Ingeniero/a de Gestión de Vulnerabilidades

Buscamos un/a ingeniero/a de nivel intermedio para identificar, gestionar y remediar vulnerabilidades de aplicaciones a lo largo del ciclo de vida del desarrollo de software (CVDS). Esta posición desempeña un papel clave en el mantenimiento de nuestra postura de seguridad en aplicaciones web, móviles y basadas en la nube. Los candidatos idóneos contarán con una profunda curiosidad técnica y experiencia práctica en análisis de vulnerabilidades, evaluaciones de seguridad, priorización y coordinación de las acciones de remediación., * Ejecutar y apoyar evaluaciones de vulnerabilidades de aplicaciones (SAST, DAST, SCA y revisión manual de código), garantizando que los hallazgos sean precisos, aplicables y pertinentes para el riesgo de la aplicación.

• Validar los resultados de los escáneres automáticos, realizar análisis de falsos positivos y hacer seguimiento de los hallazgos hasta su remediación, incluyendo la reverificación para confirmar la efectividad de las correcciones.
• Gestionar múltiples iniciativas de seguridad de aplicaciones de forma simultánea, cumpliendo plazos estrictos en un entorno de ritmo elevado.
• Priorizar vulnerabilidades en función del impacto en el negocio, la explotabilidad, la exposición y la probabilidad, aplicando las mejores prácticas del sector (p. ej., puntuación CVSS).
• Desarrollar y mantener paneles de control e informes que hagan seguimiento de métricas de vulnerabilidades, tales como distribución por severidad, SLA de remediación y Tiempo Medio de Remediación (MTTR).
• Apoyar la integración de flujos de trabajo de análisis de seguridad y gestión de vulnerabilidades en las canalizaciones CI/CD, aprovechando las herramientas y la automatización existentes.
• Facilitar la planificación de la remediación proporcionando recomendaciones aplicables y coordinando el análisis de causa raíz.
• Apoyar el modelado de amenazas y las evaluaciones de riesgo de aplicaciones, con foco en la detección de patrones de diseño inseguros.
• Participar, cuando sea necesario, en actividades de respuesta ante vulnerabilidades de alta gravedad o de día cero (zero-day), incluyendo el análisis de impacto y las acciones de remediación coordinadas.
• Contribuir al desarrollo de políticas y normativas relacionadas con los controles de seguridad de aplicaciones y en la nube.

• Titulación universitaria (Grado) en Tecnologías de la Información, Ciberseguridad, Ingeniería Informática o disciplina afin, o experiencia profesional equivalente demostrable.
• Entre 5 y 7 años de experiencia relevante en seguridad de aplicaciones y/o gestión de vulnerabilidades.
• Sólidos conocimientos de las clases de vulnerabilidades más comunes (p. ej., OWASP Top 10) y de los principios de arquitectura segura.
• Dominio de Burp Suite para pruebas de seguridad manuales de aplicaciones web y APIs, incluyendo la validación de hallazgos automatizados e identificación de vulnerabilidades complejas de autenticación, autorización y lógica de negocio.
• Experiencia práctica con herramientas como Burp Suite, Fortify, Checkmarx, SonarQube, Black Duck, Tenable y herramientas comunes de descubrimiento de redes (p. ej., Nmap).
• Conocimiento de los marcos NIST, MITRE ATT&CK y los benchmarks CIS.
• Competencia en programación y scripting en lenguajes como Python, Java, .NET o similares.
• Excelentes habilidades de documentación, comunicación y gestión de partes interesadas., * Certificaciones profesionales (p. ej., Security+, SSCP, GWAPT, o en proceso de obtención de CISSP u OSCP).
• Experiencia con la plataforma ServiceNow para el seguimiento de vulnerabilidades o incidentes.
• Dominio de entornos Azure Cloud y Azure DevOps.
• Experiencia con Power BI o herramientas similares para visualizar métricas de vulnerabilidades y tendencias de remediación para interlocutores técnicos y no técnicos.