Senior Security Engineer | Cloud (Remote Work)

São Paulo, Brazil

Full Time Senior-level / Expert USD 53K - 99K * ^est.

Loft

View all jobs at Loft

Apply now Apply later

Posted 4 hours ago

Como o time INFOSEC constrói a Loft:

O time de INFOSEC garante a segurança dos ambientes em nuvem da Loft, com foco em AWS e suporte a GCP. Atuamos desde a concepção de arquiteturas seguras até a automação de controles e resposta a incidentes com uso de Inteligência Artificial.

Nossa missão é proteger os ativos da companhia e viabilizar a inovação com segurança. Contribuímos com a esteira DevSecOps, promovemos o desenvolvimento seguro e evoluímos soluções como WAF, SIEM e CSPM para fortalecer nossa defesa.

Os desafios que você vai encontrar:

Atuar como referência técnica em segurança de ambientes em nuvem, com foco principal em AWS e suporte estratégico para GCP;

Implementar, monitorar e aprimorar controles de segurança em workloads cloud-native, incluindo: KMS, VPC, S3, EC2, EKS, Lambda, CloudTrail, GuardDuty, Security Hub, Security Command Center (GCP), entre outros;

Participar do desenho e implementação de arquiteturas seguras desde a concepção (Secure by Design), garantindo princípios de segurança;

Promover a automação de segurança por meio do uso de Infraestrutura como Código (IaC), assegurando consistência, rastreabilidade e governança;

Contribuir para evolução da esteira DevSecOps, com foco na integração de ferramentas como SAST, DAST e SCA;

Implementar e manter automações de segurança em pipelines CI/CD, garantindo proteção contínua ao longo do ciclo de desenvolvimento;

Promover a cultura de desenvolvimento seguro, disseminando boas práticas entre os times;

Conduzir modelagens de ameaça (Threat Modeling) e atuar em investigações técnicas de incidentes de segurança (war room);

Gerenciar e priorizar vulnerabilidades em nuvem, com foco na detecção, validação e mitigação, em colaboração com os outros times;

Executar testes de segurança manuais e automatizados, além de apoiar o uso de Inteligência Artificial aplicada à segurança ofensiva (Pentest);

Apoiar na customização de ferramentas de detecção e automação de resposta a incidentes, com foco em soluções que utilizam Inteligência Artificial;

Otimizar e implementar soluções como WAF, SIEM e CSPM, visando a detecção de atividades anômalas e proteção contra ameaças avançadas;

Apoiar a criação de políticas, normas e programas de conscientização em segurança da informação para públicos técnicos.

O que você precisa para virar a chave?

Experiência prática com ambientes AWS (mínimo 3 anos): IAM, VPC, KMS, EC2, EKS, S3, GuardDuty, WAF, CloudTrail, entre outros.

Conhecimento e vivência com recursos de segurança da GCP (Security Command Center, IAM, Compute Engine, etc.).

Domínio de ferramentas de análise de segurança: SAST, DAST, SCA.

Experiência com CI/CD usando GitHub Actions e integração de segurança na pipeline.

Conhecimento aprofundado do OWASP Top 10, CWE e técnicas de mitigação de vulnerabilidades em aplicações web.

Experiência em segurança de containers e Kubernetes, com foco especial em EKS.

Vivência com Infraestrutura como Código (IaC): Terraform ou CloudFormation.

Experiência com resposta a incidentes, participação em war rooms e investigação técnica de eventos de segurança.

Desejável (Não obrigatório):

Certificações relevantes: AWS Security Specialty, GCP Professional Cloud Security Engineer, CKS, OSCP ou similares.

Experiência com ferramentas de CSPM (Cloud Security Posture Management).

Familiaridade com o ciclo de vida de desenvolvimento seguro (SDLC) e frameworks de Threat Modeling, como STRIDE.

Conhecimento de frameworks e boas práticas de segurança da informação, como NIST e CIS Controls.

Experiência com monitoramento contínuo e automação de segurança em ambientes de nuvem.

Conhecimento em Inteligência Artificial aplicada à segurança da informação, especialmente em casos de detecção de ameaças, resposta a incidentes e testes ofensivos (Red Teaming / Pentest).