Ingeniero de Seguridad de Aplicaciones
Ingeniero de Seguridad de Aplicaciones para diseñar, implementar y operar el ciclo de vida de desarrollo de software seguro en Addi, liderando la seguridad en el desarrollo de aplicaciones y servicios.
Atractivo para profesionales que buscan liderar la seguridad en aplicaciones y servicios en una empresa líder en el mercado financiero.
Descripción del puesto
Sobre Addi Somos una plataforma financiera líder, que construye el futuro de los pagos, las compras y la banca: un mundo donde los consumidores y los comerciantes pueden realizar transacciones de manera fácil, crecer juntos y crear abundancia y orgullo en ellos. Hoy en día, atendemos a más de 2 millones de clientes y nos asociamos con más de 20.000 comerciantes, lo que hace que Addi sea el mercado de más rápido crecimiento en Colombia. Proporcionamos soluciones bancarias (depósitos, pagos, crédito no garantizado) y servicios de comercio (comercio electrónico, marketing) utilizando tecnología de última generación, puenteando la brecha financiera para millones de personas y redefiniendo cómo las personas experimentan la libertad financiera. Como proveedor líder de "Compre ahora, pague después" en el país, hemos obtenido la aprobación regulatoria para operar como banco, lo que desbloquea aún mayores oportunidades para nuestros clientes. En el último año, también hemos logrado rentabilidad, lo que refuerza la solidez de nuestro modelo de negocio y nuestra capacidad para escalar de manera sostenible. Nuestra misión ha ganado la confianza de inversores de clase mundial, como Andreessen Horowitz, Architect Capital, GIC, Goldman Sachs, Greycroft, Monashees, Notable Capital, Quona Capital, Union Square Ventures, Victory Park Capital y más, que respaldan nuestra visión para el futuro. Con su apoyo, no solo estamos creciendo, sino que estamos transformando el ecosistema financiero de América Latina y dando forma a la próxima generación para comprar, pagar y bancar en Colombia. Pero lo que realmente nos distingue es cómo construimos. Somos una empresa consciente, impulsada por una profunda experiencia en la escalada de tecnología, servicios y productos, y vivimos nuestros valores todos los días. Sobre el rol Aquí es donde entras. A continuación, encontrarás de qué se trata este rol: el impacto que impulsarás, los desafíos que enfrentarás y qué se necesita para prosperar en Addi. Si estás listo para ser parte de algo grande, sigue leyendo. La misión que impulsarás Diseñar, implementar y operar el ciclo de vida de desarrollo de software seguro (SSDLC) de extremo a extremo, integrando requisitos de seguridad, modelado de amenazas, pruebas y gestión de vulnerabilidades en el proceso de desarrollo para reducir el riesgo de la aplicación a escala. Qué harás - Diseñar e implementar un ciclo de vida de desarrollo de software seguro (SSDLC) estandarizado en servicios web, móviles, API y habilitados por IA, integrando la seguridad en los flujos de trabajo de SDLC y CI/CD para lograr una cobertura del ≥90% de los flujos comerciales críticos y una adopción del equipo del ≥50% para fines de 2026, con una reducción medible de vulnerabilidades de alta gravedad posteriores a la liberación. - Establecer y operar una práctica de modelado de amenazas consistente para aplicaciones nuevas y de alto riesgo utilizando marcos reconocidos, asegurando que ≥60% de los servicios críticos tengan modelos de amenazas documentados y requisitos de seguridad aprobados antes de la producción para fines del tercer trimestre de 2026, mientras se previenen ≥70% de los problemas de diseño de alto riesgo antes de la implementación. - Poseer el ciclo de vida de gestión de vulnerabilidades de la aplicación de extremo a extremo en código, dependencias, API y aplicaciones móviles, asegurando que ≥70% de las vulnerabilidades críticas se remedien dentro de los SLA para fines del segundo trimestre de 2026, con una reducción continua trimestre a trimestre en hallazgos críticos abiertos. - Implementar y operar pruebas de seguridad de aplicaciones automatizadas dentro de los pipelines de CI/CD, incluyendo detección de secretos, SAST, dependencia, DAST y pruebas móviles, logrando una cobertura de aplicaciones de producción del ≥80% para fines de 2026, reduciendo falsos positivos en ≥30% y permitiendo a los desarrolladores remediar ≥75% de los hallazgos de alta gravedad dentro del mismo sprint. - Planificar y gestionar evaluaciones de seguridad de aplicaciones, pruebas de penetración y ejercicios adversarios para aplicaciones críticas, asegurando que el 100% de los hallazgos de alto riesgo se rastreen y remedien dentro de los SLA, y demostrando una reducción año a año de problemas de alto riesgo recurrentes. Qué estamos buscando - Experiencia práctica en pruebas de seguridad de aplicaciones y herramientas - Experimentado en el uso y mantenimiento de herramientas de seguridad de aplicaciones como Burp Suite, MobSF, trufflehog, Nuclei y revisión manual de código, incluyendo soluciones SAST, DAST y pruebas móviles. - Ajusta las herramientas para reducir falsos positivos y asegura que los hallazgos sean accionables y amigables para los desarrolladores. - Integra pruebas de seguridad automatizadas sin problemas en los pipelines de CI/CD y los flujos de trabajo de los desarrolladores. - Capacidad demostrada para liderar el modelado de amenazas y el diseño seguro - Realiza sesiones de modelado de amenazas estructuradas utilizando