Ingeniero Senior de Seguridad

Descripción

Resumen: Este Ingeniero Senior de Seguridad será la fuerza impulsora detrás de la transformación de seguridad de bsport, implementando controles, respondiendo a incidentes y construyendo su programa de seguridad. Aspectos destacados: 1. Construir la seguridad desde cero en una empresa tecnológica que escala rápidamente 2. Proteger directamente los datos personales de aproximadamente 10 millones de usuarios 3. Trabajar en el equipo de SRE con amplia exposición transversal a distintos departamentos #### **Somos bsport. ¡El lugar donde estar!** bsport es una plataforma todo-en-uno que combina fitness boutique y tecnología avanzada. Nuestra plataforma ayuda a nuestros socios a gestionar sus reservas, nóminas, marketing y más, para optimizar sus operaciones y potenciar su éxito comercial. Desde nuestro lanzamiento en 2019, hemos logrado un crecimiento extraordinario: * Hemos construido una comunidad de más de 10 millones de usuarios * Hemos cerrado una ronda Serie B de 30 millones de euros en diciembre de 2024 * Contamos con más de 200 empleados distribuidos por toda Europa Estamos escalando rápidamente para convertirnos en el principal socio tecnológico (#1) de estudios boutique en Europa y más allá. Este crecimiento trae consigo la necesidad crítica de reforzar nuestra postura de seguridad, proteger los datos de nuestros usuarios y fomentar una cultura centrada en la seguridad en toda la organización. #### **El puesto: construir la seguridad desde cero** Buscamos un **Ingeniero Senior de Seguridad práctico y con experiencia directa**, quien será la fuerza impulsora detrás de la transformación de seguridad de bsport. Este no es un rol puramente estratégico: usted se pondrá manos a la obra para implementar controles de seguridad, responder a incidentes y construir nuestro programa de seguridad desde sus fundamentos. Necesitamos a alguien capaz de reducir inmediatamente nuestra exposición a fugas de datos, ataques de phishing y accesos no autorizados, mientras establece prácticas de seguridad sostenibles que escalen junto con nuestro crecimiento. **Este puesto es crítico porque:** * Usted protegerá directamente los datos personales de \~10 millones de usuarios * Permitirá a nuestro equipo de ventas responder con confianza a cuestionarios de seguridad al perseguir clientes empresariales * Trabajará en el equipo de SRE, colaborando estrechamente con los equipos de ingeniería de software (SWE) y teniendo exposición a la mayoría, si no a todos, los líderes de departamento * Reducirá el riesgo empresarial en un entorno de rápido crecimiento, donde los incidentes de seguridad pueden dañar la confianza y los ingresos #### **Qué hará** ##### **Ingeniería de seguridad práctica (60 % de su tiempo)** **Prioridades inmediatas (primeros 3\-6 meses):** * **Fortalecer la infraestructura de AWS y la seguridad de las aplicaciones** + Auditar y mejorar las configuraciones y políticas de IAM + Mejorar las reglas del WAF para bloquear ataques sofisticados + Implementar escaneos automáticos de seguridad en las canalizaciones CI/CD (SAST/DAST) + Colaborar con el equipo de SRE para asegurar nuestros clústeres de Kubernetes y las imágenes de contenedores + Impulsar y mantener una postura de seguridad de vanguardia en el backend, frontend y gestión de datos de usuario, en colaboración con los equipos de SWE, garantizando una protección de clase mundial para nuestros sistemas y usuarios. * **Fortalecer la infraestructura de autenticación y la gestión de identidades** + Implementar y configurar soluciones de seguridad para correo electrónico dentro del entorno existente de Google Workspace + Implementar y hacer cumplir métodos de autenticación robustos en todas las aplicaciones y servicios de la organización (SSO, MFA) + Crear alertas automatizadas para patrones de comportamiento sospechoso mediante Grafana/ELK * **Establecer la gestión de vulnerabilidades** + Configurar escaneos automatizados de vulnerabilidades para infraestructura y aplicaciones (aprovechando herramientas de código abierto en la mayor medida posible) + Crear un flujo de trabajo de remediación priorizado integrado con los ciclos de sprint del equipo de ingeniería + Implementar análisis de dependencias para nuestro backend Python/Django y nuestro frontend React + Ampliar la cobertura de detección de secretos * **Respuesta a incidentes y monitoreo** + Diseñar e implementar alertas de seguridad utilizando nuestra pila existente de Grafana/ELK + Crear manuales operativos (runbooks) para incidentes de seguridad comunes (fugas de datos, phishing, accesos no autorizados) + Responder a incidentes de seguridad y llevar a cabo revisiones posteriores al incidente + Atender consultas de seguridad de clientes y apoyar al equipo de ventas con cuestionarios de seguridad ##### **Cultura y formación en seguridad (40 % de su