Senior Security Engineer (API, Pentest, Cybersecurity)

3 Lý do để gia nhập công ty

• Môi trường năng động trẻ trung
• Thưởng theo doanh thu dịch vụ hàng tháng, năm
• Có cơ hội thăng tiến cao, xét tăng lương 6 tháng 1

Mô tả công việc

Xây dựng quy trình bảo mật trong phát triển phần mềm

• Thiết kế và triển khai quy trình Secure SDLC phù hợp với mô hình tribe/squad.
• Đưa các bước kiểm tra bảo mật vào quá trình phân tích yêu cầu, thiết kế, coding, testing và release.
• Xây dựng checklist bảo mật đơn giản, dễ áp dụng cho dev, tester, BA, SA.

Quản lý lỗ hổng bảo mật

• Quản lý kết quả từ các công cụ SAST, DAST, dependency scan, secret scan và AI security scan.
• Phân loại mức độ rủi ro của lỗ hổng: Critical, High, Medium, Low.
• Phối hợp với tribe/squad để đưa lỗi bảo mật vào backlog và theo dõi xử lý.
• Xây dựng SLA xử lý lỗ hổng và dashboard theo dõi tình trạng bảo mật theo từng tribe/sản phẩm.

Quản lý phân quyền và truy cập

• Xây dựng nguyên tắc quản lý phân quyền cho các sản phẩm và hệ thống nội bộ.
• Hỗ trợ các tribe rà soát role, quyền admin, quyền truy cập dữ liệu nhạy cảm.
• Đề xuất kiểm soát với tài khoản đặc quyền, tài khoản dùng chung, quyền support, quyền vận hành.
• Phối hợp với các team để cải thiện log/audit trail liên quan đến truy cập dữ liệu.

Hỗ trợ hồ sơ ATTT và dữ liệu cá nhân

• Hỗ trợ các tribe hoàn thiện hồ sơ cấp độ hệ thống thông tin cho sản phẩm của mình.
• Hỗ trợ đánh giá tác động xử lý dữ liệu cá nhân cùng các bộ phận liên quan.
• Biến các gap phát hiện từ hồ sơ thành backlog cải tiến kỹ thuật hoặc quy trình.

Phối hợp audit, pentest, red team

• Làm đầu mối kỹ thuật khi công ty làm việc với đối tác audit/pentest/red team.
• Chuẩn bị scope, tài khoản test, tài liệu hệ thống và rule of engagement.
• Đánh giá kết quả audit, phối hợp triage với tribe/squad.
• Theo dõi việc xử lý lỗi và tổ chức retest khi cần.
• Chuyển bài học từ audit thành checklist, quy trình và đào tạo nội bộ.

Đào tạo và lan tỏa năng lực bảo mật

• Xây dựng nhóm Security Champion trong các tribe.
• Tổ chức chia sẻ ngắn về các lỗi bảo mật phổ biến và cách phòng tránh.
• Hỗ trợ dev/test/BA/SA hiểu rủi ro bảo mật theo ngữ cảnh sản phẩm

Yêu cầu công việc

Kinh nghiệm

• Có trình độ đại học trở lên về ATTT.
• Có từ 5 năm kinh nghiệm trong một hoặc nhiều mảng: AppSec, Security Engineering, Pentest, Security Consultant, Product Security.
• Có kinh nghiệm làm việc với hệ thống web/API.
• Hiểu các nhóm lỗi phổ biến như phân quyền sai, IDOR, injection, XSS, upload file, lộ thông tin, lỗi xác thực.
• Có kinh nghiệm sử dụng hoặc quản lý kết quả từ các công cụ SAST, DAST, dependency scan.
• Có kinh nghiệm làm việc với đội phát triển phần mềm là lợi thế lớn.

Kiến thức cần có

• Hiểu về Secure SDLC.
• Hiểu về vulnerability management.
• Hiểu cơ bản về kiến trúc hệ thống, API, database, authentication, authorization.
• Hiểu về quản lý phân quyền, tài khoản đặc quyền, log truy cập.
• Có hiểu biết về bảo vệ dữ liệu cá nhân, hồ sơ cấp độ ATTT là lợi thế.
• Có kinh nghiệm làm việc với đối tác audit/pentest/red team là lợi thế.

Kỹ năng mềm

• Giao tiếp tốt với dev, tester, BA, SA, DevOps và quản lý.
• Biết giải thích rủi ro bảo mật bằng ngôn ngữ dễ hiểu.
• Có tư duy thực tế, không máy móc checklist.
• Biết ưu tiên theo mức độ rủi ro và ảnh hưởng kinh doanh.
• Có khả năng viết quy trình ngắn gọn, rõ ràng, dễ áp dụng.
• Có tinh thần hỗ trợ đội sản phẩm, không chỉ “bắt lỗi”.

Tại sao bạn sẽ yêu thích làm việc tại đây

• Mức lương thoả thuận theo năng lực, thưởng dự án, tháng lương 13–14
• Đánh giá hiệu suất 2 lần/năm vào tháng 01 và tháng 07.
• Môi trường Agile/Scrum, khuyến khích chủ động và sáng tạo
• Cơ hội phát triển lên Senior PM / Product Leader
• Mentoring từ các quản lý và giám đốc kỹ thuật giàu kinh nghiệm
• Được hưởng các chế độ phúc lợi của công ty: thưởng lễ tết, nghỉ mát hàng năm,
• Được hưởng hỗ trợ: ốm đau, hiếu hỉ, sinh nhật, ...
• Có cơ hội tham gia các khóa đào tạo, huấn luyện chuyên môn.
• Du lịch công ty hàng năm, tham gia các hoạt động văn nghệ, thể thao cùng công ty: sinh nhật tháng, quý
• Các chế độ BHXH, BHYT, nghỉ phép full lương theo quy định nhà nước.
• Hỗ trợ các công cụ dụng cụ cần thiết để đáp ứng công việc.