Líder de operaciones de seguridad soc (cdmx, miguel hidalgo) sobre el rol: será miembro del pool de expertos operativos encargados de investigar y responder a cualquier alerta de los distintos servicios de global cert no gestionada completamente por n1 y n2, es decir que requiere de un análisis experto. Participará en la elaboración de las notificaciones, procedimientos y playbooks de n1 y n2, supervisando la correcta ejecución de los mismos vía la revisión de tickets. Cuando la alerta sea relevante y se catalogue como incidente, será responsable del escalado y de trasladar la información al equipo forense, quedando a disposición del mismo para ejecutar cualquier acción que se pueda requerir. Realizará tareas de hunting, preparando investigaciones puntuales, analizando el output y tomando decisiones sobre los distintos findings encontrados. La persona que se incorpore al rol tendrá cómo funciones principales: análisis experto de las alertas relevantes que lleguen por cualquiera de las tecnologías y servicios bajo el paraguas de global cert o a través de notificaciones internas y/o de terceros. Supervisión del veredicto y calidad del servicio proporcionado por n1 y n2, típicamente mediante catas y revisión de volumetrías y tiempos. Implementación y fine tuning de iocs/ioas/políticas en las distintas plataformas. Definición y documentación de playbooks para n1 y n2. Creación y adecuación de plantillas para las notificaciones asociadas a cada ticket. Identificación de posibles automatizaciones, tanto para mejorar las detecciones como para enriquecer la información y ampliar las capacidades de análisis, trasladando su necesidad a los service owner. Propuesta, diseño, planificación y ejecución de trabajos de hunting aplicando correctamente las metodologías y frameworks de threat hunting existentes generación de hipótesis de hunting basadas en información de inteligencia. Coordinación de los trabajos de hunting llevados a cabo por el proveedor para garantizar que se cumple en forma, fondo y tiempos lo acordado colaboración con el equipo de threat intel en la realización de búsquedas utilizando las herramientas disponibles. Analizar la información recibida desde threat intel o desde terceros de cara a adecuar las capacidades del servicio y mejorar la detección. Realización de actividades de hunting (diseño, planificación y ejecución) puntuales, investigaciones recurrentes e incidentes ocurridos en el grupo bbva. Realización de actividades de deception (diseño, planificación y ejecución) en el grupo bbva. Participación en definición y ejecución de ejercicios de purple team. Realización de scripts (python) para automatización de ciertas tareas, obtención y procesamiento de datos. Diseñar los distintos dashboards para su implementación por el equipo de reporting. Colaborar en la obtención de evidencias para auditoría, controles, regulador, etc que se puedan necesitar, tanto de forma centralizada como local por los países. Adicionalmente a lo anterior, también se encargará de: participación directa en la respuesta a incidentes de ciberseguridad. Redacción de informes ejecutivos y técnicos. Gestión y gobierno del proveedor de servicios gestionados incluyendo la definición y medición de slas relativos al desempeño del proveedor. Implicarse en el conocimiento de todas las unidades de global security operations con el objetivo de aportar ideas y encontrar la manera más eficiente de utilizar las herramientas corporativas para cada una de ellas. Mantener el conocimiento teórico y práctico de su disciplina dentro del equipo de trabajo intercambiando conocimientos y experiencias, y proponiendo la formación adecuada en cada momento. Administrar perfilado (concesión/denegación) de acceso a las herramientas. Buscamos una persona con las siguientes skills: skills técnicos: formación indispensable: ingeniería en sistemas o afín. Experiencia profesional de al menos 5 años en materia de ciberseguridad, preferiblemente enfocada al uso y administración de herramientas de ciberseguridad tales como email gateway, edr (end point detection and respond - sentinel one), proxy, antivirus, data loss prevention / data leak prevention, web application firewall (akamai). Experiencia profesional de al menos 5 años en un equipo multidisciplinar orientado a la ciberseguridad. Capacidad demostrada para analizar, evaluar e interpretar conjuntos complejos de información y datos con una sólida comprensión y aplicación de técnicas analíticas. Conocimientos de técnicas empleadas por los atacantes. Conocimientos de herramientas de ticketing. Conocimientos de creación/análisis de iocs/ioas/yaras. Conocimientos de los principales estándares en seguridad de la información (tiber-eu, mitre att&ck) así como saber realizar búsquedas de información tanto en fuentes abiertas (osint) como privadas. Conocimientos de los principales estándares en seguridad de la información (iso, nist). Conocimientos de regulaciones de ciberseguridad y ámbito financiero (pci-dss, bce, sox) conocimientos y experiencia en las siguientes herramientas: email: preferiblemente google workspace. Email gw: preferiblemente fireeye etp. Edr: preferiblemente sentinelone. Proxy: preferiblemente zscaler. Dns fw: preferiblemente cisco umbrella. Waf: preferiblemente akamai kona (app & api protection). Antiddos: preferiblemente akamai prolexic. Ips: preferiblemente cisco, checkpoint y paloalto. Cloud: preferiblemente aws, gcp, azure. Siem: preferiblemente google chronicle. Itsm: preferiblemente jira servicedesk tip: preferiblemente opencti se valorarán las certificaciones relacionadas con la ciberseguridad y herramientas anteriormente mencionadas. Nivel de inglés requerido: b2 (deseable c1). Disponibilidad para viajar (transoceánico) en caso de incidente (a modo de referencia 1 viaje de una semana al año). Soft skills: sólidas habilidades de comunicación. Experiencia trabajando en equipos globales atención a los detalles y capacidad para definir flujos y secuencia de acciones en función de los acontecimientos. Proactividad, iniciativa y automotivación, con capacidad de innovación, creatividad, curiosidad e inconformismo capacidad de toma de decisiones basada en datos. Pasión por lo que se hace y con ganas de aprender, con proactividad y ganas de mejorar continuamente el servicio prestado. La posición es para trabajar de manera híbrida 2 días presenciales en la zona de polanco y atizapán de zaragoza. Oferta de valor: nuestros colaboradores son el motor de bbva y nos tomamos muy en serio su bienestar. Por ello les otorgamos prestaciones que mejoren no solo su vida, sino la de sus familias. Al integrarte a nuestro equipo podrías acceder a muchos beneficios, te compartimos algunos: prestaciones bancarias superiores a las de la ley. Seguro de vida y gastos médicos mayores vacaciones superiores a las de la ley. Plan de retiro. Préstamos exclusivos. Promociones exclusivas. Membresía a deportivos. Oportunidad de crecimiento dentro del grupo. Participación en los juegos bancarios.