INGENIERO DE PENTESTING (HACKING ÉTICO)

Perfil para Ingeniero de Pentesting ( Hacking Ético ):

-    Formación técnica (ingeniería de software, telecomunicaciones) o conocimientos / experiencia equivalente.
-    Identificación de herramientas, entornos y parametrización de las mismas necesarias para las tareas de pruebas de seguridad y revisión de seguridad (pentesting) y gestión completa del ciclo de vida de vulnerabilidades.
-    Diseñar, desarrollar (codificar) y ejecutar las pruebas y revisiones de seguridad (pentesting) que apliquen a cada iteración del ciclo de vida (alcance variable según fase del desarrollo o producto o propósito particular) en fases de desarrollo y posteriores a este, pero anteriores al despliegue.

Apoyándose en las herramientas disponibles / dispuestas y con la colaboración de equipos de desarrollo y/o pruebas que corresponda, podría requerir la ejecución de una o varias de las siguientes tareas técnicas o tipos de revisiones y debe finalizar con la elaboración / entrega de un informe con los resultados y recomendaciones / conclusiones correspondientes:
o    Análisis de Dependencia (SBOM – Software Bill Of Material): análisis de bibliotecas y componentes en los que confía el desarrollo
o    Análisis de Código Estático (SAST – Security Application Security Testing): búsqueda de vulnerabilidades conocidas y problemas de calidad en fases tempranas (prevención posibles brechas seguridad futuras)
o    Análisis Dinámico (DAST – Dynamic Application Security Testing): mediante simulación de ataques en tiempo real sobre el código 
o    Análisis o Acciones sobre contenedores (si aplica): análisis de DockerFile (creación imágenes con foco en la seguridad), creación de imágenes aisladas que encapsulan aplicaciones y sus dependencias en entornos dockerizados, análisis de los contenedores para evaluar su seguridad (desde el punto de vista de vulnerabilidades y riesgos), firmado de contenedores (para control de autenticidad e integridad), etc.
o    Revisión seguridad general externa automática: como atacante externo, metodología OSSTMM o equivalente, usando herramientas automáticas y comprobación / descarte de falsos positivos.
o    Revisión seguridad general externa en profundidad: como atacante externo, metodología OSSTMM o equivalente, usando herramientas manuales, su conocimiento y pericia y comprobación / descarte de falsos positivos (si aplicase). 
o    Revisión seguridad general interna automática: como atacante interno, metodología OSSTMM o equivalente, usando herramientas automáticas y comprobación / descarte de falsos positivos.
o    Revisión seguridad general interna en profundidad: como atacante interno, metodología OSSTMM o equivalente, usando herramientas manuales, su conocimiento y pericia y comprobación / descarte de falsos positivos (si aplicase). 
o    Revisión de caja negra: sin datos o conocimiento previo del entorno. 
o    Revisión de caja negra con post Autenticación: igual que una de caja negra, pero con las credenciales para poder entrar en alguna parte de la aplicación o sistema para auditar desde ese punto.
o    Revisión de caja gris: teniendo información, total o parcial, de la infraestructura, servicios y ciertos accesos concretos. El objetivo de este tipo de revisión es tener la visión que tendría un usuario interno, o con acceso interno, malintencionado. Se concluye con un informe con los resultados y con las correspondientes recomendaciones y conclusiones obtenidas.
o    Revisión de caja blanca: con varios perfiles de usuarios con los permisos y accesos de cada uno de ellos. 
o    Revisión de seguridad web: 1ª fase de análisis y recogida de información (reconocimiento) mediante la metodología OWASP. Y 2ª fase para identificación y explotación de vulnerabilidades existentes. 
o    Revisión de seguridad en Infraestructuras/Sistemas externos: como atacante externo a una infraestructura o sistema concreto, metodología OSSTMM o equivalente, usando herramientas automáticas y comprobación / descarte de falsos positivos.

-    Diseñar e implementar pipelines para automatización en lo posible de despliegues con foco en la integración de las pruebas de seguridad y revisiones de seguridad correspondientes (ejecución automática o semiautomatizada) en el ciclo de vida (CI/CD)
-    Elaboración de informes de pruebas correspondientes de forma automatizada a partir de los resultados de las baterías de pruebas ejecutadas o, en su defecto, manualmente.

-    Para cada subproyecto / iteración de pruebas o revisión de seguridad (pentesting), ejecutar las tareas preparatorias y de comunicación de resultados pertinentes: 
o    Definir alcance concreto y propósito de la revisión con el responsable del producto /desarrollo
o    Estimar tiempos y esfuerzos o prerrequisitos necesarios
o    Planificar revisión: fechas de realización, generar documento planificación y contactar con interlocutores para realización
o    Alta y gestión en el portal corporativo (si o según aplique): proyecto, activos, gestión ciclo de vida completo de las vulnerabilidades, problemas y hallazgos particulares identificados, etc.
o    Solventar problemas durante revisión y asegurar su correcta ejecución
o    Generar informe final de revisión realizada (con bitácora pruebas), comprobar vulnerabilidades detectas, aportar evidencias.
o    Poner en común hallazgos, resultados y criticidad con responsable del producto /desarrollo y proponer mejoras o vías de remediación / mitigación.

Se valorará
-    Programación en Python
-    Programación en C# (.NET)
-    Programación en Kotlin
-    Conocimientos de diferentes normativas, metodologías, marcos de trabajo y/o herramientas para pentesting (automático y manual) y para gestión, seguimiento y remediación de vulnerabilidades
-    Conocimientos previos o experiencia equivalente en marcos de trabajo para desarrollo ágil (SCRUM o similares) y desarrollo seguro (SSDLC, OWASP, SecDevOps, CI/CD...)
-    Conocimientos previos o experiencia equivalente en el diseño de estrategias, entornos y baterías de pruebas de seguridad (pentesting) con foco en la integración en ciclo de vida del producto (CI/CD), el rendimiento (SRE) y la seguridad (DevSecOps)
-    Habilidades para comunicación asertiva, trabajo en equipo e interlocución técnica con diferentes equipos
-    Experiencia previa (2 años o superior) en proyectos de similar índole y envergadura

Cuando te unes a Telefónica

Te unes a casi 100 años de historia, un equipo de 106 nacionalidades presentes en más de 35 países. Te unes a un equipo que trabaja por conectar a las personas allá dónde estén, sin fronteras. Un equipo que está liderando la revolución digital con la ilusión del primer día en todos nuestros negocios, creando el mejor ecosistema digital para nuestros clientes: Red, IoT, Cloud, Ciberseguridad, Innovación etc. En Telefónica tienes todo lo que necesitas para crear la mejor versión de ti mismo. Necesitamos gente como tú que se sume a este gran reto, que quiera crear la Telefónica del mañana.

En Telefónica apostamos por las nuevas formas de trabajo y somos líderes en la implementación de la Desconexión Digital bajo el principio “Desconecta para Reconectar”.

Te unes a una compañía cuya actividad se rige por su código ético, Nuestros Principios de Negocio Responsable. Buscamos personas que se identifiquen con los mismos, que nos ayuden a tomar decisiones basadas en la integridad, el compromiso y la transparencia y que se comprometan con una gestión ética, promoviendo un desarrollo social y ambiental más justo y sostenible.

#SomosDiversos

Estamos convencidos de que los equipos diversos e inclusivos son más innovadores, transformadores y consiguen mejores resultados. Por ello promovemos y garantizamos la inclusión de todas las personas sin importar género, edad, orientación e identidad sexual, cultura, discapacidad o cualquier otra condición personal.