标题:技术项目经理 – 渗透测试与身份安全
地点:德克萨斯州休斯顿(现场)
C2C/W2
• 职位概述:*
技术项目经理 – 渗透测试与身份安全负责领导和执行企业范围的渗透测试整改计划,重点关注身份管理和Active Directory。该角色结合了对渗透测试和安全漏洞的深刻技术理解与强大的项目管理技能,以推动在受监管环境中跨多个技术团队的整改。该角色确保发现的问题得到整改、验证和关闭,以符合审计、合规性和业务风险要求。
• 主要职责:*
• 领导渗透测试整改计划的端到端交付,从发现审查到整改、重新测试和审计关闭。
• 协调跨职能团队,包括IAM、计算、桌面、网络安全、网络服务、云、构建团队、审计和第三方供应商。
• 审查和解释渗透测试结果,并将其转化为清晰、可操作的整改计划。
• 推动与身份和认证漏洞相关的整改工作,涵盖本地Active Directory和Microsoft Entra ID。
• 与技术负责人合作解决诸如NTLM强制、DNS/DHCP欺骗、弱密码控制和过时或易受攻击的软件组件等漏洞。
• 管理多个并发整改工作流中的依赖关系、风险、时间表和交付物。
• 协助协调政策变更、配置更新、变更管理批准和生产部署。
• 管理过渡到敏捷交付模型的团队的敏捷积压、冲刺和发布准备。
• 确保整改工作符合安全标准、法规要求和内部治理控制。
• 通过定期站会、工作会议、指导委员会会议和利益相关者沟通推动治理。
• 跟踪整改进度,验证关闭证据,并与渗透测试供应商协调重新测试。
• 向管理层提供清晰的每周状态更新,包括进展、风险、阻碍因素和缓解计划。
• 维护详细的工作计划和WBS,确保项目按计划进行并在预算内。
• 必需技能和经验:*
• 对渗透测试方法、常见漏洞和整改方法有深入理解。
• 拥有本地Active Directory、Microsoft Entra ID和企业身份安全概念的实际知识。
• 具有管理身份验证、授权和身份相关安全发现整改的经验。
• 能够理解攻击路径并根据严重性、可利用性和业务影响优先处理整改。
• 具有管理大规模安全或基础设施整改计划的经验。
• 在基础设施、安全和云工程团队之间具有较强的跨团队协调能力。
• 在具有正式审计和合规要求的受监管环境中工作的经验。
• 对端点和基础设施漏洞、补丁和加固实践有扎实理解。
• 具有管理供应商关系的经验,包括渗透测试公司和安全服务提供商。
• 拥有强大的敏捷和混合项目管理经验,包括积压和冲刺管理。
• 优秀的书面和口头沟通能力,能够将技术风险转化为与业务相关的语言。
• 展示了在紧迫时间内管理多个高优先级计划的能力。
• 优先资格:*
• 了解身份管理、身份保护或类似的身份威胁检测平台。
• 具有Microsoft安全基线和身份加固标准的经验。
• 熟悉零信任架构原则。
• 具有支持公用事业、能源或其他高度监管行业的经验。
• 拥有信息技术、网络安全或相关领域的学士学位(或同等经验)。
• 优先拥有PMP、PgMP、SAFe或敏捷认证。
