Resumen: Buscamos un Líder de Operaciones de Seguridad (SOC) para dirigir la supervisión, detección y respuesta a incidentes de seguridad, alineando las operaciones con la estrategia empresarial de riesgo y seguridad. Aspectos destacados: 1. Dirigir procesos integrales de respuesta a incidentes y liderar acciones correctivas. 2. Desarrollar y asumir la propiedad del modelo operativo, las políticas y los procedimientos del SOC. 3. Colaborar con equipos diversos para garantizar una respuesta y remediación rápidas. **Descripción de la empresa** Syntegon Telstar S.R.U es una empresa perteneciente al Grupo Syntegon, que opera a nivel mundial. Como marca especializada en el desarrollo de consultoría GMP, ingeniería, construcción y proyectos de equipos de proceso integrados, atendemos a empresas vinculadas al mercado de las ciencias de la vida (industrias farmacéutica y biotecnológica, atención sanitaria, cosmética, veterinaria y alimentaria), así como a hospitales, laboratorios y centros de investigación. También ofrecemos soluciones basadas en tecnologías de vacío y alto vacío para industrias tradicionales y de alta tecnología en los sectores energético y aeroespacial, así como para experimentación científica. **Descripción del empleo** Buscamos un **Líder de Operaciones de Seguridad (SOC)** para incorporarse a nuestro equipo en nuestras oficinas de **Terrassa (Barcelona)**. El puesto tiene como objetivo supervisar el diseño, la operación y la mejora continua de la supervisión, detección, clasificación y respuesta a incidentes (IR) de seguridad, ya sea en un SOC interno o en un proveedor gestionado de servicios de seguridad (MSSP) / MDR, o bien en un modelo híbrido de ambos. El Líder del SOC garantiza la detección temprana de amenazas, la realización oportuna y eficaz de investigaciones, y la contención y remediación de incidentes con un impacto mínimo sobre la actividad empresarial. Este rol alinea las operaciones del SOC con el riesgo empresarial, los requisitos regulatorios y la estrategia de seguridad definida por el CISO. **Principales responsabilidades** **Estrategia y gobernanza** Desarrollar y asumir la propiedad del modelo operativo del SOC (interno, externo o híbrido), alineado con el apetito de riesgo cibernético empresarial y la estrategia del CISO. Definir y mantener las políticas, guías de actuación (playbooks), manuales de procedimientos (runbooks) y procedimientos operativos estándar (SOP) del SOC. Establecer una estrategia de detección y respuesta a lo largo de la cadena de ataque/ciclo de vida del ataque, vinculada a marcos de referencia (por ejemplo, MITRE ATT\&CK, NIST CSF, ISO 27001\). Mantener un programa de defensa basado en el riesgo e informado por las amenazas, incluidos modelado de amenazas y ejercicios conjuntos de equipos rojo y púrpura (purple teaming). **Operaciones y respuesta a incidentes** Dirigir la respuesta integral a incidentes: detección, clasificación, investigación, contención, erradicación, recuperación y análisis de lecciones aprendidas. Supervisar la calidad de las alertas, los flujos de trabajo de clasificación, la gestión de casos y la transición entre turnos para garantizar cobertura 24x7. Asegurar detecciones de alta fidelidad y reducir el ruido mediante ajustes de SIEM/SOAR, gestión de casos de uso y enriquecimiento con inteligencia de amenazas. Presidir revisiones posteriores a incidentes y liderar acciones correctivas con los responsables en TI/Nube/Seguridad de aplicaciones/Identidad/OT. Coordinar comunicaciones ejecutivas durante incidentes importantes y proporcionar actualizaciones oportunas al CISO y a las partes interesadas pertinentes. **Gestión interna del SOC (si se gestiona internamente)** Construir y liderar un equipo de SOC de alto rendimiento (analistas de Nivel 1–3, especialistas en respuesta a incidentes, cazadores de amenazas e ingenieros SIEM/SOAR). Asumir la planificación de recursos humanos, programación, formación, tutoría y desarrollo profesional. Impulsar la lista de tareas pendientes de ingeniería y la mejora continua (ingeniería de detección, automatización, incorporación de registros). Garantizar herramientas y tuberías de datos del SOC seguras, fiables y rentables (por ejemplo, SIEM, EDR/XDR, NDR, señales IAM, telemetría en la nube). **Gestión externa del SOC / MSSP (si se subcontrata)** Asumir la selección de proveedores, incorporación, definición de contratos/SLA/OLA y revisiones comerciales trimestrales (QBR). Gestionar el desempeño diario del proveedor, la calidad del servicio, las vías de escalación y los planes de mejora continua del servicio (CSIP). Validar las detecciones, guías de actuación (playbooks), fuentes de inteligencia de amenazas y calidad en el manejo de incidentes del proveedor. Garantizar el cumplimiento de los requisitos de residencia de datos, privacidad y auditoría; coordinar la recopilación de pruebas y la cadena de custodia. **Colaboración y gestión de partes interesadas** Colaborar con los equipos de Operaciones de TI, Nube, DevOps, Red, Punto final, Identidad y OT/IIoT para lograr una respuesta y remediación rápidas. Trabajar conjuntamente con los equipos de Inteligencia de Amenazas, Equipos Rojo/Púrpura y Gestión de Vulnerabilidades para alinear las detecciones con las amenazas y vías de