от компании (организации): SMS Aero в городе (населённом пункте): Москва, Россия
в отрасли экономики "Информационные технологии, интернет, телеком" → "Компьютерная безопасность"
с заработной платой: от 300000 руб.
Вакансия № 16828118 добавлена в базу данных сайта Работа в Москве и Московской области (МО, Подмосковье): Среда, 14 августа 2024 года.
Дата обновления вакансии № 16828118 на сайте Работа в Москве и Московской области (МО, Подмосковье): Понедельник, 23 сентября 2024 года.
Обращаем Ваше внимание, что на момент обращения к работодателю вакансия № 16828118 может быть уже занята. Администрация сайта Работа в Москве и Московской области (МО, Подмосковье) приносит извинения за доставленные неудобства.
Требования к опыту работы:
3–6 лет
Тип занятости:
проектная работа/разовое задание
График работы:
удаленная работа
Дополнительные сведения о вакансии: Специалист по информационной безопасности (BYOD, Google Apps, AWS, high-load, etc)
Компании 10 лет. 100 000 клиентов по всей стране. Напишите в Гугле «sms aero отзывы».
?
Ищу скрупулезного человека, который сечет в корпоративной IT-безопасности.?
Преамбула
В компании работает 20+ человек. 90% из них находятся в разных городах РФ, несколько — в иностранных государствах. Поэтому, активно применяются:
- BYOD
- Google Apps и все его продукты
- современные командные сервисы: Jira, Confluence, Figma, Telegram, etc
Из устройств — традиционный набор:
- iOS-устройства: iPhones, iPads
- macOS-устройства: MacBook Airs, MacBook Pros
- всевозможные разношерстные Android-смартфоны
- несколько Windows-компьютеров/ноутбуков
- МФУшки, бухгалтерские USB-ключи, еще какая-то мелочь
Существует также и офис в Москве, однако в нем постоянно работают всего 1-2 человека. Так или иначе, в офисе тоже есть несколько устройств.
?
Ваша задача в общем смысле
Перешерстить все, что связано с безопасностью ВСЕГО, найти все дырки и устранить их. По сути, переосмыслить весь подход к IT-безопасности в компании и сделать компанию устойчивой к любого вида утечкам, взломам, предвосхитить возможные угрозы.
?
Проект состоит из двух этапов.
Этап 1. Улучшить безопасность, связанную с работой сотрудников компании и их устройствами.
Умозрительно, 70-80% сотрудников легкомысленно относятся к безопасности, и что там у них происходит на девайсах — никому не известно. Я полагаю, у некоторых даже не установлен пароль, либо он тривиален. Или же члены семьи вполне имеют доступ к девайсу «посмотреть фоточки», а если есть дети — наверняка они играют в игры на айпаде в сантиметре от наших данных.
Ваша задача все это предвосхитить и исправить.
Неполный список того, с чем предстоит работать:
- Google Apps и все что с ним связано: пользователи, роли, Shared Drives и шаринг файлов в целом, парольные политики, аутентификации, все продукты Google Apps, и т.д.
- Парольные менеджеры, хранение паролей и вообще вся парольная политика в целом.
- Всевозможные собственные внутренние админки: самого продукта, телефонии, ServiceDesk, внутренние Telegram-боты и т.п.
- Командные сервисы: Jira, Confluence, Figma, Moqups, etc.
- Админки внешних поставщиков: банки, платежные шлюзы, хостеры, etc.
- Бухгалтерское: 1C, USB-ключи, Госуслуги, сертификаты, etc.
- Telegram-каналы/чаты и иные потенциальные дырки, так или иначе связанные с мобильными номерами сотрудников.
- VPN не VPN.
- Чуток офисной настройки: Miktrotik, МФУ, HomeKit-девайсы.
- Сократить количество сервисов до минимума. Меньше сервисов — меньше дырок.
- Бэкапы. Возможность вернуться в прошлое и поднять данные по определенным критериям.
- Создать обязательные правила по использованию собственных устройств в компании: подключение к публичным Wi-Fi-сетям, шифрование дисков, и вот это вот всё.
- Внедрить системы мониторинга. Мы должны знать все: что делал какой-либо сотрудник с чем-угодно, куда логинился, когда, во сколько, откуда, что происходило с его устройством. Необходимо так же выработать системы аларминга: подозрительные аутентификации, нелогичные действия, и разработать процессы кто и как будет реагировать на подобные ситуации.
Все нововведения нужно протестировать, обкатать в бою, полностью все задокументировать, а так же создать для сотрудников простые инструкции «что можно делать, а что нельзя», довести их до сотрудников и проверить, что все эти правила ими неукоснительно исполняются.
