Tivita is hiring a Pessoa Especialista DevSecOps

Responsibilities

• Mapear a superfície de ataque e diagnosticar o estado atual da infraestrutura e pipelines de segurança
• Identificar vulnerabilidades críticas, exposições de dados sensíveis e políticas de acesso inadequadas
• Implementar IAM e políticas de menor privilégio em ambientes cloud
• Validar, automatizar e testar procedimentos de backup e disaster recovery
• Integrar etapas essenciais de segurança em pipelines CI/CD (Secrets Scan, SAST, SCA, IaC Scan) sem bloqueios iniciais
• Proteger aplicações contra OWASP Top 10 através de WAF, rate-limiting e anti-bot
• Implementar criptografia em repouso e trânsito, e controles de DLP nas interfaces críticas
• Abstrair, padronizar e centralizar logs, métricas e traces para observabilidade real
• Estabelecer canary releases, rollback automático e deploy seguro
• Construir camada SIEM e criar playbooks de resposta a incidentes
• Revisar políticas de LGPD/privacidade, processos de onboarding/offboarding e governança
• Engajar time de engenharia com treinamentos contextualizados e testes de segurança
• Implementar conceito de “paved road” para entregar autonomia e reduzir dependência de Infra/Sec

Requirements

• 5+ anos de experiência em DevOps, SRE, Cloud Infrastructure ou segurança em ambientes críticos
• Profundo conhecimento em segurança: Experiência prática com segurança em pipelines CI/CD, secrets management, IaC scanning, vulnerability assessment e threat modeling
• Google Cloud Platform (GCP): Experiência prática avançada com IAM, Compute Engine, Cloud Storage, Cloud SQL, VPC, networking e security
• Infraestrutura como Código (IaC): Proficiência avançada em Terraform ou CloudFormation; capacidade de estruturar IaC para múltiplos ambientes
• CI/CD e Automation: Experiência prática com GitHub Actions, GitLab CI ou Jenkins; automação de pipelines de segurança
• Containerização e Orquestração: Conhecimento prático sólido de Docker e Kubernetes; capacidade de implementar segurança em containers
• Ferramentas de Segurança: Experiência prática com SAST (semgrep), SCA (snyk, aikido), secrets scanning (git-leaks), IaC scanning (trivy), e WAF
• Pensamento Sistêmico: Capacidade comprovada de identificar riscos estruturais, priorizar trade-offs (custo vs. segurança vs. velocidade) e criar roadmaps realistas
• Comunicação Estratégica: Habilidade de explicar decisões técnicas para stakeholders não-técnicos e estruturar planos de 30/60/90 dias com clareza

Nice to Have

• Experiência em startups early-stage ou ambientes de rápido crescimento com dados sensíveis
• Certificações em segurança: AWS Security, GCP Security, CISSP ou equivalente
• Experiência com compliance regulatória: LGPD, SOC 2, ISO 27001, PCI DSS, HIPAA
• Conhecimento avançado de SIEM e detecção de ameaças: Cloud Logging, Security Command Center, análise de logs
• Experiência com threat modeling, security reviews de arquitetura e risk assessment
• Familiaridade com incident response, postmortems e metodologias de resposta a crises
• Experiência com EDR/antivírus e proteção de endpoints