Blue Team Engineer

Misión del rol
Buscamos un/a Blue Team Engineer que construya y opere la función de detección, respuesta y threat hunting de Monato, para que cualquier amenaza activa sea detectada, contenida y documentada dentro de los SLAs regulatorios y operacionales, convirtiendo Sumo Logic en el sistema nervioso de la seguridad operativa de la compañía.

¿Por qué este rol importa?
Buscamos un/a Blue Team Engineer para ser el owner del programa SecOps end-to-end, pasando de una función reactiva y sin SLAs a una operación proactiva, automatizada y medible.

Lo que harás
1. SIEM y telemetría:

• Personalizar Sumo Logic Cloud SIEM: content pack financiero, FERs versionadas en Git, CI/CD contra Sumo APIs.
• Garantizar ingesta 100% nativa de todas las fuentes críticas: JumpCloud C2C, AWS, EDR, O365, firewalls, DBs, API Gateway.
• Mantener log coverage audit mensual y retención tiered con S3 WORM.

2. SOAR y automatización

• Seleccionar e implementar el SOAR (Sumo Cloud SOAR preferido).
• Construir y mantener los primeros 10 playbooks productivos.
• Gestionar integraciones críticas: EDR ↔ SOAR, JumpCloud ↔ SOAR, PAM ↔ SOAR, Ticketing ↔ SOAR.

3. Ingeniería de detección

• Operar Detection-as-Code: detecciones en Git con revisión por pares y shadow mode antes de -producción.
• Mantener cobertura ATT&CK: ≥ 75% de técnicas relevantes en 18 meses.
• Implementar y mantener UEBA: impossible travel, brute force, beaconing, DGA.

4. Incident Response

• Liderar la respuesta a incidentes SEV-1 y SEV-2.
• Mantener playbooks actualizados y ejecutar postmortems blameless con acciones rastreadas.
• Coordinar preservación forense automatizada y notificación regulatoria al supervisor financiero cuando aplique.

5. Threat Hunting y Purple Team

• Conducir campañas de threat hunting con hipótesis propias.
• Coordinar el retainer de Purple Team externo: campañas semestrales + validación mensual con BAS continuo.
• Gestionar el MSSP 24×7: SLAs de handoff, calidad de triage, integración al SOAR.

6. IA en SecOps

• Operar las capas de IA progresivas por fase: clasificador FP → UEBA + grafos → copiloto LLM con RAG → agentes autónomos acotados.
• Mantener guardrails, kill switch y audit log de todas las capas de IA.

8. Seguridad de red

• Definir y mantener el modelo de segmentación de red: VPCs, subnets, tráfico este-oeste.
• Gestionar y revisar las reglas de security groups, NACLs y firewalls: ninguna regla permisiva sin justificación documentada.
• Operar y mantener el WAF (Cloudflare / AWS WAF): reglas activas, revisión de falsos positivos, protección contra OWASP Top 10.
• Gestionar la infraestructura VPN: acceso remoto seguro, segmentación por rol, revocación coordinada con IAM.
• Mantener la integración de logs de red (VPC Flow Logs, firewall logs) hacia Sumo Logic para detección de tráfico anómalo.

9. Governance y reporte

• Asegurar el cumplimiento de las políticas de incident response, logging y detección en su dominio: verificar que los playbooks vigentes se operen correctamente, escalar desviaciones al GRC Analyst y documentar excepciones con evaluación de riesgo.
• Reportar los 4 KPIs estratégicos mensualmente: MTTD/MTTR, cobertura ATT&CK, % automatización, cumplimiento SLA.
• Participar en el Comité SecOps mensual y en el reporte al Directorio trimestral.

Perfil y habilidades clave

• 7+ años en SecOps, Security Engineering o Incident Response, con 3+ años liderando equipos o programas.
• Operación demostrable de Sumo Logic, Splunk o QRadar: dashboards, correlación, UEBA; y haber implementado o gestionado un SOAR en producción.
• Experiencia en Detection-as-Code: Sigma, Git, CI/CD aplicado a detecciones, y conocimiento práctico de MITRE ATT&CK para construcción y mantenimiento de matrices de cobertura.
• Liderazgo de IR en sector financiero o infraestructura crítica, con capacidad de coordinar preservación forense y reporte regulatorio.
• Dominio técnico de: Python para automatización y análisis de logs; EDR (CrowdStrike, SentinelOne o Defender); networking y seguridad perimetral (security groups, NACLs, WAF, VPN, firewall rules); infraestructura cloud (AWS).
• Experiencia aplicando LLMs a SecOps: RAG, triage asistido y copilotos de analista.
• Nice to have: haber llevado un SOC-CMM de nivel 1/2 a nivel 3/4; experiencia gestionando MSSP con handoff integrado al SOAR; certificaciones GCIH, GCFA, GCIA, GCDA o equivalentes.

Lo que obtendrás

• Ownership real sobre el programa SecOps end-to-end de una fintech regulada en construcción activa.
• Libertad para definir la arquitectura de detección y las capas de IA desde el inicio.
• Colaboración directa con CISO, AppSec, Cloud Security e IAM en ejercicios Purple Team reales.
• Exposición a infraestructura financiera crítica y a vectores de ataque del sector fintech.
• Crecimiento profesional acelerado dentro de un equipo de seguridad de alto nivel.

Acerca de Monato
En Monato construimos infraestructura financiera moderna para empresas en México, integrando servicios financieros de forma ágil y segura. Operamos en un entorno regulado donde la estabilidad y el cumplimiento son fundamentales, y diseñamos soluciones que reducen la fricción bancaria para habilitar el crecimiento de nuestros clientes. Somos un equipo orientado a la ejecución, enfocado en construir, iterar y mejorar constantemente.