Security Architect / Security Controls Architect

Role et description générale

Rôle : Security Architect / Security Controls Architect

Lieu : Montreal

Mode de travail : Hybrid

Strong background in application security, API Security and network security. knowledge of cloud security

Job Description

La mission de l’équipe SecDesign est de fournir des évaluations d’architecture de sécurité des systèmes technologiques et des processus afin d’identifier les risques pour l’entreprise et de recommander des actions correctives en s’appuyant sur des standards de sécurité établis ou des meilleures pratiques en matière de sécurité. Le SecDesign Generalist est un consultant interne qui travaille sur de multiples évaluations d’architecture et de conception de sécurité couvrant plusieurs classes de technologies. C’est une opportunité de s’impliquer dans plusieurs unités d’affaires et technologies inhérentes à la mission de SecDesign. L’Integrator travaille avec des membres de l’équipe (technologie, affaires, fournisseurs, parties prenantes et partenaires) à l’échelle mondiale pour mener des évaluations SecDesign. Pour réussir comme Integrator, le candidat doit avoir une expérience technologique large, associée à des compétences en gestion des risques, en communication et en gestion du temps. Le candidat travaillera également avec une équipe mondiale d’experts dans la modernisation de la plateforme SDLC de la firme afin d’activer l’automatisation du déploiement vers des endpoints cloud privés et publics ainsi que des outils basés sur SaaS. Ce rôle offre l’opportunité de se joindre à la base pour aider à construire la prochaine génération d’outillage de développement et de déploiement pour un ensemble diversifié de piles technologiques pour la prochaine décennie.

Responsabilités

Un SecDesign Generalist a les responsabilités suivantes :

• 1. Mener des “SecDesign deep dives” avec le demandeur de l’évaluation.
• 2. Prioriser les risques identifiés en relation avec les risques pour l’entreprise.
• 3. Mener l’évaluation et fournir au demandeur le risque technologique / les exigences. Domaines couverts :

• a. Authentication, Authorization, Auditing
• b. Application Security Session Security, Vulnerability/Pen Testing items, Input Validation
• c. Secure data transport and storage
• d. Network Security Principles and best practices.
• e. Cloud Security Principles and best practices

• 1. Revoir périodiquement l’architecture de référence en matière de sécurité (security blueprints) et effectuer des mises à jour / améliorations.
• 2. Participer à divers processus de gouvernance des risques opérationnels et technologiques.
• 3. Aider à identifier de nouveaux domaines et opportunités d’investissement technologique pour la firme.

Compétences et expérience

Soft Skills (Required)

• 1. Excellentes compétences de communication : écrite, orale, présentation, écoute.
• 2. Capacité à influencer par un raisonnement factuel.
• 3. Gestion du temps : capacité à gérer plusieurs évaluations en parallèle, planifier en fonction de la gestion des livrables, suivi et traçage solides.
• 4. Forte orientation sur la livraison lorsque des échéances courtes sont présentées et que l’implication de la direction senior augmente.
• 5. Capacité à ajuster la communication des risques technologiques vs risques pour l’entreprise selon le public.

Security Architecture Skills

• 1. Connaissance approfondie requise des vulnérabilités en matière de sécurité applicative, réseau et plateforme. Capacité à expliquer ces vulnérabilités aux développeurs.
• 2. Expérience requise dans la conduite d’évaluations en matière de sécurité de l’information, de sécurité TI, d’audit. Présenter les résultats de l’évaluation et obtenir l’adhésion (“buy in”).
• 3. Forte orientation requise sur la revue des conceptions techniques et des exigences fonctionnelles pour identifier les zones de faiblesse en sécurité.
• 4. Connaissance requise des fournisseurs de services cloud (AWS/Google/Azure), DevOps et CI/CD
• 5. Le candidat doit avoir une expérience pratique dans au moins trois des domaines de sécurité applicative / réseau suivants :

• a. Authentication : SAML, SiteMinder, Kerberos, OpenId
• b. Entitlements and identity management
• c. Data protection, data leakage prevention and secure data transfer and storage
• d. App Security - validation checking, software attack methodologies.
• e. Cryptography encryption and hashing

• 6. Souhaité - Expérience préalable dans l’administration de systèmes pour le contrôle de version (Bitbucket, Github), le suivi des incidents (Jira), l’intégration continue (Jenkins, Github Actions) ou la gestion des releases.
• 7. Souhaité Connaissance du modèle réseau standard et des risques présents à chaque couche, des fonctions des équipements réseau tels que switches, routers, firewalls, proxies, VPNs, et load-balancers, et compréhension des architectures réseau courantes.
• 8. Souhaité - Le candidat doit avoir une connaissance pratique des systèmes d’exploitation principaux (Unix, Windows, z/OS, Mac OS), de la configuration et de la gestion de cette plateforme à l’échelle d’une entreprise, des risques de sécurité pour cette plateforme, et de la façon d’atténuer ces risques.
• 9. Souhaité - expérience en tests d’outils, au moins un de Veracode, Fortify, OunceLabs, AppScan, WebInspect, Burp

Development Experience

• 1. Requis : bien que le rôle SecDesign Integrator ne soit pas un rôle de développement, le candidat doit avoir une expérience préalable en programmation, conception et architecture d’application.
• 2. Requis : afin d’être un SecDesign Integrator pragmatique, le candidat doit avoir une expérience dans l’implémentation d’applications complexes dans un environnement d’entreprise.
• 3. Requis : connaissance pratique des langages de programmation et de scripting : Java, JavaScript, C#, C/C++, Perl, Python, Ruby
• 4. Souhaité : connaissance approfondie des technologies web telles que Web Browsers, Web Servers, Web Services

Other Areas of Expertise

• 1. Frameworks, protocols, and subsystems : J2EE, .NET, Spring, RPC, SOAP, MQSeries, JMS, RMI, JMX, Hibernate.
• 2. Connaissance de JSP /Servlet/EJB ou ASP.NET, HTTP/HTTPS, Cookies, AJAX, JavaScript, Flex / Silverlight.
• 3. Expérience en conception de base de données et en programmation
• 4. Expérience de collaboration avec des entités tierces (exchanges, fournisseurs, régulateurs)
• 5. Expérience dans la conduite et / ou la revue de tests de pénétration, d’évaluations dynamiques de vulnérabilités et d’évaluations statiques de vulnérabilités.
• 6. Compréhension des réglementations géographiques et de leur impact sur les évaluations de sécurité
• 7. Une expérience précédente dans les Services Financiers est préférable.
• 8. CISSP ou autre qualification du secteur
• 9. Expérience souhaitée de travail avec des organisations globales.

Exigences éducatives

Bachelor's Degree (ou équivalent) avec minimum 5 ans d’expérience de travail pertinente dans un environnement d’entreprise à rythme soutenu

Notes de recrutement

De nombreux candidats en sécurité applicative auront beaucoup de connaissances dans l’utilisation des outils de test identifiés dans la description de poste. C’est bien, mais si leur expérience se limite à utiliser les outils et non en tant que partie d’autres responsabilités, alors ils pourraient ne pas correspondre à ce poste.

Si un CV tend à se concentrer fortement sur les évaluations des risques à un niveau élevé (c.-à-d. évaluations de risques menées avec plusieurs utilisateurs) mais ne détaille pas ce qui était impliqué dans ces évaluations de risques, ils pourraient ne pas être au niveau technique requis pour ce poste.

Les compétences en communication sont importantes pour ce rôle puisqu’ils interagiront avec de nombreux groupes à l’échelle mondiale. Veuillez filtrer pour de fortes compétences en communication orale et écrite.