ภาพรวมบริษัท
SCS Global Services ผู้บุกเบิกและผู้นำในด้านการมาตรฐานความยั่งยืนและการรับรองโดยบุคคลที่สาม ทำงานครอบคลุมทุกภาคส่วนของเศรษฐกิจ ทั้งทรัพยากรธรรมชาติ สิ่งแวดล้อมที่สร้างขึ้น อาหารและการเกษตร ผลิตภัณฑ์ผู้บริโภค และภาคส่วนสภาพภูมิอากาศมากว่า 40 ปี ในฐานะบริษัทที่มุ่งเน้นประโยชน์ต่อสังคม (Benefit Corporation) เรามุ่งมั่นในการดำเนินธุรกิจที่รับผิดชอบต่อสังคมและสิ่งแวดล้อม และผ่านการประยุกต์ใช้หลักวิทยาศาสตร์ที่มั่นคง เรากำลังขับเคลื่อนการเปลี่ยนแปลงในเชิงบวก

ภาพรวมงาน
วิศวกรความปลอดภัยระดับ II มีหน้าที่รับผิดชอบในการออกแบบ ดำเนินการ และดูแลวงจรชีวิตของมาตรการควบคุมความปลอดภัยที่ได้รับมอบหมายในชั้นของตัวตน โครงสร้างพื้นฐาน เครือข่าย งาน และข้อมูล บทบาทนี้ทำงานด้วยระดับอิสระสูงในสภาพแวดล้อมทีมขนาดเล็ก โดยสามารถระบุช่องว่างได้ด้วยตัวเอง เสนอแผนการแก้ไขพร้อมประมาณการความพยายามและความซับซ้อน และดำเนินการตามงานที่ได้รับการอนุมัติ ผู้สมัครที่เหมาะสมจะต้องมีความรู้เชิงลึกด้านวิศวกรรมโครงสร้างพื้นฐานเพื่อรับรองว่าโซลูชันด้านความปลอดภัยมีความเป็นไปได้ในทางปฏิบัติ มีความถูกต้องในการดำเนินงาน และสอดคล้องกับผลกระทบทางธุรกิจ ตำแหน่งนี้เป็นบทบาทของผู้ปฏิบัติงานอิสระอย่างเต็มรูปแบบ และแตกต่างจากตำแหน่ง Security Engineer I โดยมีความคาดหวังในการกำหนดขอบเขตงานอย่างอิสระ การเป็นเจ้าของในระดับการออกแบบสำหรับการนำมาตรการควบคุมความปลอดภัยไปปฏิบัติ โดยมีการกำกับดูแลเพียงเล็กน้อยในแต่ละวัน

