← Voltar para vagas

Staff Cybersecurity Engineer

impulsogov

Remoto BR
Sem Categoria

Score da Vaga

90 pontos
Modelo remoto (+90)

Incentivamos e priorizamos candidaturas de mulheres, pessoas negras, pessoas com deficiência e LGBTQIA+

Sobre a posição

A ImpulsoGov é uma organização sem fins lucrativos que usa tecnologia e dados para fortalecer a atenção primária do SUS, apoiando municípios em todo o Brasil. Processamos dados sensíveis de saúde de milhões de pessoas, e proteger esses dados é parte central da nossa responsabilidade institucional.

Esta será a primeira posição dedicada exclusivamente à segurança da informação na ImpulsoGov. Buscamos uma pessoa sênior, hands-on e com alta autonomia para estruturar, executar e evoluir os fundamentos de cibersegurança da organização.

É uma posição de liderança técnica individual, com atuação transversal junto à liderança de Tecnologia, Engenharia, Dados, Produto e Gestão Interna. A pessoa contratada terá mandato para priorizar riscos, propor controles, operar ferramentas e apoiar a construção de uma cultura de segurança pragmática, proporcional ao nosso contexto e orientada ao impacto.

Responsabilidades

A pessoa será responsável por estruturar e executar a agenda de segurança da ImpulsoGov, com foco nos seguintes pilares:

1. Cloud, infraestrutura e acessos

  • Revisar e evoluir a postura de segurança da infraestrutura em Google Cloud.
  • Apoiar decisões de arquitetura segura desde a concepção, incluindo IAM, redes, isolamento, secrets, chaves, logs e hardening.
  • Revisar privilégios, contas críticas, acessos administrativos e exposição de ambientes sensíveis.
  • Implementar práticas de menor privilégio, MFA, segregação de funções e revisão periódica de acessos.

2. Dispositivos, identidade e ferramentas internas

  • Implantar e operar a gestão de dispositivos da equipe, incluindo MDM, políticas de configuração e inventário.
  • Avaliar, configurar e operar ferramentas como EDR, VPN, soluções de AppSec, gestão de segredos e monitoramento de segurança.
  • Estruturar processos simples e sustentáveis para onboarding, offboarding e controle de acessos.

3. DevSecOps e segurança de aplicações

  • Evoluir o ciclo de desenvolvimento com práticas de segurança shift-left.
  • Implementar ou aprimorar SAST, DAST, SCA, análise de dependências, gestão de segredos e segurança em CI/CD.
  • Apoiar a estratégia de abertura de repositórios no GitHub, garantindo que código, histórico, secrets e dependências estejam seguros antes da publicação.
  • Trabalhar com Engenharia e Produto para transformar segurança em parte natural do desenvolvimento (DevSecOps), sem criar burocracia desnecessária.

4. Governança, risco e resposta a incidentes

  • Conduzir diagnósticos e autoavaliações com base em frameworks reconhecidos, como CIS Controls, NIST CSF, OWASP SAMM e ISO 27001.
  • Priorizar riscos de segurança considerando impacto, probabilidade, esforço e contexto da organização.
  • Estruturar controles práticos para apoiar conformidade com LGPD e proteção de dados pessoais sensíveis.
  • Criar playbooks básicos de resposta a incidentes, fluxos de comunicação, critérios de severidade e rotinas de aprendizado.
  • Coordenar pentests, avaliações externas e relacionamento com fornecedores de segurança.

Pré-requisitos

  • Experiência prática e sênior em segurança da informação, segurança de cloud, AppSec, DevSecOps, identidade/acessos ou infraestrutura.
  • Capacidade de atuar com autonomia em uma estrutura enxuta, priorizando pelo risco e pelo impacto.
  • Conhecimento sólido em cloud security, idealmente em Google Cloud.
  • Experiência com IAM, MFA, menor privilégio, contas privilegiadas e gestão de acessos.
  • Vivência com práticas de DevSecOps, como SAST, DAST, SCA, secrets management, hardening de pipelines ou segurança de dependências.
  • Disposição para executar trabalho operacional, configurar ferramentas, documentar processos e acompanhar a implementação até o fim.
  • Boa comunicação para traduzir riscos técnicos em decisões claras para públicos técnicos e não técnicos.