ataque emergentes. Capacitar a las unidades de negocio con guías de actuación (playbooks), ejercicios prácticos (tabletop exercises) y concienciación sobre los criterios de escalación y los roles en los incidentes. **Riesgo, cumplimiento y auditoría** Garantizar que los controles del SOC respalden los requisitos de cumplimiento (por ejemplo, ISO 27001, NIST 800\-53, GDPR, NIS2, según corresponda). Mantener evidencia preparada para auditorías relativas a supervisión, alertas, procesos de respuesta a incidentes y SLA/OLA. Liderar autoevaluaciones del SOC, mapas de madurez (por ejemplo, basados en las Evaluaciones del SOC de MITRE/NIST CSF) y auditorías externas. **Métricas, informes y comunicación** Definir e informar indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI) del SOC al CISO y a los foros de gobernanza; impulsar mejoras basadas en datos. Proporcionar paneles ejecutivos y resúmenes de incidentes listos para la dirección, incluyendo impacto empresarial y tiempo de recuperación. Elaborar análisis de tendencias de amenazas e informes trimestrales de postura con recomendaciones de inversión. **Principales responsabilidades según el modelo** **SOC interno (gestionado internamente)** Contratar, retener y capacitar a analistas e ingenieros; establecer niveles y trayectorias profesionales. Asumir la lista de tareas pendientes de detecciones, automatizaciones y tuberías de enriquecimiento; gestionar cambios y lanzamientos de contenidos del SOC. Gestionar horarios por turnos (24x7, seguimiento global del sol o disponibilidad fuera de horario) y garantizar cobertura resistente. **SOC externo (subcontratado/MSSP/MDR)** Definir interfaces (RACI/RAAS), matrices de escalación y requisitos de pruebas. Validar detecciones mediante simulaciones realistas de ataques y ejercicios conjuntos. Supervisar y hacer cumplir SLA/OLA; asegurar la alineación contractual con la postura de riesgo y los requisitos de cumplimiento. **Competencias directivas** Toma de decisiones bajo presión: liderazgo sereno y estructurado durante incidentes. Pensamiento estratégico: alinea las inversiones del SOC con el riesgo empresarial y resultados medibles. Liderazgo de personas: desarrolla talento y construye una cultura inclusiva de alto rendimiento. Influencia y comunicación: asesor de confianza para el CISO y las partes interesadas ejecutivas. Mejora continua: mentalidad basada en datos; automatiza sin descanso. **Informes y escalación** Reporta directamente al CISO; actúa como comandante principal de incidentes para eventos de seguridad significativos. Proporciona resúmenes operativos semanales, paneles mensuales de KPI y revisiones ejecutivas trimestrales. Escalación inmediata para incidentes potencialmente materiales o con impacto empresarial, según la política. **Requisitos** **Cualificación requerida:** 8–12\+ años en ciberseguridad, con 4\+ años liderando operaciones de SOC o equipos de respuesta a incidentes (internos o MSSP). Experiencia práctica con SIEM (por ejemplo, Microsoft Sentinel), EDR/XDR (por ejemplo, Defender para Endpoint), SOAR, NDR y telemetría en la nube (Azure/M365, AWS, GCP). Conocimientos sólidos sobre tácticas, técnicas y procedimientos (TTP) modernos de los atacantes (MITRE ATT\&CK), ingeniería de detecciones, ciclo de vida de casos de uso y automatización con SOAR. Historial comprobado en la gestión de incidentes críticos y comunicaciones ejecutivas. Experiencia en gestión de proveedores, gobernanza de contratos/SLA y revisiones de servicios (para modelos de SOC externos). Familiaridad con marcos regulatorios y de auditoría (NIST, ISO 27001, etc.). Excelentes habilidades directivas, de coaching y de colaboración transversal. Fuertes habilidades de comunicación escrita y oral: capacidad para traducir detalles técnicos en riesgo e impacto empresariales. **Cualificación preferente:** Certificaciones: CISSP, CISM, GIAC (GCIA, GCED, GCIH, GCFA/GCFR, GMON), Microsoft SC\-200/SC\-100, certificaciones de seguridad Azure/AWS. Experiencia en caza de amenazas (threat hunting), seguridad ofensiva o ejercicios conjuntos de equipos rojo y púrpura (purple teaming). Antecedentes en incorporación masiva de registros, normalización de datos, ingeniería de contenidos y estrategias de telemetría optimizadas desde el punto de vista de costes. Experiencia en seguridad OT/ICS (si resulta relevante para la actividad empresarial). Conocimiento de necesidades de privacidad de datos y descubrimiento electrónico (eDiscovery) durante investigaciones. **Alto nivel de inglés**, tanto escrito como hablado. Dominio fluido del español; el conocimiento del alemán es un plus. **Información adicional** **Información adicional** * Disponibilidad para viajar (**aproximadamente 10–20%**) cuando sea necesario (sede central en Alemania). * Permiso de conducir válido y vehículo propio. Por parte de Syntegon y sus filiales, la diversidad constituye una preocupación clave. Promovemos exclusivamente un entorno en el que todos los empleados, independientemente de su género, edad, origen, religión, orientación sexual, identidad de género o necesidades especiales, sean tratados de manera equitativa. Si esta oferta de trabajo utiliza únicamente la forma masculina, es por razones de legibilidad y se refiere a individuos de todos los géneros.