Erfaren penetrasjonstester søkes til spennende og komplekst IT-miljø

Vil du være med å sikre Navs infrastruktur og beskytte 1/3 av statsbudsjettet?

Nav leverer løsninger til 2,8 millioner mennesker og forvalter kjernesystemene i et av verdens beste velferdssamfunn. Det er avgjørende for samfunnet at disse systemene beskyttes mot digitale trusler fra et bredt spekter av aktører. Vi har en raskt voksende avdeling for digital sikkerhet i Arbeids- og velferdsdirektoratet, hvor hovedoppgaven er å beskytte kjernesystemene og de omkringliggende digitale systemene. Vi ønsker å ytterligere styrke vår evne til å detektere og håndtere sårbarheter i programvare og infrastruktur på en systematisk måte og er på jakt etter senior penetrasjonstestere.

Nav har vært tidlig ute med å gjøre utstrakt bruk av allmenn sky. Samtidig er Nav underlagt sikkerhetsloven og understøtter grunnleggende nasjonale funksjoner. Ingen andre virksomheter er som Nav, og vi er derfor avhengige av stor grad av egenutvikling. Dette skaper et komplekst teknologisk landskap, og gir et bredt spekter av løsninger som skal testes.

Som penetrasjonstester vil du jobbe tett med ulike team for å etablere og opprettholde effektive prosesser og prosedyrer for penetrasjonstesting. Du vil planlegge, koordinere og gjennomføre penetrasjonstesting, samt produsere rapporter av resultatene. Du vil blant annet utføre testing av webapplikasjoner, infrastruktur og kubernetes.

Du blir en del av et sterkt, teknisk sikkerhetsmiljø, sammen med SOC, AppSec, sårbarhetsanalytikere og en hel rekke andre sikkerhetsspesialiseringer.

Arbeidsoppgaver

• Gjøre tekniske vurderinger av sikkerheten i Navs systemer.
• Holde deg oppdatert på risikobildet, angrepsmetoder og metodikk innen penetrasjonstesting.
• Planlegge, koordinere og gjennomføre oppdrag for penetrasjonstesting og Red Teaming.
• Forbedre og videreutvikle Navs metodikk for penetrasjonstesting.
  

Kvalifikasjoner

• Du må ha høyere relevant utdanning på høyskole/universitetsnivå enten master- eller bachelor-nivå. Relevant arbeidserfaring kan erstatte manglende utdanning.
• Du må ha god muntlig og skriftlig fremstillingsevne på norsk og engelsk. For søkere som ikke har norsk som sitt førstespråk er det krav om minimum B2 eller tilsvarende nivå.
• Du må ha kjennskap til kjente sikkerhetsrammeverk som for eksempel OWASP, WSTG, OSSTMM eller MITRE ATT&CK.
• Du må kunne autoriseres for BEGRENSET etter bestemmelsene i sikkerhetsloven. Les mer om autorisasjon på https://www.detsombetyrnoe.no/autorisasjon.
  Det kan komme krav om sikkerhetsklarering til HEMMELIG på et senere tidspunkt.

Det vil være en fordel dersom du i tillegg:

• Har minimum 3 års relevant erfaring.
• Har erfaring fra sikkerhetstesting av infrastruktur, sky, web- og mobilapplikasjoner fra før.
• Har relevante sertifiseringer fra OffSec (OSCP, OSWA, OSWE, OSEP, o.l.), GIAC (GPEN, GXPN), PortSwigger (BSCP) eller Zero-Point Security (CRTL, CRTO).
• Har erfaring med Azure/Google Cloud.
• Har erfaring fra Red Team-operasjoner med tilhørende aktiviteter som reverse engineering, defence evasion, C2-infrastruktur og kildekodeanalyse.
• Har utviklererfaring.
• Har erfaring med "Living-of-the-Land"-teknikker.

Personlige egenskaper

• Du har høy faglig og personlig interesse for fagfeltet og evne til å utvikle egen kompetanse gjennom praktisk arbeid.
• Du deler egen kompetanse for å bidra til utvikling av fagmiljøet.
• Du har god forståelse for hvordan problemstillinger kan være en del av noe større, forstår disse sammenhengene og tar veloverveide beslutninger.
• Du er en god lagspiller som har driv og spiller andre gode.
• Du tar initiativ, er proaktiv, ser muligheter og kommer med forslag til løsninger.
• Du etablerer gode relasjoner og bygger tillit i ulike fagmiljøer på forskjellige nivåer i organisasjonen.
• Du navigerer effektivt i en stor organisasjon for å få jobben gjort.

Vi tilbyr

Hos oss får du en sentral rolle i det vi mener er et av landets fremste og mest spennende IT-miljøer. Du vil få meningsfylte arbeidsoppgaver innenfor et viktig område. Disse oppgavene vil du løse sammen med meget engasjerte, motiverte og dyktige kollegaer som brenner for faget sitt. For at du skal kunne utvikle deg, har vi hele tiden fokus på faglig og personlig utvikling. Utover dette kan vi tilby deg:

• Penetrasjonstester innstilles som rådgiver i stillingskode 1434, lønnsnivå fra kr 625 000 til kr 760 000. Senior penetrasjonstester innstilles som seniorrådgiver i stillingskode 1364, lønnsnivå fra kr 760 000 til kr 1 025 000. For spesielt kvalifiserte søkere kan noe høyere lønn vurderes.
• Mulighet for å opparbeide fleksitid/avspasering og sommertidsordning. Vanlig arbeidstid er 7,45 timer inkludert lunsj (sommertid 7 timer).
• Attraktiv kombinasjon av kontor og hjemmekontor.
• God pensjonsordning gjennom Statens pensjonskasse (fra lønnen trekkes 2 %).
• Nye, flotte lokaler på Helsfyr i Oslo med god lunsj, treningsrom, takterrasse med mer!
• Hytteforening.
• Bedriftsidrettslag med ulike aktiviteter.