Diferenciais

  • Ter sido a primeira pessoa de segurança de uma organização ou ter estruturado uma função de segurança do zero.
  • Experiência com dados pessoais sensíveis, dados de saúde, LGPD ou ambientes regulados.
  • Experiência com CIS Controls, NIST CSF, ISO 27001, OWASP SAMM ou OWASP ASVS.
  • Experiência com MDM, EDR, SIEM, CSPM, CNAPP ou ferramentas de AppSec.
  • Experiência conduzindo ou contratando pentests.
  • Certificações como CISSP, CCSP, OSCP, Google Professional Cloud Security Engineer, Security+ ou equivalentes.
  • Experiência prévia no terceiro setor, saúde pública, governo ou projetos de impacto social.
  • Inglês intermediário ou avançado.

Etapas do processo seletivo

  • Análise de currículo;
  • Desafio técnico;
  • Entrevista com a equipe de Pessoas e Cultura;
  • Entrevista técnica;
  • Entrevista final.

Sobre a vaga

  • Remuneração: Compatível com o mercado
  • Benefícios: 
    • Período Sem Entregas - 20 dias úteis para você tirar sem entregas durante o ano (sendo proporcional ao período do contrato);
    • WellHub (antigo Gympass);
    • Zenklub - com duas sessões mensais pagas pela ImpulsoGov direto na plataforma;
    • Convênio de Saúde Alice ou voucher de saúde para contratação do seu convênio de preferência;
    • Aulas de inglês pela plataforma Cambly
    • Crédito de 880 reais no cartão Caju;
    • Período de licença parental - 88 dias úteis de ausência do trabalho para novas mamães e papais;
    • Auxílio de Equipamentos de HomeOffice;
    • Notebook alugado pela ImpulsoGov.
    • Day Off aniversário. 
    • Emenda de todos os feriados, seguindo o calendario de São Paulo.
    • Disponibilização do Claude (ferramenta de IA) para otimização dos seus processos de trabalho. 
  • Regime de contratação: PJ
  • Dedicação: 40 horas semanais com grade horária flexível. 
  • Formato: Remoto. 
    • É necessário disponibilidade 2x ao ano para imersão presencial em São Paulo e offsites esporádicos.  
    • É necessário disponibilidade para on-call ou situações emergenciais. 

Qualquer dúvida, escreva para leticia@impulsogov.org

 

Guias de Carreira

Guia de Carreira em Tecnologia

Planejamento, habilidades, entrevistas e crescimento profissional em TI, Ciência de Dados, DevOps e Produto.

Ler guia completo →

Guia de Carreira em Design

UX/UI, Design Gráfico, Design de Produto. Portfólio, ferramentas, entrevistas e crescimento na área de Design.

Ler guia completo →

Guia de Carreira em Marketing

SEO, Mídia Paga, Growth, Marketing de Conteúdo. Certificações, ferramentas e estratégias para crescer no Marketing Digital.

Ler guia completo →

Guia de Carreira em Finanças

Mercado financeiro, investimentos, finanças corporativas, certificações e estratégias para crescer na área financeira.

Ler guia completo →

Guia de Carreira em Comunicacao

Jornalismo, RP, Comunicacao Corporativa, Marketing de Conteudo e Producao Multimidia.

Ler guia completo →

Guia de Carreira em Administracao

Gestao de Empresas, RH, Logistica, Consultoria, Gestao de Projetos e Empreendedorismo.

Ler guia completo →

Guia de Carreira em Dados

Ciencia de Dados, Engenharia de Dados, BI, Machine Learning e IA. Da formacao ao mercado.

Ler guia completo →

Guia de Carreira em Produto

Product Management, Product Ownership, Agile, Scrum e OKRs. Da estrategia a execucao.

