O time de INFOSEC garante a segurança dos ambientes em nuvem da Loft, com foco em AWS e suporte a GCP. Atuamos desde a concepção de arquiteturas seguras até a automação de controles e resposta a incidentes com uso de Inteligência Artificial. 

Nossa missão é proteger os ativos da companhia e viabilizar a inovação com segurança. Contribuímos com a esteira DevSecOps, promovemos o desenvolvimento seguro e evoluímos soluções como WAF, SIEM e CSPM para fortalecer nossa defesa. 

Atuar como referência técnica em segurança de ambientes em nuvem, com foco principal em AWS e suporte estratégico para GCP; 

Implementar, monitorar e aprimorar controles de segurança em workloads cloud-native, incluindo: KMS, VPC, S3, EC2, EKS, Lambda, CloudTrail, GuardDuty, Security Hub, Security Command Center (GCP), entre outros; 

Participar do desenho e implementação de arquiteturas seguras desde a concepção (Secure by Design), garantindo princípios de segurança; 

Promover a automação de segurança por meio do uso de Infraestrutura como Código (IaC), assegurando consistência, rastreabilidade e governança; 

Contribuir para evolução da esteira DevSecOps, com foco na integração de ferramentas como SAST, DAST e SCA; 

Implementar e manter automações de segurança em pipelines CI/CD, garantindo proteção contínua ao longo do ciclo de desenvolvimento; 

Promover a cultura de desenvolvimento seguro, disseminando boas práticas entre os times; 

Conduzir modelagens de ameaça (Threat Modeling) e atuar em investigações técnicas de incidentes de segurança (war room); 

Gerenciar e priorizar vulnerabilidades em nuvem, com foco na detecção, validação e mitigação, em colaboração com os outros times; 

Executar testes de segurança manuais e automatizados, além de apoiar o uso de Inteligência Artificial aplicada à segurança ofensiva (Pentest); 

Apoiar na customização de ferramentas de detecção e automação de resposta a incidentes, com foco em soluções que utilizam Inteligência Artificial; 

Otimizar e implementar soluções como WAF, SIEM e CSPM, visando a detecção de atividades anômalas e proteção contra ameaças avançadas; 

Apoiar a criação de políticas, normas e programas de conscientização em segurança da informação para públicos técnicos. 

Experiência prática com ambientes AWS (mínimo 3 anos): IAM, VPC, KMS, EC2, EKS, S3, GuardDuty, WAF, CloudTrail, entre outros. 

Conhecimento e vivência com recursos de segurança da GCP (Security Command Center, IAM, Compute Engine, etc.). 

Domínio de ferramentas de análise de segurança: SAST, DAST, SCA. 

Experiência com CI/CD usando GitHub Actions e integração de segurança na pipeline. 

Conhecimento aprofundado do OWASP Top 10, CWE e técnicas de mitigação de vulnerabilidades em aplicações web. 

Experiência em segurança de containers e Kubernetes, com foco especial em EKS. 

Vivência com Infraestrutura como Código (IaC): Terraform ou CloudFormation. 

Experiência com resposta a incidentes, participação em war rooms e investigação técnica de eventos de segurança.

Caju - Mais liberdade para usar seus benefícios (Refeição, Alimentação, Mobilidade, Saúde, Home Office, Cultura e Educação); 

Assistência Médica - Sulamerica 

 Assistência Odontológica - Sulamerica 

 Seguro de Vida - Prudential 

 Gympass - Acesso a academias no Brasil inteiro

 Linkedin Learnings - Plataforma de educação para potencializar o desenvolvimento 

 Férias Flexíveis - Tire suas férias a qualquer momento

 Day Off

 Licença Parental - para pais e mães 

Certificações relevantes: AWS Security Specialty, GCP Professional Cloud Security Engineer, CKS, OSCP ou similares. 

Experiência com ferramentas de CSPM (Cloud Security Posture Management). 

Familiaridade com o ciclo de vida de desenvolvimento seguro (SDLC) e frameworks de Threat Modeling, como STRIDE. 

Conhecimento de frameworks e boas práticas de segurança da informação, como NIST e CIS Controls. 

Experiência com monitoramento contínuo e automação de segurança em ambientes de nuvem. 

Conhecimento em Inteligência Artificial aplicada à segurança da informação, especialmente em casos de detecção de ameaças, resposta a incidentes e testes ofensivos (Red Teaming / Pentest). 

Conhecimento no uso do Github advanced security ou Gitlab ultimate 

Inglês técnico fluente (leitura e escrita).