หน้าที่และความรับผิดชอบหลัก

• ออกแบบและดำเนินการสถาปัตยกรรมควบคุมความปลอดภัยและรูปแบบการใช้งานอ้างอิงที่สอดคล้องกับ ISO 27001:2022 และกรอบความปลอดภัยที่เกี่ยวข้อง (CIS, NIST CSF, MITRE ATT&CK) ภายใต้มาตรฐานองค์กรที่กำหนดไว้
• วิศวกรและดูแลระบบควบคุมความปลอดภัยที่ได้รับมอบหมายในโดเมนต่อไปนี้: - **ตัวตน:** Entra ID/Conditional Access/MFA/PAM - **จุดสิ้นสุด:** Intune/EDR/XDR (CrowdStrike) - **โหลดงาน:** Azure/AWS security/container security/CI/CD controls - **ข้อมูล:** DLP/การเข้ารหัส/การจัดการกุญแจ
• พัฒนา, รักษา, และนำมาใช้ในทางปฏิบัติมาตรฐานความปลอดภัย, ฐานข้อมูล, และสถาปัตยกรรมอ้างอิงร่วมกับผู้มีส่วนได้ส่วนเสียทางด้านไอทีและแอปพลิเคชัน
• ดำเนินการสร้างแบบจำลองภัยคุกคาม (STRIDE) และประเมินความเสี่ยงสำหรับระบบใหม่และการเปลี่ยนแปลงที่สำคัญ โดยแปลงผลการค้นพบให้เป็นมาตรการควบคุมความปลอดภัยที่สามารถดำเนินการได้และข้อเสนอแนะในการแก้ไข
• นำกิจกรรมการค้นพบและการบูรณาการด้านความปลอดภัยสำหรับสภาพแวดล้อมใหม่และที่มีอยู่ รวมถึงการประเมินสถานะปัจจุบัน การวิเคราะห์ช่องว่าง และการพัฒนาแผนการแก้ไขที่มีลำดับความสำคัญ
• ระบุโอกาสในการปรับปรุงความปลอดภัยอย่างเชิงรุก เสนอแนวทางแก้ไขที่เป็นไปได้ และดำเนินการตามรายการงานที่ได้รับอนุมัติจนเสร็จสมบูรณ์
• ผสานรวมและปรับปรุงเครื่องมือด้านความปลอดภัยให้มีประสิทธิภาพสูงสุด รวมถึงการนำแหล่งข้อมูลบันทึกเข้ามาใช้งาน การปรับแต่งการแจ้งเตือน และการทำงานอัตโนมัติของกระบวนการ
• ร่วมมือกับทีมพัฒนาและทีมพัฒนาแอปพลิเคชันเพื่อฝังความปลอดภัยด้วยการออกแบบ
• สนับสนุนกิจกรรมการตรวจสอบและการปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับ ISO 27001:2022 รวมถึงการรวบรวมหลักฐานและการตรวจสอบการดำเนินการควบคุม

คุณสมบัติขั้นต่ำ

• ปริญญาตรีในสาขาวิทยาการคอมพิวเตอร์ ระบบสารสนเทศ หรือสาขาที่เกี่ยวข้อง หรือประสบการณ์การทำงานที่เทียบเท่า
• ประสบการณ์ด้านไอที 6 ปีขึ้นไป และ
• มีประสบการณ์ 3 ปีขึ้นไปในตำแหน่งด้านความปลอดภัยทางเทคโนโลยีสารสนเทศ (IT Security) หรือวิศวกรรมความปลอดภัย (Security Engineering)
• มีความรู้เชิงปฏิบัติที่แข็งแกร่งในด้านวิศวกรรมระบบและโครงสร้างพื้นฐาน (พื้นฐาน Windows/Linux, เครือข่าย, สถาปัตยกรรมคลาวด์, อัตลักษณ์ และบริการทั่วไปขององค์กร) เพื่อเสนอแนะแนวทางด้านความปลอดภัยที่เหมาะสมและประเมินผลกระทบต่อการดำเนินงาน
• ความสามารถที่พิสูจน์แล้วในการกำหนดขอบเขตการปรับปรุงความปลอดภัยให้เป็นงานที่สามารถดำเนินการได้ ประเมินระดับความพยายาม และร่วมมือกับเจ้าของโครงสร้างพื้นฐาน/แอปพลิเคชันเพื่อขับเคลื่อนการดำเนินการ
• ประสบการณ์ด้านความปลอดภัยบนคลาวด์ (ต้องการ Azure)
• มีประสบการณ์ในการเขียนสคริปต์และโครงสร้างพื้นฐานในรูปแบบโค้ดสำหรับการทำงานอัตโนมัติและการควบคุมด้านความปลอดภัย (PowerShell, Terraform, ARM/Bicep) เพื่อนำไปใช้งานในระดับขนาดใหญ่
• ประสบการณ์กับผู้ให้บริการ MDR/vSOC และการผสานรวมข้อมูลจาก EDR และกระบวนการจัดการเหตุการณ์ (CrowdStrike เป็นที่ต้องการ)
• มีความเข้าใจอย่างลึกซึ้งเกี่ยวกับแนวคิดและการนำไปใช้ของระบบการจัดการตัวตนและการเข้าถึง (IAM)
• มีความรู้เชิงปฏิบัติเกี่ยวกับกรอบงานและมาตรฐานความปลอดภัยในอุตสาหกรรม รวมถึง ISO 27001:2022 (หากมีจะพิจารณาเป็นพิเศษ), NIST CSF, CIS Controls และ MITRE ATT&CK ตลอดจนการประยุกต์ใช้กับการออกแบบมาตรการควบคุมความปลอดภัย
• แสดงให้เห็นถึงทัศนคติความเป็นเจ้าของ: สามารถทำงานจากทิศทางที่กว้าง สามารถรับมือกับความไม่ชัดเจน จัดลำดับความสำคัญ และผลักดันงานให้เสร็จสมบูรณ์
• ประสบการณ์ปฏิบัติจริงในการนำมาตรการควบคุมความปลอดภัยไปใช้ในสภาพแวดล้อม Azure/M365
• มีประสบการณ์กับแพลตฟอร์ม SIEM รวมถึงการนำข้อมูลบันทึกเข้าสู่ระบบ การปรับแต่งการตรวจจับ และการผสานรวมเวิร์กโฟลว์ (Microsoft Sentinel จะได้รับการพิจารณาเป็นพิเศษ)
• ทักษะการวิเคราะห์ที่แข็งแกร่งพร้อมความสามารถในการแปลงความเสี่ยงด้านความปลอดภัยและโครงสร้างพื้นฐานให้เป็นการควบคุมทางเทคนิคที่เป็นรูปธรรม

