Senior Product Security Engineer (zdalnie)

Be in IT to firma rekrutacyjna, wyspecjalizowana w poszukiwaniu Specjalistów z branży technologii informatycznych. Obecnie, dla naszego klienta, poszukujemy osoby na stanowisko Senior Product Security Engineer.

• Długofalowa współpraca z międzynarodową, topową firmą consultingową, świadcząca usługi IT dla dużych i średnich firm z różnorodnych sektorów jak automotive, finanse, bankowość czy produkcja.
• Zaprojektowanie i wdrożenie operacyjnego modelu PSIRT vulnerability lifecycle: intake, triage, risk assessment, śledzenie remediacji, disclosure oraz zamknięcie podatności.
• Prowadzenie działań triage i oceny ryzyka: analiza exploitability, ekspozycji produktu/systemu, wpływu operacyjnego oraz mapowanie CVE/CVSS na priorytety inżynierskie.
• Definiowanie i operacjonalizacja modeli oceny krytyczności łączących scoring CVSS z modyfikatorami kontekstowymi (bezpieczeństwo, niezawodność, regulacje, ryzyko operacyjne).
• Tworzenie workflow triage, kryteriów priorytetyzacji, modeli eskalacji oraz frameworków decyzyjnych równoważących pilność remediacji z ograniczeniami biznesowymi i technicznymi.
• Doradztwo w zakresie architektury narzędziowej (ServiceNow VM lub rozwiązania równoważne, platformy vulnerability management, integracje z SIEM/SOAR), w tym modelowanie cyklu zgłoszeń, schematów metadanych i punktów przekazania do zespołów inżynieryjnych.
• Definiowanie taksonomii i wymaganych metadanych (linia produktowa, wersje firmware, hierarchie assetów, ownership, flagi exploitability, klasyfikacja zdarzeń/incydentów).
• Opracowanie artefaktów procesowych PSIRT: SOP, playbooki triage, kryteria klasyfikacji, modele RACI, drzewa eskalacji, SLA remediacyjne, workflow disclosure oraz procedury notyfikacji regulacyjnej.
• Projektowanie punktów integracyjnych z SOC, SIEM/SOAR, DevOps, R&D, Product Security i Operations; definiowanie triggerów alertów oraz mechanizmów przekazywania do remediacji.
• Wsparcie konfiguracji i rollout narzędzi: wymagania dla modelu danych, pola obowiązkowe, mechanizmy eskalacji, dashboardy, metryki oraz wymagania audytowe.
• Przekładanie strategicznych ram PSIRT na operacyjne praktyki i modele integracji z backlogiem inżynierskim (SLA, priorytetyzacja, tracking remediacji).
• Szkolenia, onboarding oraz transfer wiedzy do zespołów wewnętrznych; rola eksperta merytorycznego w obszarze PSIRT.
• Monitorowanie i ciągłe doskonalenie KPI PSIRT, dashboardów oraz procesów post-incident / lessons learned.

• Głębokiego doświadczenia w obszarze PSIRT, product security lub pre-CERT, preferencyjnie w środowiskach przemysłowych, embedded/OT/IoT, systemach safety-critical lub złożonych produktach software’owych.
• Praktycznej wiedzy w zakresie vulnerability triage, analizy CVE, oceny exploitability oraz planowania remediacji opartej na ryzyku.
• Doświadczenia w stosowaniu CVSS oraz budowie modeli severity z modyfikatorami kontekstowymi (regulacje, bezpieczeństwo, wpływ operacyjny).
• Znajomości narzędzi: ServiceNow Vulnerability Management (preferowane) lub Kenna, Tenable, Qualys, workflow opartych o Jira lub równoważnych platform VM.
• Umiejętności projektowania modeli danych i taksonomii metadanych dla podatności, assetów, firmware, linii produktowych oraz ownership.
• Znajomości integracji SOC / SIEM / SOAR i projektowania pipeline’ów alert-to-PSIRT.
• Doświadczenia w przekładaniu procesów bezpieczeństwa na modele backlogowe engineeringu, SLA i mechanizmy śledzenia remediacji.
• Umiejętności tworzenia dokumentacji operacyjnej (SOP, playbooki, RACI, modele eskalacji, procesy disclosure i compliance).
• Zdolności definiowania metryk, dashboardów i wymogów dowodowych dla governance i audytu.
• Znajomości języka angielskiego na poziomie min. B2/C1 – umożliwiająca swobodną pracę w międzynarodowym środowisku.
• Mile widziana dostępność ASAP; akceptowalny jest maksymalnie miesięczny okres wypowiedzenia ze skutkiem na koniec miesiąca.

• Długofalową współpracę z wynagrodzeniem w przedziale 190-210 PLN netto/godz. + VAT.
• Wsparcie przy zakładaniu i prowadzeniu działalności gospodarczej, dla osób bez takiego doświadczenia.
• Sprawny i szybki proces rekrutacyjny - jedna, maksymalnie dwie rozmowy techniczne z managerami, online (każda po godzinie).
• Współpracę w godzinach 9:00-17:00, możliwa lekka elastyczność.
• Współpracę w pełni zdalną.
• Benefity - prywatna opieka medyczna, karta Multisport.
• Nowoczesny sprzęt zapewniany przez firmę, wraz z softem i konfiguracją.