Responsabile del team Soluzioni di inserimento dati web

Compiti

In qualità di Team Lead Web Entry Solutions, assumerete la responsabilità strategica e operativa della gestione e dello sviluppo continuo delle nostre infrastrutture centrali di sicurezza per l'accesso web. Dirigerete un team altamente specializzato e distribuito a livello globale nelle nostre sedi in Svizzera e a Singapore e svolgerete un ruolo chiave nella definizione dell'architettura di sicurezza di un istituto finanziario leader a livello mondiale.

Architettura operativa e di sicurezza delle applicazioni web

- Responsabilità diretta del funzionamento stabile e dello sviluppo strategico delle infrastrutture di sicurezza IT fondamentali nell'ambito delle applicazioni web - Progettazione, implementazione e ottimizzazione continua dei firewall per applicazioni web e delle architetture di sicurezza API basate su Nexus Identity Suite, inclusi set di regole, criteri di filtraggio e configurazioni WAF - Gestione, configurazione e sviluppo di funzionalità di sicurezza quali ModSecurity e Core Rule Set (CRS) - Progettazione, implementazione e gestione di soluzioni Global Single Sign-On (SSSO) basate su SAML 2.0 e OpenID Connect (OIDC) - Garanzia di protezione completa contro tutte le categorie di vulnerabilità OWASP Top 10 (injection, broken access control, XSS, SSRF ecc.) a livello di infrastruttura e di applicazione - Gestione e sviluppo di soluzioni di bilanciamento del carico e meccanismi di protezione DDoS multistrato (rate limiting, gestione delle chiamate IP, gestione dei bot) - Monitoraggio e analisi del traffico HTTP/S per individuare anomalie, modelli di attacco e violazioni delle politiche utilizzando la registrazione centralizzata e le piattaforme SIEM

Governance della sicurezza, valutazioni e progetti

- Responsabilità diretta per le valutazioni di sicurezza, la gestione delle vulnerabilità e la conformità alle linee guida di riferimento su tutte le piattaforme di registrazione web - Valutazione e definizione delle priorità dei risultati derivanti da test di penetrazione, scansioni DAST e programmi bug bounty; - Coordinamento delle misure correttive con i team di sviluppo e operativi - Gestione e implementazione di progetti di sicurezza complessi con una visione strategica dell'intera situazione di sicurezza IT e coordinamento delle misure di risposta - Creazione e aggiornamento di concetti di sicurezza, linee guida WAF, documentazione tecnica e istruzioni operative - Ottimizzazione continua dei set di regole WAF, delle configurazioni proxy e delle baseline di sicurezza; Identificazione e implementazione di opportunità di miglioramento

Consulenza e assistenza

- Gestione e coordinamento tecnico di un team distribuito a livello globale tra la Svizzera e Singapore - Consulenza e supporto alle unità aziendali in materia di sicurezza; accompagnamento attivo delle nuove iniziative di sicurezza

Requisiti

- Almeno 5 anni di esperienza professionale (idealmente 8-10 anni) nel campo della sicurezza informatica/IT o in una disciplina tecnica affine - Esperienza pratica con le categorie di vulnerabilità dell'OWASP Top 10 – Requisiti: esperienza pratica nell'identificazione, valutazione e mitigazione di almeno le attuali categorie di vulnerabilità - Solida esperienza pratica nella configurazione, gestione e messa a punto di ModSecurity, compreso l'OWASP CRS – è richiesta esperienza nella gestione dei positivi/falsi positivi e nella creazione di regole personalizzate - Solida comprensione delle architetture delle applicazioni web: protocolli HTTP(S), API REST, concetti di reverse proxy, TLS, SMTIME, Content Security Policy (CSP), CORS, header di sicurezza HTTP (HSTS), X-frame-options, ecc. - Esperienza pratica con Nexus Identity Suite o soluzioni WAF/reverse proxy aziendali comparabili come F5, A10, Barrac