Senior Security Engineer | Cloud (Remote Work)

Como o time INFOSEC constrói a Loft:

O time de INFOSEC garante a segurança dos ambientes em nuvem da Loft, com foco em AWS e suporte a GCP. Atuamos desde a concepção de arquiteturas seguras até a automação de controles e resposta a incidentes com uso de Inteligência Artificial.

Nossa missão é proteger os ativos da companhia e viabilizar a inovação com segurança. Contribuímos com a esteira DevSecOps, promovemos o desenvolvimento seguro e evoluímos soluções como WAF, SIEM e CSPM para fortalecer nossa defesa.

Os desafios que você vai encontrar:

• Atuar como referência técnica em segurança de ambientes em nuvem, com foco principal em AWS e suporte estratégico para GCP;
• Implementar, monitorar e aprimorar controles de segurança em workloads cloud-native, incluindo: KMS, VPC, S3, EC2, EKS, Lambda, CloudTrail, GuardDuty, Security Hub, Security Command Center (GCP), entre outros;
• Participar do desenho e implementação de arquiteturas seguras desde a concepção (Secure by Design), garantindo princípios de segurança;
• Promover a automação de segurança por meio do uso de Infraestrutura como Código (IaC), assegurando consistência, rastreabilidade e governança;
• Contribuir para evolução da esteira DevSecOps, com foco na integração de ferramentas como SAST, DAST e SCA;
• Implementar e manter automações de segurança em pipelines CI/CD, garantindo proteção contínua ao longo do ciclo de desenvolvimento;
• Promover a cultura de desenvolvimento seguro, disseminando boas práticas entre os times;
• Conduzir modelagens de ameaça (Threat Modeling) e atuar em investigações técnicas de incidentes de segurança (war room);
• Gerenciar e priorizar vulnerabilidades em nuvem, com foco na detecção, validação e mitigação, em colaboração com os outros times;
• Executar testes de segurança manuais e automatizados, além de apoiar o uso de Inteligência Artificial aplicada à segurança ofensiva (Pentest);
• Apoiar na customização de ferramentas de detecção e automação de resposta a incidentes, com foco em soluções que utilizam Inteligência Artificial;
• Otimizar e implementar soluções como WAF, SIEM e CSPM, visando a detecção de atividades anômalas e proteção contra ameaças avançadas;
• Apoiar a criação de políticas, normas e programas de conscientização em segurança da informação para públicos técnicos.

O que você precisa para virar a chave?

• Experiência prática com ambientes AWS (mínimo 3 anos): IAM, VPC, KMS, EC2, EKS, S3, GuardDuty, WAF, CloudTrail, entre outros.
• Conhecimento e vivência com recursos de segurança da GCP (Security Command Center, IAM, Compute Engine, etc.).
• Domínio de ferramentas de análise de segurança: SAST, DAST, SCA.
• Experiência com CI/CD usando GitHub Actions e integração de segurança na pipeline.
• Conhecimento aprofundado do OWASP Top 10, CWE e técnicas de mitigação de vulnerabilidades em aplicações web.
• Experiência em segurança de containers e Kubernetes, com foco especial em EKS.
• Vivência com Infraestrutura como Código (IaC): Terraform ou CloudFormation.
• Experiência com resposta a incidentes, participação em war rooms e investigação técnica de eventos de segurança.

Desejável (Não obrigatório):

• Certificações relevantes: AWS Security Specialty, GCP Professional Cloud Security Engineer, CKS, OSCP ou similares.
• Experiência com ferramentas de CSPM (Cloud Security Posture Management).
• Familiaridade com o ciclo de vida de desenvolvimento seguro (SDLC) e frameworks de Threat Modeling, como STRIDE.
• Conhecimento de frameworks e boas práticas de segurança da informação, como NIST e CIS Controls.
• Experiência com monitoramento contínuo e automação de segurança em ambientes de nuvem.
• Conhecimento em Inteligência Artificial aplicada à segurança da informação, especialmente em casos de detecção de ameaças, resposta a incidentes e testes ofensivos (Red Teaming / Pentest).
• Conhecimento no uso do Github advanced security ou Gitlab ultimate.
• Inglês técnico fluente (leitura e escrita).

Informações adicionais

• Caju - Mais liberdade para usar seus benefícios (Refeição, Alimentação, Mobilidade, Saúde, Home Office, Cultura e Educação);
• Assistência Médica - Sulamerica;
• Assistência Odontológica - Sulamerica;
• Seguro de Vida - Prudential;
• Gympass - Acesso a academias no Brasil inteiro;
• Linkedin Learning - Plataforma de educação para potencializar o desenvolvimento;
• Férias Flexíveis - Tire suas férias a qualquer momento;
• Day Off;
• Licença Parental - para pais e mães;
• Guapeco - Plano de Saúde Pet com desconto;
• Trabalho - Remoto.