Responsável de Cibersegurança/Gestor de Cibersegurança

Responsável de Cibersegurança/Gestor de Cibersegurança

Por

A SDO Moçambique está a recrutar um Responsável de Cibersegurança/Gestor de Cibersegurança, para Maputo, em Moçambique.

Funções
Governança da segurança da informação
  • Desenvolver e manter uma estrutura de segurança da informação MoDI
  • Implementar e gerir um Sistema de Gestão da Segurança da Informação (ISMS) alinhado com a ISO/IEC
  • 27001
  • Definir políticas de segurança para:
  • Registo de assinantes
  • Captura e armazenamento biométrico
  • Integrações API
  • Interacções de risco central
  • Registo e validação de agentes
  • Realizar avaliações anuais de risco de segurança
  • Manter relatórios de conformidade regulamentar para as autoridades relevantes
Segurança de dados biométricos (área crítica)
  • De acordo com a secção 6.2 (Gestão de Segurança da Informação)
  • Garantir:
  • Criptografia AES para dados biométricos
  • Armazenamento seguro de:
  • Imagens faciais
  • Impressões digitais (requisito ≥ 500 DPI)
  • Acesso controlado a bases de dados biométricas
  • Segregação de ambientes de armazenamento biométrico
  • Supervisionar a gestão do ciclo de vida das chaves de criptografia
  • Implementar a criptografia de dados faciais, conforme exigido nas especificações da API MoDI specs
Segurança da API e integração (ecossistema MoDI)
  • Garantia
  • Segurança:
  • Tokens de autenticação (X-Auth-Token)
  • Chaves de entidade
  • APIs de subscrição de serviços
  • APIs de validação
  • Aplicação:
  • Criptografia TLS 1.2+
  • Políticas de expiração de tokens
  • Lista de IPs autorizados para integração VPN/API
  • Realizar testes de penetração da API
  • Monitorar padrões anormais em:
  • subscriber/save
  • subscriber_check
  • service/subscribe
  • Endpoints SIM SWAP
Monitorização centralizada de riscos e fraudes
  • Em conformidade com os requisitos de validação e de qualquer agência de risco
  • Monitorizar:
  • Tentativas de fraude SIM SWAP
  • Duplicação de identidade
  • Anomalias no registo de dispositivos
  • Implementar regras de detecção de fraudes:
  • Tentativas de validação de alta frequência
  • Abuso de OTP
  • Uso indevido de agentes
  • Coordenar com:
  • Operadoras de telecomunicações
  • Instituições financeiras
  • Autoridades policiais (quando exigido por lei)
Segurança da infra-estrutura
  • Em conformidade com as medidas de segurança exigidas pelas normas técnicas:
  • Projectar segmentação VPC segura
  • Configurar firewalles por subsistema
  • Remover o acesso directo à Internet aos sistemas de BackOffice
  • Implementar:
  • IDS/IPS
  • SIEM
  • Retenção de registos (recomenda-se um mínimo de 5 anos)
  • Supervisionar a gestão de vulnerabilidades
Supervisão regulamentar e de conformidade
  • Garantir a partilha segura de dados de acordo com o Artigo 27 (Regras de partilha de dados)
  • Garantir que as instituições financeiras que utilizam o MoDI cumprem os requisitos de identificação biométrica
  • Apoiar auditorias ao abrigo da regulamentação do sector financeiro
  • Produzir provas de conformidade para:
  • SLAs (Secção 9)
  • Certificação de segurança
  • Auditorias externas
Resposta a incidentes e gestão de crises
  • Desenvolver o Plano de Resposta a Incidentes Cibernéticos do MoDI
  • Liderar a resposta a:
  • Violações de dados
  • Fugas biométricas
  • Comprometimento da API
  • Roubo de credenciais
  • Realizar investigações forenses
  • Emitir notificações regulamentares dentro dos prazos exigidos
  • Liderar a análise da causa raiz pós-incidente
Requisitos
  • Formação académica
  • Licenciatura em Cibersegurança, Ciência da Computação, Segurança da Informação ou área relacionada
  • CISSP, CISM, CEH ou equivalente (preferencial)
  • ISO 27001 Lead Implementer ou Lead Auditor (forte vantagem)
  • Experiência
  • Mais de 5 anos em cibersegurança
  • Experiência em:
  • Sistemas governamentais ou de telecomunicações
  • Segurança de API
  • Sistemas biométricos
  • Segurança de serviços financeiros
  • Experiência com padrões de criptografia (AES)
  • Competências técnicas
  • Testes de segurança de API
  • Arquitectura de segurança na nuvem
  • Criptografia e gestão de chaves
  • Concepção de bases de dados seguras
  • IAM (Gestão de Identidades e Acessos)
  • Segmentação de redes
  • Ferramentas SIEM
  • Práticas seguras de DevOps
  • Indicadores chave de desempenho (KPIs)
  • zero violações críticas de dados biométricos
  • Tempo de actividade da API dentro dos parâmetros do SLA
  • Resultados bem-sucedidos em auditorias regulatórias
  • Tempo de resposta a incidentes < SLA definido
  • Melhoria na precisão da detecção de fraudes
  • 100% de conformidade com a criptografia
Notas
  • Apenas candidatos pré-seleccionados serão contactado

Deixe um comentário