مستشار أول VAPT (أمن الويب والهواتف المحمولة) - الخدمات المصرفية

تعد وظيفة استشاري VAPT أولاً وأخيراً دوراً حيوياً في تعزيز معايير الأمان السيبراني للقطاع المصرفي في المملكة العربية السعودية، حيث تتطلب البيئة المصرفية الحديثة توافر حماية قوية ضد التهديدات الإلكترونية. مع تزايد الاعتماد على التطبيقات المصرفية عبر الإنترنت والمحمولة، تبرز الحاجة إلى متخصصين مؤهلين في تقييم الثغرات واختبار الاختراق (VAPT) لضمان سلامة البيانات وحماية المعلومات الحساسة. يتطلب هذا المنصب خبرة واسعة في مجالات الأمن السيبراني، مع التركيز على الالتزام بالمعايير المحلية والدولية، مما يجعله فرصة مميزة للمهنيين الراغبين في التأثير الإيجابي في القطاع المالي.

المهام والمسؤوليات الرئيسية:

إجراء تقييمات شاملة للثغرات واختبارات الاختراق:

• يركز هذا التطبيق على تحليل تطبيقات الويب (مثل الخدمات المصرفية عبر الإنترنت والبوابات الداخلية) وتطبيقات الهواتف المحمولة (Android وiOS) وواجهات برمجة التطبيقات (APIs) لضمان عدم وجود ثغرات قد تستغل من قبل المهاجمين.

تنفيذ اختبارات اختراق يدوية مع عمليات مسح آلي:

• يتطلب ذلك استخدام أدوات متطورة لتنفيذ اختبارات اختراق يدوية بالإضافة إلى تقنيات المسح الآلي، مما يضمن تقييمًا دقيقًا وشاملاً للأمن السيبراني.

تحديد الثغرات وفقًا لأفضل الممارسات:

• يجب تحديد الثغرات وفقًا لمعايير OWASP Top 10 وSANS Top 25، مع التركيز على السيناريوهات المتعلقة بالمنطق التجاري والثغرات غير المعروفة (zero-day).

تنفيذ اختبارات أمان واجهات برمجة التطبيقات:

• يشمل ذلك اختبار بروتوكولات الأمان مثل OAuth2 وJWT، مما يضمن أن أنظمة الدفع والتكاملات المصرفية آمنة وموثوقة.

محاكاة التهديدات واختبارات مستندة إلى الخصوم:

• يتم تنفيذ هذه العمليات عند الحاجة لفهم كيف يمكن للمهاجمين استغلال الثغرات المحتملة.

تقييم تدابير المصادقة والتفويض:

• يتضمن ذلك مراجعة أساليب إدارة الجلسات وتشفير البيانات لضمان سلامة المعلومات.

إعداد تقارير تفصيلية حول تقييمات VAPT:

• تشمل التقارير تحديد شدة المخاطر (استنادًا إلى نظام CVSS) وتقديم نماذج إثبات المفهوم (PoC) وتوصيات للتصحيح.

إجراء إعادة اختبار وتحقق بعد التصحيحات:

• يتم التحقق من فعالية التصحيحات من خلال إعادة الاختبار لضمان عدم وجود ثغرات متبقية.

التعاون مع الأطراف المعنية لضمان ممارسات SDLC الآمنة:

• يتطلب العمل جنبًا إلى جنب مع فرق التطوير والأمان لضمان دمج الأمان في دورة حياة تطوير البرمجيات.

دعم التدقيقات الداخلية والخارجية المتعلقة بالأمن السيبراني:

- يتعاون الاستشاري مع فرق التدقيق لضمان التوافق مع المعايير التنظيمية.

المتطلبات والمؤهلات المطلوبة:

خبرة لا تقل عن 8 سنوات في مجال VAPT:

• مع تركيز قوي على القطاع المصرفي والخدمات المالية.

فهم عميق لإطارات العمل الخاصة بالأمن السيبراني:

• يجب أن يكون لدى المرشح معرفة قوية بإطار عمل SAMA للأمن السيبراني والمعايير الدولية مثل PCI-DSS.

خبرة في التدقيقات الأمنية:

• يشترط أن يمتلك المتقدم خبرة في التعامل مع التدقيقات الداخلية والخارجية.

درجة علمية في مجال ذي صلة:

• يفضل أن يكون لدى المرشح مؤهل أكاديمي في أمن المعلومات أو علوم الحاسوب أو مجال مشابه.

شهادات احترافية:

• يُفضل الحصول على شهادات مثل OSCP وCEH وGPEN وGWAPT.

معرفة قوية بأدوات الأمان:

• يجب أن يكون المتقدم ملمًا بالأدوات مثل Burp Suite وOWASP ZAP وMetasploit.

فهم شامل لتقنيات التشفير:

• يتطلب معرفة بمعايير التشفير مثل TLS وAES وRSA.

المهارات التقنية المطلوبة:

اختبار أمان تطبيقات الويب المتقدمة:

• يجب أن يكون لدى المرشح القدرة على إجراء تقييمات عميقة للأمان في تطبيقات الويب.

خبرة قوية في أمان تطبيقات الهواتف المحمولة:

• يجب أن يكون لدى المرشح معرفة متعمقة بأمان تطبيقات Android وiOS.

فهم عميق لأمان واجهات برمجة التطبيقات:

• يجب أن يكون لديه معرفة واسعة بهيكلية الخدمات المصغرة وأمان APIs.

إتقان أدوات الاختبار والشبكات:

• يجب أن يكون المترشح متمكنًا في استخدام أدوات مثل Wireshark وPostman.

معرفة بممارسات التشفير والتشفير الآمن:

• يتطلب معرفة قوية بممارسات الترميز الآمن وكيفية معالجة الثغرات.

المهارات الشخصية والقيادية:

مهارات تواصل قوية:

• يجب أن يكون لدى المرشح قدرة على التواصل بفعالية مع الفرق التقنية وغير التقنية.

كتابة تقارير فنية عالية الجودة:

• يتطلب القدرة على إعداد تقارير تقنية واضحة ومفصلة.

قدرة على تقديم النتائج:

• يجب أن يستطيع المترشح توصيل النتائج بشكل فعال إلى جميع الأطراف المعنية.

قدرة على التحليل وحل المشكلات:

• يتطلب التفكير النقدي والقدرة على تحليل البيانات وإيجاد حلول فعالة.

بيئة العمل وثقافة الشركة:

تسعى شركة Jobstronaut إلى خلق بيئة عمل تعزز الابتكار والتعاون بين الموظفين. تتميز الثقافة التنظيمية بالمرونة والدعم المتبادل، حيث يتم تشجيع الأفراد على تبادل الأفكار والتعلم المستمر. تضع الشركة قيمة كبيرة على التنوع والشمولية، مما يساهم في خلق بيئة عمل غنية بالخبرات والأفكار المتنوعة. كما توفر الشركة تسهيلات حديثة ومجهزة بشكل جيد، مما يسهم في راحة الموظفين وزيادة إنتاجيتهم.

فرص التطور والنمو المهني:

تعتبر شركة Jobstronaut من الشركات الرائدة في مجال الأمن السيبراني، مما يوفر لموظفيها فرصًا كبيرة للتطور والنمو المهني. يتم تشجيع الموظفين على المشاركة في برامج التدريب والتطوير المستمرة، مما يمكنهم من اكتساب مهارات جديدة والتحديث المستمر لمعارفهم. كما تقدم الشركة فرصًا للترقية الوظيفية، مما يتيح للموظفين التقدم في مسيرتهم المهنية وتحقيق طموحاتهم في مجال الأمن السيبراني.