marcos como DREAD, PASTA y STRIDE para identificar y evaluar riesgos a nivel de diseño. - Traduce los resultados del modelo de amenazas en requisitos de seguridad claros y priorizados y controles arquitectónicos. - Aplica una comprensión profunda de los patrones de amenaza comunes, incluyendo OWASP Top 10, seguridad de API, móviles, web y riesgos relacionados con IA. - Fuerte capacidad en gestión de vulnerabilidades y soporte de remediation - Gestiona vulnerabilidades de aplicaciones de extremo a extremo, desde la identificación hasta la verificación y el cierre de la remediation. - Prioriza vulnerabilidades según la gravedad técnica, la explotabilidad y el impacto comercial. - Se asocia estrechamente con los equipos de ingeniería para guiar los esfuerzos de remediation y reducir problemas recurrentes. - Historial de entrega de evaluaciones de seguridad, pruebas de penetración y pruebas adversarias - Trae 3+ años de experiencia coordinando y apoyando pruebas de penetración, evaluaciones de seguridad y ejercicios de equipo rojo o adversarios. - Analiza los resultados de las evaluaciones para identificar causas raíz y impulsar mejoras de seguridad medibles. - Asegura que los hallazgos se rastreen sistemáticamente, se remedien y se incorporen en ciclos de mejora continua. - Experimentado en colaboración interfuncional y habilitación de desarrolladores - Actúa como un socio de seguridad confiable para los equipos de ingeniería, equilibrando la gestión de riesgos con la velocidad de entrega. - Posee experiencia práctica en desarrollo en al menos un lenguaje de programación (por ejemplo, Java o Python) para permitir orientación práctica a nivel de código. - Comunica riesgos de seguridad de manera clara y pragmática, contribuye a la educación en codificación segura y aprovecha la IA para automatizar controles o expandir la cobertura de seguridad. Por qué unirse a nosotros - Trabajar en un problema que realmente importa - Estamos redefiniendo cómo las personas compran, pagan y bancan en Colombia, derribando barreras financieras y empoderando a millones. Tu trabajo impactará directamente en la vida de los clientes al crear servicios financieros más accesibles, fluidos y justos. - Ser parte de algo grande desde el principio - Esta es tu oportunidad de ayudar a dar forma a una empresa, influenciando todo desde nuestra tecnología y estrategia hasta nuestra cultura y valores. No serás solo un empleado, sino un propietario. - Oportunidad de crecimiento sin precedentes - El mercado que estamos abordando es enorme, y estamos creciendo más rápido que casi cualquier prestamista fintech en nuestra etapa. Si estás buscando un rol de alto impacto en una empresa que está escalando rápidamente, esto es lo que es. - Únete a un equipo de clase mundial - Trabaja junto a talentos de primer nivel de todo el mundo, en un entorno donde la excelencia, la propiedad y la colaboración son el núcleo de todo lo que hacemos. Nos importa profundamente lo que construimos y cómo lo construimos, y queremos que seas parte de ello. - Compensación competitiva y propiedad significativa - Creemos en recompensar a nuestro talento. Recibirás un salario generoso, equidad en la empresa y beneficios que van más allá de los conceptos básicos para apoyar tu crecimiento. Cómo se ve el proceso de contratación Creemos en una experiencia de contratación rápida, transparente y atractiva que permita tanto a ti como a nosotros determinar si hay una excelente opción. Aquí es como se ve nuestro proceso: - Paso 1: Entrevista de personas (30 min) Una conversación con un reclutador o gerente de contratación para conocerte, tu experiencia y lo que estás buscando. También compartiremos más sobre Addi, nuestra cultura y el rol. - Paso 2: Entrevista inicial (60 min) Una conversación más profunda con nuestro jefe de ciberseguridad, donde exploraremos tus habilidades, experiencia y enfoque para resolver problemas. Queremos entender cómo piensas y trabajas. - Paso 3: Entrevista en profundidad (60 min) Conocerás a futuros colegas y miembros del equipo interfuncional para sentir cómo trabajamos juntos. Estamos buscando contribuyentes fuertes y ajustes culturales, ¡así que trae tus preguntas también! - Paso 4: Estudio de caso (3-5 días) Puedes recibir un desafío del mundo real o un estudio de caso para completar. Esta es una oportunidad para mostrar tu experiencia y cómo abordas problemas clave relevantes para el rol. - Paso 5: Entrevista con el cofundador Si hay una excelente opción, tendrás una conversación final con nuestro fundador para alinearte en expectativas, ajuste cultural y asegurar la emoción mutua. A partir de ahí, nos moveremos rápidamente a una oferta y discutiremos los próximos pasos. Valoramos la eficiencia y el respeto por tu tiempo, así que nos esforzamos por completar el proceso lo más rápido posible. Nuestro objetivo es hacer que esta experiencia sea tan informativa y emocionante para ti como lo es para nosotros. Independientemente del resultado, estamos comprometidos a proporcionar retroalimentación, asegurando que te vayas con ideas valiosas de tu experiencia con nosotros.
Responsabilidades
- Diseñar e implementar un ciclo de vida de desarrollo de software seguro
- Gestionar vulnerabilidades de aplicaciones
- Realizar threat modeling y testing de seguridad
- Colaborar con equipos de desarrollo
Skills requeridas
Beneficios
- Competitive compensation
- Equity en la compañía
- Beneficios adicionales