolvimento. Além de oferecer inputs e suporte para que as demais pessoas do time se desenvolvam.
  • Busca aprender e seguir as boas práticas da sua área de atuação e sobre o mercado de meios de pagamento. Compartilha seus conhecimentos e aprendizados com o time, usa o que aprende para solucionar os problemas que enfrenta

Cultura 💚

Pilar Comportamento
Team Play
  • Busca estar sempre próximo do time para ajudar e aprender. Pede ajuda quando encontra um problema que não consegue resolver, compartilha aprendizados, acertos e referências.
  • Demonstra flexibilidade para trabalhar com pessoas diversas, respeitando as diferentes perspectivas, contextos e características, eliminando preconceitos de falas e ações
  • Contribui para um ambiente colaborativo e seguro para construção de soluções em conjunto. Compartilha suas opiniões com respeito, reconhece os outros, têm a escuta ativa (ouve e entende antes de criticar, fomentando discussões construtivas), cumpre os combinados e avisa se algo mudar.
The Reason
  • Entende que o cliente é a razão do nosso trabalho. Escuta feedbacks e se aprofunda no entendimento das dores e necessidades, e conhece os pontos de interface que esse cliente tem com outras áreas da empresa para se aprofundar nesse entendimento .
  • Constrói soluções, alinhadas com as áreas pares, baseadas nas dores e necessidades do cliente e que agreguem valor a ele.
Live the Ride
  • Promove um clima de trabalho respeitoso, não busca culpados, mas soluções, aprende com os erros e comemora vitórias com o time.
  • Se compromete com suas entregas. Trabalha com responsabilidade e consciência, cumprindo prazos e pedindo ajuda/ orientação quando encontra problemas ou as circunstâncias mudam .
  • Encara desafios e mudanças como oportunidades de aprendizado.
No Bullshit
  • Não evita conversas difíceis. Se comunica de forma transparente e respeitosa quando tem algum incômodo ou conflito.
  • Se posiciona se orientando sempre em fatos e dados para direcionar discussões e tomar decisões.
  • Escuta feedbacks e reconhece seus erros, buscando sempre aprender e se desenvolver.
Own It
  • Assume responsabilidade e resolve problemas entendendo a criticidade e velocidade necessárias.
  • Escuta o cliente para entender o problema e a partir disso busca e desenvolve novas soluções para melhor atendê-lo.
  • Solicita e gere recursos com base na eficiência operacional e objetivos do negócio.