İş Tanımı

Uygulama Güvenliği

• Güvenlik açığı zafiyet taramalarını gerçekleştirmek,

• Uygulama kaynak kod testlerini gerçekleştirmek,

• Uygulama sızma testlerini gerçekleştirmek, test sonuçlarını ve risklerini analiz etmek,

• Gerçekleştirilen sızma testleri sonuç ve analizlerine göre elde edilen sonuçlara çözüm önerileri geliştirmek ve raporlamak,

• Projeler üzerinde ilgili ekipler ile çalışarak güvenlik görüşü sunmak ve güvenlik risklerinin azaltılmasını sağlamak,

• Güvenlik testlerinin otomasyonunun sağlanması ve güvenlik testi süreçlerinin verimliliği için yöntemler tasarlamak,

• Uygulama güvenliği zafiyetleri ve tehditlerini anlamak, azaltmak için uygulama ekipleriyle beraber çalışılmak,

• Sızma testi prosedürlerini ve süreçlerini oluşturmada deneyimli olmak,

• BDDK veSPK Sızma testleri süreçleri konusunda bilgi sahibi olmak,

• Mobil (Android, IOS) ve Web uygulamalarının güvenliğinin iyileştirilmesi konularına hakim olmak,

• OWASP Tehditleri, MiTREATTACK Framework hakkında bilgi sahibi olmak,

• Metasploit, SQLMap, Nmap, Owasp ZAP, Burp Suite, IBM Appscan, Netsparker gibi güvenlik araçlarında deneyimli olmak,

• Fortify, Checkmarx vb. gibi kaynak kod analiz araçlarında deneyimli olmak,

Tercihen; TSE, OSCP, OSCE, OSWE GPEN, GWAPT, eWAPTx, eMAPT, CEH, CISSP sertifikalardan en az birine sahip olmak.

Sızma Testi

• Güvenlik açığı zafiyet taramaları gerçekleştirmek,

• Ağ ve Sistem sızma testlerinin gerçekleştirmek, test sonuçlarını ve risklerini analiz etmek,

• Gerçekleştirilen sızma testleri sonuç ve analizlerine göre elde edilen sonuçlara çözüm önerileri geliştirmek ve raporlamak,

• Projeler üzerinde ilgili ekipler ile çalışarak güvenlik görüşü sunmak ve güvenlik risklerinin azaltılmasını sağlamak,

• Güvenlik testlerinin otomasyonunun sağlanması ve güvenlik testi süreçlerinin verimliliği için yöntemler tasarlamak,

• Sızma testi ve zaafiyet yönetimi ürünlerini yönetmek,

• Sızma testi prosedürlerini ve süreçlerini oluşturmada deneyimli olmak,

• BDDK veSPK Sızma testleri süreçleri konusunda bilgi sahibi olmak,

• Windows ve Linux işletim sistemleri, Active Directory, DHCP, DNS, Sanallaştırma, Veritabanı gibi platformların güvenliği konusuna hakim olmak,

• MiTREATTACK Framework hakkında bilgi sahibi olmak,

• Nessus, Qualys, Nexpose, Metasploit, Nmap gibi güvenlik araçlarında deneyimli olmak,

Tercihen; TSE, OSCP, OSCE, OSWP, GPEN, GWAPT, GPEN, CEH, CISSP sertifikalardan en az birine sahip olmak.

Bilgi Güvenliği Uyum ve Risk

• TCMB ,BDDK ve CB DDO vb düzenleyici kurumların yayınladığı bilgi sistemlerine yönelik mevzuatı takip ederek bilgi güvenliği politikalarını oluşturmak ve gerekli güncellemeleri gerçekleştirmek,

• Banka ve iştiraklerinde bilgi güvenliği standart ve süreçlerini belirlemek,

• Bilgi varlıkları üzerindeki tehditleri analiz ederek bilgi güvenliği risklerini belirlemek,

• Risk değerlendirmesi sonucu uygulanacak güvenlik kontrollerini belirlemek ve uygulanmasını sağlamak,

• Bilgi Güvenliği denetim çalışmalarının gerçekleştirerek kontrollerin etkinliğin iölçmek,

• Denetimler sonrasında aksiyonların alınmasını sağlamak,

• Denetim bulgularının, güvenlik iyileştirme aksiyonlarının, dış denetimlerde raporlanan bulguların takibini yapmak,

• PCI-DSS sertifikasyon uyumluluğunu sağlamak üzere çalışmalar yapmak,

• Bilgi Güvenliği farkındalık çalışmalarını gerçekleştirmek,

• KVKK’ya uyum için gerekli aksiyonların koordinasyonunu sağlamak,

• ISO27001 uyumluluk projelerini koordineli yürütmek,

• Bilgi teknolojileri projelerine Bilgi Güvenliği konusunda Mimari görüş ve danışmanlık vermek,