?
Этап 2. Улучшить безопасность, связанную с самим продуктом SMS Aero.
Найти все дырки, которые так или иначе связаны с архитектурой самого продукта SMS Aero:
- Безопасность всей архитектуры и устройства продукта.
- Дырки в коде и базах данных.
Ваша задача найти все возможные дырки, довести требуемые заплатки до команды разработки и администраторов, и проследить, чтобы все было исполнено в лучшем виде.
3. Разработать нормальные системы мониторинга всего: начиная от нагрузок систем, заканчивая обнаружением подозрительных внешних действий или попыток взлома.
На этом этапе также предполагается, что вы найдете специалистов и организуете управляемый взлом продукта или DDDoS-атаку, которые позволят выявить внешние угрозы.
Коротко об архитектуре: 100% Debian/Ubuntu, git, KVM, AWS, PHP, Python, Go, Vue, MySQL, etc.
?
Весь проект должен быть полностью обкатан, протестирован, задокументирован, веден в бой и завершен к 28 февраля 2021 года.
?
Изначально работа проектная, но если вам понравится, то можно будет работать вместе и далее, в более пассивном бэкграундном режиме на меньшей ставке:
- Быть на связи и мониторить обстановку в компании, держать руку на пульсе, реагировать на угрозы. Присылать мне ежемесячный отчет.
- Что-то оптимизировать, улучшать в созданной вами системе безопасности.
- Выполнять специфические секретные поручения, связанные с IT.
- Возможно, найдется еще какое-то другое применение вам в компании.
?
Чего я не терплю в работе: работы спустя рукава, ненадежные so-so решения, которые выдают за компромиссы (не прокачав вопрос досконально и не проработав его), костыли, ватокатство, доверие на слово, решения, которые не зарекомендовали себя в мире/слишком специфические решения, неизвестно кем созданные и насколько дырявые, медленной скорости. Проще говоря: хуйни.
Что я ценю: порядок и аккуратность, минимализм, выжимание максимума из любых решений, нативные решения в принципе (никаких OpenVPN, только IPSec), перфекционизм, сомнения, перепроверки любой информации, желание залезть в каждую дырку, желание все автоматизировать и исключить человеческий фактор, чуткость, проактивность и предвосхищение ситуаций; решения, которые работают «сами» годами, бережное отношение к тексту, коммуникабельность.
?
Требования к работнику на вакансии: Специалист по информационной безопасности (BYOD, Google Apps, AWS, high-load, etc)
минимум level 50 согласно классификации Хабра: https://docs.google.com/spreadsheets/u/0/d/1FBr20VIOePQH2aAH2a_6irvdB1NOTHZaD8U5e2MOMiw/pub?output=html
Я жду от вас, что вы залезете в каждую дырку, поэтому ожидаю человека — в хорошем смысле параноика.
?
Условия труда для работника на вакансии: Специалист по информационной безопасности (BYOD, Google Apps, AWS, high-load, etc)
- Москва или ваша способность быстро в ней появляться. Если хотите — можете работать в офисе.
- Официальное белое оформление по ТК РФ. Это нужно скорее нам, чем вам, поскольку вы получите доступ к данным. Будет много NDA. Если вы самозанятый или ИП — тоже пойдет.
- Гонорар указан за весь проект.
- Как правило люди с нами работают долгосрочно и в компании очень низкая текучка, поэтому осторожно заявлю о перспективе пути до CTO, по крайней мере у компании эта потребность потихоньку начинает маячить на горизонте.
?
Как быстро нужно будет начать работу: на следующий день после собеседования, если все будет ок.
?
В сопроводительном письме коротко расскажите:
- об аналогичном опыте, который у вас был, если об этом нет информации в резюме.
- какие первые 3-5-10 дырок вы бы сразу закрыли/проверили, закрыты ли они.
- любую информацию, которая поможет более полно и точно понять ваши компетенции, связанные с вакансией, и пригласить на собеседование именно вас.
Без сопроводительных писем отклики не рассматриваются и сразу удаляются без прочтения.
?
Работа непосредственно лично со мной.
Олег Борисов, генеральный директор и соучредитель
level между 20 и 50
Спасибо.
Откликнуться на эту вакансию: Специалист по информационной безопасности (BYOD, Google Apps, AWS, high-load, etc)
Предыдущая вакансия:
Вакансия № 16828114 на должность Бухгалтер по начислению заработной платы (БЛ) от компании Компания «СПОРТМАСТЕР», Розничные продажи в городе (населенном пункте) Москва