Silent4Business

Analista de Vulnerabilidades

Silent4Business  •  Mexico (Onsite)  •  3 hours ago
Apply
AI can make mistakes so check important info. Chat history is never stored.

Job Description

¡Silent4business te está buscando!

Analista de Vulnerabilidades

Conocimientos Técnicos:

Indispensable

  • Análisis y gestión de vulnerabilidades en infraestructura, aplicaciones y servicios.
  • Hackeo ético y validación técnica de hallazgos.
  • Seguridad en aplicaciones web bajo OWASP Top 10.
  • Uso de herramientas como Nessus, Qualys, Rapid7, OpenVAS o similares.
  • Uso de herramientas ofensivas como Nmap, Burp Suite, Metasploit, Hydra, Gobuster y ffuf.
  • Interpretación de CVE, CVSS, CWE y priorización de riesgos.
  • Hardening de sistemas operativos Windows y Linux.
  • Elaboración de reportes técnicos, ejecutivos y recomendaciones de remediación.
  • Conocimiento en controles DLP y prevención de fuga de información.
  • Conocimiento de frameworks como CIS Controls, NIST, ISO 27001 y MITRE ATT&CK.

Actividades:

  • Ejecutar análisis de vulnerabilidades sobre infraestructura, aplicaciones, servicios expuestos, sistemas internos y componentes tecnológicos definidos por la organización.
  • Realizar pruebas técnicas de validación para confirmar la existencia, criticidad, explotabilidad e impacto de las vulnerabilidades identificadas.
  • Apoyar en actividades de hackeo ético controlado, incluyendo pruebas sobre aplicaciones web, servicios, autenticación, exposición de información, configuraciones inseguras y debilidades de acceso.
  • Ejecutar análisis de fuerza bruta controlados sobre aplicativos o servicios autorizados, con el objetivo de identificar debilidades en políticas de contraseñas, controles de bloqueo, MFA, rate limiting y mecanismos de autenticación.
  • Elaborar reportes técnicos y ejecutivos con los hallazgos identificados, nivel de riesgo, evidencia, impacto potencial, activos afectados y recomendaciones de remediación.
  • Proponer acciones de optimización y endurecimiento de seguridad sobre aplicaciones, infraestructura, configuraciones, controles de acceso y mecanismos de protección.
  • Asesorar a los equipos técnicos en la interpretación de vulnerabilidades, priorización de riesgos y definición de planes de remediación.
  • Dar seguimiento a la remediación de vulnerabilidades, validando la correcta aplicación de controles, parches, configuraciones o mitigaciones compensatorias.
  • Apoyar en la optimización de aplicativos bajo mejores prácticas de seguridad, considerando lineamientos como OWASP, hardening, control de sesiones, manejo seguro de credenciales y protección de datos.
  • Participar en la revisión y mejora de controles DLP, identificando oportunidades de optimización para prevenir fuga de información sensible.
  • Generar propuestas de mejora continua para reducir la superficie de ataque, fortalecer controles preventivos y mejorar la postura de seguridad de la organización.
  • Mantener documentación actualizada sobre vulnerabilidades, evidencias, recomendaciones, avances de remediación, excepciones de riesgo y lecciones aprendidas.

Certificaciones:

Indispensable

  • OSCP — Offensive Security Certified Professional.
  • CEH — Certified Ethical Hacker.
  • CEH Master — Certified Ethical Hacker Master.

Deseable

  • eJPT — Junior Penetration Tester.
  • CompTIA PenTest+. CompTIA Security+.
  • ISO/IEC 27001 Foundation o Lead Implementer.
  • Certificaciones en herramientas de gestión de vulnerabilidades, como Tenable/Nessus, Qualys o Rapid7.

Experiencia:

  • Análisis y gestión de vulnerabilidades en infraestructura, aplicaciones y servicios — 4 años — Avanzado.
  • Consultoría, asesoría y reporteo técnico/ejecutivo de vulnerabilidades — 4 años — Avanzado.
  • Hackeo ético y pruebas de seguridad ofensiva controladas — 3 a 4 años — Avanzado.
  • Validación técnica de hallazgos, explotación controlada y priorización de riesgos — 3 a 4 años — Avanzado.
  • Uso de herramientas de escaneo como Nessus, Qualys, Rapid7, OpenVAS o similares — 3 a 4 años — Avanzado.
  • Uso de herramientas de validación como Nmap, Burp Suite, Metasploit, Hydra, Gobuster, ffuf o similares — 3 a 4 años — Avanzado.
  • Pruebas de fuerza bruta controladas sobre aplicativos o servicios autorizados — 2 a 3 años — Medio/Avanzado.
  • Definición de recomendaciones de remediación, mitigación y controles compensatorios — 3 a 4 años — Avanzado.
  • Optimización de aplicativos bajo mejores prácticas de seguridad — 2 a 3 años — Medio/Avanzado.
  • Revisión u optimización de controles DLP — 1 a 2 años — Medio.

Herramientas/Software:

  • Nessus / Tenable — Avanzado.
  • Qualys VMDR — Intermedio/Avanzado.
  • Rapid7 InsightVM / Nexpose — Intermedio/Avanzado.
  • OpenVAS / Greenbone — Intermedio.
  • Nmap — Avanzado.
  • Burp Suite — Avanzado.
  • Metasploit Framework — Intermedio/Avanzado.
  • Hydra — Intermedio/Avanzado.
  • Gobuster / Dirbuster — Intermedio.
  • ffuf — Intermedio.
  • Nikto — Intermedio.
  • OWASP ZAP — Intermedio/Avanzado.
  • Kali Linux — Avanzado.
  • Linux y Windows Server — Intermedio/Avanzado.
  • Python, Bash o PowerShell — Intermedio.
  • CVSS Calculator / NVD / MITRE CVE / CWE — Avanzado.
  • Microsoft Defender for Cloud Apps, Purview DLP o herramientas DLP similares — Intermedio.
  • Jira, ServiceNow, Excel o herramientas de seguimiento de remediación — Intermedio.

Ofrecemos:

  • Prestaciones superiores a la ley
  • Excelente ambiente laboral
  • Lugar de trabajo San Angel

La organización no discrimina por motivos de sexo, edad, persona con discapacidad, orientación y preferencia sexual, religión o creencias religiosas, condición de salud, embarazo, raza u origen étnico, lugar de origen, etc. Durante nuestro proceso de contratación no solicitamos certificados médicos de no embarazo ni Virus de Inmunodeficiencia Humana (VIH).

Silent4Business

About Silent4Business

Somos una empresa especializada en seguridad de la información. Para ello, implementamos estrategias y tácticas a la medida de tu organización que faciliten la toma de decisiones y mantengan una alta disponibilidad de tus procesos y servicios.

Más información en: www.silent4business.com

Nuestros principales servicios:

Servicios administrados: Centro de operaciones de seguridad (SOC).

Monitoreo de infraestructura (NOC).

Ciberinteligencia.

Consultoría normativa y riesgos.

Soluciones tecnológicas:

Medio de pago seguro.

Reorganización financiera.

Industry
IT & Software
Company Size
51-200 employees
Headquarters
Unknown
Year Founded
2016
Social Media