• 3.Partilerden alınan hizmet ve ürünlerin bilgi güvenliği ve risk yönetimini yapmak,

• Bilgi Güvenliği ile alakalı yasal düzenlemelere hakim olmak,

• CB DDO, ITIL, NIST, ISO 27001, COBIT, KVKK, GDPR, PCI DSS, benzeri siber güvenlik standartları ve uygulamaları üzerine tecrübeli olmak,

• İşletim sistemleri, bilgisayar ağları, veri tabanı sistemleri, yazılım geliştirme yaşam döngüsü konularına hakim olmak,

• Excel, Powerpoint benzeri ofis programlarını ileri düzey kullanabilmek,

• Bilgi Güvenliği politika ve prosedürlerini hazırlayarak takibini gerçekleştirmek,

• Bilgi Güvenliği ile alakalı projelerde görev almış ve ürünler konusunda bilgili olmak,

• Bulut teknolojileri, SDLC,  veri tabanı güvenliği, web ve mobil uygulama güvenliği konularında bilgi sahibi olmak,

Tercihen; CISA, CRISC, CGEIT, CISM, ISO 27001, CISSP  vb. teknik yetkinlik gösteren sertifikalara sahip olmak.

Güvenlik Olay Müdahale

• Güvenlik izleme sistemlerinden gelen siber güvenlik alarmlarının önceliklendirme, doğrulama, derinlemesine analiz ve gerektiğinde eskalasyon süreçlerini gerçekleştirmek,

• Temel sistem ve ağ adli bilişim incelemelerini sağlamak,

•  Manuel ya da otomatize olay müdahale aksiyonlarını gerçekleştirmek, müdahale gerektiğinde ilgili ekiplerle ve üçüncü taraf firmalarla gerekli koordinasyon ve yönlendirmeyi sağlamak,

•  Alarmların iyileştirilmesi ve false-positive alarmların azaltılması noktasında ilgili ekiplerle birlikte çalışmak,

•  Temel seviyede zararlı yazılım analizi ve tersine mühendislik aktiviteleri gerçekleştirmek,

•  Gerçekleşen olaylar sonrasında ilişkili paydaşlarla birlikte kök-neden analizleri  gerçekleştirerek gelecekte benzer olaylara karşı hazırlıklı olunmasını sağlamak,

•  Olay sonrası analiz adımlarına katılmak, ilişkili aksiyonların alınması ve takibini sağlamak,

•  Aksiyonları otomatize edecek scriptlerin geliştirilmesi sağlamak,

• Tehdit avcılığı faaliyetlerine katılmak ve sonucunda tespit edilen anormal durumların derinlemesine incelenmesini sağlamak,

• Yapılan analiz ve incelemelere ilişkin raporları hazırlamak,

• Süreçlerin otomatize edilmesi noktasında gerekli temel scriptlerin yazılmasını sağlamak,

• Zararlı yazılım analizi, ağ adli bilişimi, uç-nokta adli bilişimi, tehdit istihbaratı ve tehdit avcılığı konuları hakkında bilgi ve tecrübe sahibi olmak,

• MiTREATTACK Framework hakkında bilgi sahibi olmak,

• Olay Müdahale ve Adli Bilişim Analizi araçlarının kullanımında deneyime sahip olmak,

•  Python, Powershell, Bash Script dillerinden en az birine hakim, otomasyon scriptlerini yazabilecek tecrübeye sahip olmak,

Tercihen; GCIA, GCIH, GREM, GMON, GNFA, GCFAsertifikalarından en az birine sahip olmak.

Genel Nitelik ve Yetkinlikler

• ÜniversitelerinBilgisayar Mühendisliği, Bilişim Sistemleri Mühendisliği, Elektrik veElektronik Mühendisliği, Elektronik Mühendisliği, Elektronik ve HaberleşmeMühendisliği, Yazılım Mühendisliği, Matematik Mühendisliği, EndüstriMühendisliği, Endüstri ve Sistem Mühendisliği, İşletme Mühendisliği, FizikMühendisliği, Mekatronik Mühendisliği ile Yönetim Bilişim Sistemleri,Bilgisayar Bilimleri, Matematik, İstatistik, Fizik, Yapay Zeka Mühendisliğil isans programlarından mezun olmak,

• İlgili alanlarda 2-12 yıl arasında deneyime sahip olmak,

• İletişim, koordinasyon, planlama, organizasyon ve analitik düşünme yeteneklerine sahip olmak,

• En az Orta, tercihen ileri seviye yabancı dil bilgisine sahip olmak.

Çalışma Yeri / Şekli: Ankara, İstanbul / Hibrit