Resumen: Buscamos un Ingeniero Senior de Seguridad práctico para impulsar la transformación en materia de seguridad, implementar controles, responder a incidentes y construir un programa de seguridad desde cero para una plataforma tecnológica en rápido crecimiento. Aspectos destacados: 1. Construir la seguridad desde cero 2. Proteger directamente los datos personales de ~10 millones de usuarios 3. Fomentar una cultura centrada en la seguridad #### **¡Somos bsport! ¡El lugar donde estar!** bsport es una plataforma todo-en-uno que combina el fitness boutique con tecnología avanzada. Nuestra plataforma ayuda a nuestros socios a gestionar sus reservas, nóminas, marketing y más, optimizando sus operaciones y potenciando su éxito comercial. Desde nuestro lanzamiento en 2019, hemos logrado un crecimiento extraordinario: * Hemos construido una comunidad de más de 10 millones de usuarios * Cerramos una ronda Serie B de 30 millones de euros en diciembre de 2024 * Contamos con más de 200 empleados en toda Europa Estamos creciendo rápidamente para convertirnos en el socio tecnológico número 1 para estudios boutique en Europa y más allá. Este crecimiento implica la necesidad crítica de reforzar nuestra postura de seguridad, proteger los datos de nuestros usuarios y construir una cultura centrada en la seguridad en toda la organización. #### **El puesto: construir la seguridad desde cero** Buscamos un **Ingeniero Senior de Seguridad práctico**, quien será la fuerza impulsora detrás de la transformación en materia de seguridad de bsport. Este no es un rol puramente estratégico: usted se involucrará directamente en la implementación de controles de seguridad, la respuesta a incidentes y la construcción de nuestro programa de seguridad desde sus fundamentos. Necesitamos a alguien capaz de reducir inmediatamente nuestra exposición a fugas de datos, ataques de phishing y accesos no autorizados, al tiempo que establece prácticas de seguridad sostenibles que escalen junto con nuestro crecimiento. **Este puesto es fundamental porque:** * Usted protegerá directamente los datos personales de ~10 millones de usuarios * Permitirá a nuestro equipo de ventas responder con confianza a cuestionarios de seguridad mientras perseguimos clientes empresariales * Trabajará en el equipo de SRE, colaborando estrechamente con los equipos de ingeniería de software (SWE) y teniendo contacto con la mayoría, si no con todos, los líderes departamentales * Reducirá el riesgo empresarial en un entorno de rápido crecimiento, donde los incidentes de seguridad pueden dañar la confianza y los ingresos #### **Sus responsabilidades** ##### **Ingeniería de seguridad práctica (60 % de su tiempo)** **Prioridades inmediatas (primeros 3–6 meses):** * **Fortalecer nuestra infraestructura en AWS y la seguridad de las aplicaciones** + Auditar y mejorar las configuraciones y políticas de IAM + Mejorar las reglas del WAF para bloquear ataques sofisticados + Implementar escaneos automáticos de seguridad en las canalizaciones de CI/CD (SAST/DAST) + Colaborar con el equipo de SRE para asegurar nuestros clústeres de Kubernetes y las imágenes de contenedores + Impulsar y mantener una postura de seguridad de vanguardia en el backend, frontend y gestión de datos de usuario, en colaboración con los equipos de SWE, garantizando una protección de clase mundial para nuestros sistemas y usuarios. * **Fortalecer la infraestructura de autenticación y la gestión de identidades** + Implementar y configurar soluciones de seguridad de correo electrónico dentro de Google Workspace existente + Implementar y hacer cumplir métodos de autenticación robustos en todas las aplicaciones y servicios de la organización (SSO, MFA) + Crear alertas automatizadas para patrones de comportamiento sospechoso mediante Grafana/ELK * **Establecer la gestión de vulnerabilidades** + Configurar escaneos automatizados de vulnerabilidades para infraestructura y aplicaciones (aprovechando herramientas de código abierto en la mayor medida posible) + Crear un flujo de trabajo de remediación priorizado integrado con los ciclos de sprint del equipo de ingeniería + Implementar análisis de dependencias para nuestro backend en Python/Django y nuestro frontend en React + Ampliar la cobertura de detección de secretos * **Respuesta a incidentes y supervisión** + Diseñar e implementar alertas de seguridad utilizando nuestra pila existente de Grafana/ELK + Crear manuales operativos (runbooks) para incidentes de seguridad comunes (fugas de datos, phishing, accesos no autorizados) + Responder a incidentes de seguridad y llevar a cabo revisiones posteriores al incidente + Atender consultas de seguridad de clientes y apoyar al equipo de ventas con cuestionarios de seguridad ##### **Cultura y formación en seguridad (40 % de su