Incentivamos e priorizamos candidaturas de mulheres, pessoas negras, pessoas com deficiência e LGBTQIA+
Sobre a posição
A ImpulsoGov é uma organização sem fins lucrativos que usa tecnologia e dados para fortalecer a atenção primária do SUS, apoiando municípios em todo o Brasil. Processamos dados sensíveis de saúde de milhões de pessoas, e proteger esses dados é parte central da nossa responsabilidade institucional.
Esta será a primeira posição dedicada exclusivamente à segurança da informação na ImpulsoGov. Buscamos uma pessoa sênior, hands-on e com alta autonomia para estruturar, executar e evoluir os fundamentos de cibersegurança da organização.
É uma posição de liderança técnica individual, com atuação transversal junto à liderança de Tecnologia, Engenharia, Dados, Produto e Gestão Interna. A pessoa contratada terá mandato para priorizar riscos, propor controles, operar ferramentas e apoiar a construção de uma cultura de segurança pragmática, proporcional ao nosso contexto e orientada ao impacto.
Responsabilidades
A pessoa será responsável por estruturar e executar a agenda de segurança da ImpulsoGov, com foco nos seguintes pilares:
- Cloud, infraestrutura e acessos
- Revisar e evoluir a postura de segurança da infraestrutura em Google Cloud.
- Apoiar decisões de arquitetura segura desde a concepção, incluindo IAM, redes, isolamento, secrets, chaves, logs e hardening.
- Revisar privilégios, contas críticas, acessos administrativos e exposição de ambientes sensíveis.
- Implementar práticas de menor privilégio, MFA, segregação de funções e revisão periódica de acessos.
- Dispositivos, identidade e ferramentas internas
- Implantar e operar a gestão de dispositivos da equipe, incluindo MDM, políticas de configuração e inventário.
- Avaliar, configurar e operar ferramentas como EDR, VPN, soluções de AppSec, gestão de segredos e monitoramento de segurança.
- Estruturar processos simples e sustentáveis para onboarding, offboarding e controle de acessos.
- DevSecOps e segurança de aplicações
- Evoluir o ciclo de desenvolvimento com práticas de segurança shift-left.
- Implementar ou aprimorar SAST, DAST, SCA, análise de dependências, gestão de segredos e segurança em CI/CD.
- Apoiar a estratégia de abertura de repositórios no GitHub, garantindo que código, histórico, secrets e dependências estejam seguros antes da publicação.
- Trabalhar com Engenharia e Produto para transformar segurança em parte natural do desenvolvimento (DevSecOps), sem criar burocracia desnecessária.
- Governança, risco e resposta a incidentes
- Conduzir diagnósticos e autoavaliações com base em frameworks reconhecidos, como CIS Controls, NIST CSF, OWASP SAMM e ISO 27001.
- Priorizar riscos de segurança considerando impacto, probabilidade, esforço e contexto da organização.
- Estruturar controles práticos para apoiar conformidade com LGPD e proteção de dados pessoais sensíveis.
- Criar playbooks básicos de resposta a incidentes, fluxos de comunicação, critérios de severidade e rotinas de aprendizado.
- Coordenar pentests, avaliações externas e relacionamento com fornecedores de segurança.
Pré-requisitos
- Experiência prática e sênior em segurança da informação, segurança de cloud, AppSec, DevSecOps, identidade/acessos ou infraestrutura.
- Capacidade de atuar com autonomia em uma estrutura enxuta, priorizando pelo risco e pelo impacto.
- Conhecimento sólido em cloud security, idealmente em Google Cloud.
- Experiência com IAM, MFA, menor privilégio, contas privilegiadas e gestão de acessos.
- Vivência com práticas de DevSecOps, como SAST, DAST, SCA, secrets management, hardening de pipelines ou segurança de dependências.
- Disposição para executar trabalho operacional, configurar ferramentas, documentar processos e acompanhar a implementação até o fim.
- Boa comunicação para traduzir riscos técnicos em decisões claras para públicos técnicos e não técnicos.
Diferenciais
- Ter sido a primeira pessoa de segurança de uma organização ou ter estruturado uma função de segurança do zero.
- Experiência com dados pessoais sensíveis, dados de saúde, LGPD ou ambientes regulados.
- Experiência com CIS Controls, NIST CSF, ISO 27001, OWASP SAMM ou OWASP ASVS.
- Experiência com MDM, EDR, SIEM, CSPM, CNAPP ou ferramentas de AppSec.
- Experiência conduzindo ou contratando pentests.
- Certificações como CISSP, CCSP, OSCP, Google Professional Cloud Security Engineer, Security+ ou equivalentes.
- Experiência prévia no terceiro setor, saúde pública, governo ou projetos de impacto social.
- Inglês intermediário ou avançado.
Etapas do processo seletivo
- Análise de currículo;
- Desafio técnico;
- Entrevista com a equipe de Pessoas e Cultura;
- Entrevista técnica;
- Entrevista final.
Sobre a vaga
- Remuneração: Compatível com o mercado
- Benefícios:
- Período Sem Entregas - 20 dias úteis para você tirar sem entregas durante o ano (sendo proporcional ao período do contrato);
- WellHub (antigo Gympass);
- Zenklub - com duas sessões mensais pagas pela ImpulsoGov direto na plataforma;
- Convênio de Saúde Alice ou voucher de saúde para contratação do seu convênio de preferência;
- Aulas de inglês pela plataforma Cambly
- Crédito de 880 reais no cartão Caju;
- Período de licença parental - 88 dias úteis de ausência do trabalho para novas mamães e papais;
- Auxílio de Equipamentos de HomeOffice;
- Notebook alugado pela ImpulsoGov.
- Day Off aniversário.
- Emenda de todos os feriados, seguindo o calendario de São Paulo.
- Disponibilização do Claude (ferramenta de IA) para otimização dos seus processos de trabalho.
- Regime de contratação: PJ
- Dedicação: 40 horas semanais com grade horária flexível.
- Formato: Remoto.
- É necessário disponibilidade 2x ao ano para imersão presencial em São Paulo e offsites esporádicos.
- É necessário disponibilidade para on-call ou situações emergenciais.
Qualquer dúvida, escreva para leticia@impulsogov.org 