คุณสมบัติที่ต้องการ

• วิศวกรความปลอดภัย Microsoft Azure
• ผู้ดูแลระบบ Microsoft Azure
• สถาปนิก Microsoft Azure
• ผู้เชี่ยวชาญด้านความปลอดภัยบนคลาวด์ที่ได้รับการรับรอง (CCSP)

คำอธิบายข้างต้นมีวัตถุประสงค์เพื่ออธิบายลักษณะทั่วไปและระดับของงานที่ดำเนินการ ไม่ถือเป็นรายการความรับผิดชอบ หน้าที่ และทักษะที่จำเป็นทั้งหมด อาจจำเป็นต้องทำหน้าที่เพิ่มเติมนอกเหนือจากความรับผิดชอบปกติเป็นครั้งคราวตามที่ได้รับมอบหมาย

การทำงานระยะไกล
ในเวลานี้ SCS Global Services กำลังรับสมัครพนักงานทุกตำแหน่งที่ว่างให้ทำงานจากระยะไกล เพื่อให้พนักงานของเราสามารถทำงานได้อย่างยืดหยุ่น และช่วยให้ SCS เป็นบริษัทที่สามารถกระจายประสบการณ์และมุมมองของพนักงานที่เพิ่มมากขึ้นได้ โดยตำแหน่งนี้จะอยู่ที่สำนักงานที่บ้านของคุณ

เงินเดือนประจำปีโดยประมาณ
100,000 - 130,000 ดอลลาร์สหรัฐ

คำชี้แจงของ EEOC
SCS มอบโอกาสการจ้างงานที่เท่าเทียมกัน (EEO) ให้กับพนักงานและผู้สมัครงานทุกคนโดยไม่คำนึงถึงเชื้อชาติ สีผิว ศาสนา เพศ รสนิยมทางเพศ อัตลักษณ์หรือการแสดงออกทางเพศ เชื้อชาติ อายุ ความทุพพลภาพ ข้อมูลทางพันธุกรรม สถานะสมรส การนิรโทษกรรม หรือสถานะทหารผ่านศึกตามกฎหมายของรัฐบาลกลาง รัฐ และท้องถิ่นที่บังคับใช้ SCS ปฏิบัติตามกฎหมายของรัฐและท้องถิ่นที่บังคับใช้เกี่ยวกับการไม่เลือกปฏิบัติในการจ้างงานในทุกสถานที่ที่บริษัทมีสถานที่ปฏิบัติงาน นโยบายนี้ใช้กับข้อกำหนดและเงื่อนไขการจ้างงานทั้งหมด รวมถึงแต่ไม่จำกัดเพียง การจ้างงาน การจัดวางตำแหน่ง การเลื่อนตำแหน่ง การเลิกจ้าง การเลิกจ้าง การเรียกคืน การโอนย้าย การลาออก การชดเชย และการฝึกอบรม