tiempo)** **Construir conciencia sobre seguridad entre 200 empleados:** * **Diseñar y impartir programas de formación en seguridad** + Crear formaciones en seguridad atractivas y prácticas para todos los empleados + Desarrollar formaciones específicas según el rol (ingeniería, ventas, éxito del cliente, operaciones) + Realizar campañas simuladas de phishing y utilizar los resultados para mejorar la formación + Impartir sesiones trimestrales de concienciación sobre seguridad * **Gestión de seguridad de hardware y puntos finales** + Definir y hacer cumplir estándares de seguridad para dispositivos de los empleados (Mac, Linux, Windows) + Colaborar con TI y RR.HH. para garantizar el aprovisionamiento seguro de dispositivos mediante Primo + Implementar políticas de protección de puntos finales y gestión de dispositivos móviles + Crear configuraciones básicas de seguridad para distintos roles + Gestionar la seguridad del ciclo de vida de los dispositivos (incorporación, baja, pérdida/robo) * **Red de embajadores de seguridad** + Identificar y capacitar a embajadores de seguridad en cada departamento + Crear documentación y directrices de seguridad de autoservicio + Fomentar una cultura en la que la seguridad sea responsabilidad de todos, no un obstáculo * **Políticas y gobernanza** + Elaborar políticas de seguridad pragmáticas que equilibren la seguridad con las necesidades empresariales + Crear procedimientos de respuesta a incidentes comprensibles para toda la empresa + Establecer un proceso de revisión de seguridad para proveedores y herramientas de terceros + Mantener la documentación de seguridad y actualizarla conforme escalamos #### **Quién es usted** ##### **Experiencia imprescindible** * **5+ años de experiencia en ingeniería de seguridad, seguridad de infraestructura o ingeniería de software de seguridad** * **Amplia experiencia práctica en seguridad de AWS o GCP** (IAM, grupos de seguridad, WAF, etc.) * **Conocimiento profundo de seguridad de aplicaciones** (OWASP Top 10, programación segura, seguridad de APIs) * **Experiencia construyendo programas de seguridad desde cero** en startups o scale-ups de rápido crecimiento * **Historial comprobado en respuesta a incidentes** y manejo de escenarios de filtración de datos * **Buenas habilidades de programación** (al menos uno de Python, Typescript, Golang) * **Experiencia en seguridad de infraestructura** (Kubernetes, seguridad de contenedores, seguridad de IaC) * **Experiencia previa en formación de empleados en seguridad** ##### **Ventajas adicionales muy valoradas** * Experiencia en cumplimiento del Reglamento General de Protección de Datos (RGPD) y normativas de protección de datos * Antecedentes en pruebas de penetración o seguridad ofensiva * Conocimiento de nuestra pila tecnológica (Django, React, PostgreSQL, Terraform) * Experiencia respondiendo a cuestionarios de seguridad para ventas empresariales * Experiencia en implementación de SOC2 o ISO27001 ##### **Entorno técnico** * AWS * Infraestructura como código: Terraform, Helm * Orquestación de contenedores: Kubernetes, Docker * Supervisión: Grafana, pila ELK * Backend: Python Django, FastAPI, Celery * Frontend: React, TypeScript (monorepos, federación de módulos) * Bases de datos: PostgreSQL, Redis, RabbitMQ, Kafka * CI/CD: GitLab CI, ArgoCD La diversidad es uno de nuestros activos más valiosos, y estamos comprometidos con fomentar un entorno inclusivo donde todos puedan aportar su mejor trabajo. Damo la bienvenida a candidatos de todos los orígenes, identidades y experiencias para ayudarnos a construir un equipo más inclusivo y equitativo. Si este puesto le entusiasma pero no cumple todos los requisitos, ¡le animamos a presentar su candidatura!: la curiosidad, la capacidad de adaptación y la disposición para aprender son tan importantes para nosotros como las habilidades técnicas específicas. **Lo que ofrecemos** Creemos que un excelente trabajo proviene de personas felices y bien apoyadas; por eso ofrecemos beneficios significativos diseñados para promover el equilibrio, el crecimiento y la conexión. **Paquete salarial atractivo** Paquetes salariales competitivos basados en su experiencia y puesto. **Armonía entre vida laboral y personal** Modelo híbrido con días de teletrabajo para favorecer el equilibrio y la flexibilidad. **Trabaje desde cualquier lugar** Disfrute hasta 15 días al año de teletrabajo desde el extranjero. ️ **Seguro médico privado** Ofrecemos cobertura médica privada completa con Alan, para que pueda concentrarse en lo que más importa. **Beneficios exclusivos de fitness** Manténgase activo con una membresía especial descontada en el gimnasio DIR. **Equipo diverso y amante de la diversión** Colegas multiculturales, eventos después del trabajo, actividades de team building y mucho más.