tiempo)** **Fomentar la concienciación sobre seguridad entre 200 empleados:** * **Diseñar y impartir programas de formación en seguridad** + Crear formaciones prácticas y atractivas sobre seguridad para todos los empleados + Desarrollar formaciones específicas según el rol (ingeniería, ventas, éxito del cliente, operaciones) + Llevar a cabo campañas simuladas de phishing y utilizar los resultados para mejorar la formación + Realizar sesiones trimestrales de concienciación sobre seguridad * **Gestión de seguridad de hardware y dispositivos finales** + Definir y hacer cumplir estándares de seguridad para los dispositivos de los empleados (Mac, Linux, Windows) + Colaborar con TI y RR.HH. para garantizar un aprovisionamiento seguro de dispositivos mediante Primo + Implementar políticas de protección de puntos finales y gestión de dispositivos móviles + Crear configuraciones básicas de seguridad para distintos roles + Gestionar la seguridad durante todo el ciclo de vida de los dispositivos (incorporación, baja, pérdida/robo) * **Red de embajadores de seguridad** + Identificar y capacitar a embajadores de seguridad en cada departamento + Crear documentación y directrices de seguridad autoadministrables + Fomentar una cultura en la que la seguridad sea responsabilidad de todos, no un obstáculo * **Políticas y gobernanza** + Elaborar políticas de seguridad pragmáticas que equilibren la seguridad con las necesidades empresariales + Crear procedimientos de respuesta a incidentes comprensibles para toda la empresa + Establecer un proceso de revisión de seguridad para herramientas de proveedores y terceros + Mantener la documentación de seguridad y actualizarla conforme escalamos #### **Quién es usted** ##### **Experiencia imprescindible** * **Más de 5 años en puestos de ingeniería de seguridad, seguridad de infraestructura o ingeniería de software de seguridad** * **Amplia experiencia práctica en seguridad de AWS o GCP** (IAM, grupos de seguridad, WAF, etc.) * **Conocimiento profundo de seguridad de aplicaciones** (OWASP Top 10, programación segura, seguridad de APIs) * **Experiencia previa construyendo programas de seguridad desde cero** en startups en rápido crecimiento o empresas en fase de expansión * **Historial comprobado en respuesta a incidentes** y manejo de escenarios de filtración de datos * **Buenas habilidades de programación** (al menos uno de Python, TypeScript, Go) * **Experiencia en seguridad de infraestructura** (Kubernetes, seguridad de contenedores, seguridad de IaC) * **Experiencia previa en formación de empleados en materia de seguridad** ##### **Ventajas adicionales muy valoradas** * Experiencia en cumplimiento del Reglamento General de Protección de Datos (RGPD) y normativas de protección de datos * Antecedentes en pruebas de penetración o seguridad ofensiva * Conocimiento de nuestra pila tecnológica (Django, React, PostgreSQL, Terraform) * Experiencia respondiendo a cuestionarios de seguridad para ventas empresariales * Experiencia en implementación de SOC2 o ISO27001 ##### **Entorno técnico** * AWS * Infraestructura como código: Terraform, Helm * Orquestación de contenedores: Kubernetes, Docker * Monitoreo: Grafana, pila ELK * Backend: Python Django, FastAPI, Celery * Frontend: React, TypeScript (monorepos, federación de módulos) * Bases de datos: PostgreSQL, Redis, RabbitMQ, Kafka * CI/CD: GitLab CI, ArgoCD La diversidad es uno de nuestros activos más valiosos, y estamos comprometidos a fomentar un entorno inclusivo donde todos puedan aportar su mejor trabajo. Damo la bienvenida a candidatos de todos los orígenes, identidades y experiencias para ayudarnos a construir un equipo más inclusivo y equitativo. Si este puesto le entusiasma pero no cumple todos los requisitos, ¡le animamos a presentar su candidatura!: la curiosidad, la capacidad de adaptación y la disposición para aprender son tan importantes para nosotros como las habilidades técnicas específicas. **Qué ofrecemos** Creemos que un excelente desempeño surge de personas felices y bien respaldadas; por eso ofrecemos beneficios significativos diseñados para promover el equilibrio, el crecimiento y la conexión. **Paquete retributivo atractivo** Paquetes salariales competitivos basados en su experiencia y en el puesto. **Armonía entre vida laboral y personal** Modelo híbrido con días de teletrabajo para favorecer el equilibrio y la flexibilidad. **Trabaje desde cualquier lugar** Disfrute hasta 15 días al año de teletrabajo desde el extranjero. ️ **Seguro médico privado** Ofrecemos cobertura médica privada completa de Alan, para que pueda centrarse en lo que más importa. **Beneficios exclusivos de fitness** Manténgase activo con una membresía especialmente descontada en los gimnasios DIR. **Equipo diverso y entusiasta** Colegas multiculturales, eventos tras la jornada laboral, actividades de team building y mucho más.