Ler guia completo →

Dica do Especialista

Estratégias Avançadas para Dominar o LinkedIn

O maior erro que os profissionais cometem no LinkedIn é tratá-lo como um repositório estático de currículos. A plataforma evoluiu para se tornar um poderoso motor de busca (SEO) de talentos e um ecossistema de conteúdo.

Ter uma foto bem iluminada e o campo "Experiência" preenchido já não é um diferencial; é o mínimo esperado. Se você deseja atrair recrutadores, parceiros de negócios ou clientes de forma passiva, precisa entender como o algoritmo funciona e como gerar valor real. Aqui estão as estratégias mais eficazes para transformar seu perfil.

1. Otimize seu Título (Headline) para SEO

O "Título" (aquela frase que fica logo abaixo do seu nome) é o espaço imobiliário mais valioso do seu perfil. É a principal métrica que o algoritmo de busca do LinkedIn utiliza quando um recrutador digita palavras-chave.

Muitas pessoas cometem o erro de colocar apenas o cargo atual (ex: "Engenheiro de Software na Empresa X"). Em vez disso, use uma fórmula que combine Cargo + Especialidades (Palavras-chave) + Proposta de Valor.

💡 Antes e Depois

Comum: Gerente de Marketing

Otimizado: Gerente de Marketing Estratégico | Especialista em Inbound & Growth Hacking | Ajudando empresas a escalarem receitas através de tráfego orgânico

2. Engajamento Estratégico (O Segredo do Algoritmo)

Você não precisa necessariamente criar posts todos os dias para ter visibilidade. O algoritmo do LinkedIn premia fortemente os "comentários de valor". Quando você comenta na postagem de alguém com uma reflexão inteligente (não apenas um "Parabéns!" ou texto gerado por IA), sua foto, seu nome e seu título aparecem para toda a rede daquela pessoa.

Dedique 15 minutos do seu dia para comentar em publicações de líderes da sua área ou de empresas nas quais você gostaria de trabalhar. Isso cria Brand Awareness (consciência de marca) pessoal e frequentemente resulta em convites de conexão altamente qualificados.

3. Fuja do "Estou muito feliz em anunciar..."

A cultura do LinkedIn ficou famosa pela positividade tóxica e pelas "humildes exibições" (humblebrag). Para se destacar no meio do ruído, aposte na autenticidade. Compartilhar fracassos, lições aprendidas após um projeto dar errado ou documentar o seu processo de aprendizado (build in public) gera muito mais conexão emocional do que apenas postar vitórias plastificadas.

"As pessoas não se conectam com a perfeição; elas se conectam com a vulnerabilidade profissional e com a resiliência."

4. O Domínio das Mensagens (InMail)

Adicionar alguém apenas enviando o convite vazio é desperdiçar uma oportunidade. Ao mesmo tempo, enviar um "pitch" de vendas ou pedir emprego na primeira mensagem é como pedir alguém em casamento no primeiro encontro.

Use a estratégia "Dar, Dar, Pedir". Ao se conectar com alguém estratégico:

  • Mensagem 1: Elogie um artigo específico que a pessoa escreveu ou um projeto da empresa dela. (Sem pedir nada).
  • Mensagem 2 (dias depois): Compartilhe uma ferramenta, artigo ou contato que seja útil para o desafio que ela enfrenta. (Dar valor).
  • Mensagem 3: Somente então, faça um pedido simples, como "Teria 10 minutos para um café virtual para falarmos sobre as tendências de mercado da área X?".

5. Acompanhe seu SSI (Social Selling Index)

Você sabia que o LinkedIn dá uma nota secreta para o seu perfil? Chama-se Social Selling Index (Índice de Vendas Sociais). É uma métrica de 0 a 100 que avalia o quão eficaz você é em estabelecer sua marca, localizar as pessoas certas, engajar-se com insights e construir relacionamentos.

Perfis com pontuações acima de 70 ganham até 20% mais alcance orgânico em suas publicações. Você pode verificar a sua nota gratuitamente (basta estar logado e acessar linkedin.com/sales/ssi) para entender onde você precisa melhorar a sua atuação na rede.