## Ozon - Head of Application Security
### Менеджерская часть
- Руководство направлением из 20 человек (мотивация/обучение/управление задачами/консультирование/найм/увольнение)
- Управление бюджетом направления на год в том числе и ФОТ
- Оценка зрелости существующего S-SDLC процесса
- Написание стратегии отдела(S-SLDC)/продуктов(AuthZ/AuthN)
- Построение процессов взаимодействия команд между собой
- Формализация процесса ревью направления, который был вписан в существующий, для понятного и прогнозируемого результата каждым из сотрудников своих заслуг и результатов
- Бренд ИБ (выступления команды на внешних и внутренних мероприятиях, статьи в публичных источниках)
- Владелец продуктов AuthZ и AuthN, как внешними (Ozon ID), так и внутренними(Ozon Ключ) (построение и ведение актуальной стратегии, понимание актуальных проблем бизнеса, гибкое управление беклогом)
- Отчетность выщестоящему руководству(метрики), отчетность для инвесторов
### Техническая часть
- Развитие S-SDLC на opensource:
- Выбор новых решений для пилота и внедрения
- MVP собственных решений на основе opensource
- Автоматизация ручных проверок
- Thread modeling
- Разработка собственных новых правил для SAST
- Разарботка собственного решения DAST
- Успешное внедерение инструментов SCA/OSA/BCA
- Проведение ручных аудитов информационной безопасности и последующая консультация разработчиков
- Перезапуск и управление BugBounty программой на площадке BiZone,PT
- Риск-координатор/менеджер, собственный процесс интегрированый с общепринятым в компании
- Хардеринг платформенных решений k8s, Ci/Cd
- Внедрение s2s AuthZ
- Awerness для разрботчиков, CTF, обучение, workshop'ы
- Техническое обеспечение процесса КЭДО, внедрение с последующим обеспечение стабильности и отказоустойчивостиe
## SberGames - Head of Application Security
- Руководство командой из 2-х человек (найм/обучение/консультирование)
- Выстраивание S-SDLC(risk and vulnerability managment, code review, sca/bca,sast,dast) процессов в (GCP/AWS)
- Тиражирование практик на другие смежные компании
- Подготовка к запуску BugBounty программы
- Создание единой базы знаний по специфике найденных уязвимостей
- Тюнинг внедренных инструментов для снижение TTM
- Защита цепочек поставок
- Проведение собственных аудитов информационной безопасности (пентестов) (белый/серый ящик)
## Ozon - Senior Application Security engineer
### Ozon - Application Security engineer
- Построение процессов BugBounty на платформе hackerOne
- Проведение аудитов(пентестов) информационной безопаносности
- Консультирование разработчиков по найденным уязвимостям и методам их исправления
- Внедрение инструментов S-SDLC,(Sast, DefectDojo)
- Построение процесса RISK https://habr.com/ru/companies/ozontech/articles/653517/
- Автоматизирование ручных проверок, а также рутинных проверок
- Разработка обучения разработчиков с примерами найденными в инфраструктуре
## Sberbank - Application Security engineer
- Внедрение проверки SAST в не платформенный pipeline команд
- Разбор сработок правил, тюнинг существующих
- Тесное взаимодействие с командой разработчиков checkmarx для улчения механизма построение ast деревьев
- Взаимодействие с командой пентестеров для глубокого понимания найденных уязвимостей с последующей автоматизацией.
- Проведение скринингов с командой(разработки) и советы по исправлению уязвимостей, оптимизация инструмента SAST под нужны команд.
- Построение метрик для отчетности
Sign in with Wallet
Connect another wallet