About the company
تابي تبني منتجات مالية يستخدمها ملايين المستخدمين في جميع أنحاء دول مجلس التعاون الخليجي. نعمل على أنظمة عالية الحمل، حرجة من حيث الأمان، مع متطلبات تنظيمية صارمة. تقوم وظيفة أمن المعلومات بحماية تابي عبر تطبيقات الهاتف المحمول، وخدمات الخلفية، وتكاملات الدفع، والبنية التحتية السحابية.
هذه التدريبية ليست تعليمية بشكل افتراضي. إنها دور هندسي مع مسؤوليات حقيقية.
سياق
يغطي أمن المعلومات في تابي مسارين مكملين
يعمل الفريق بشكل وثيق مع هندسة المنتجات، هندسة المخاطر، والمنصة / SRE.
تم تصميم التدريب للمهندسين الأقوياء في بداية حياتهم المهنية الذين يرغبون في النمو كمتخصصين في مجال الأمن. يتقدم المرشحون مرة واحدة - خلال المقابلات، نقوم بمطابقة كل مرشح للمسار الذي يناسب أفضل.
المتدربون مدمجون مع فريق الأمن، يعملون على تقييمات حقيقية ومهام علاج أو امتثال تحت مراجعة كبار المسؤولين، ومن المتوقع أن يلبوا معايير الهندسة من اليوم الأول.
ما ستقوم به
هذا ليس دور مساعد أو دور فقط للمراقبة. يعمل المتدربون على مهام إنتاجية حقيقية تحت مراجعة كبار المسؤولين.
- تقييم نقاط الضعف واختبار الاختراق (VAPT) - اختبار أمان التطبيقات، مراجعات بنية الأمان، نموذج التهديد، مراجعة التعليمات البرمجية الآمنة، فرز نقاط الضعف، والاستجابة للحوادث.
- الحوكمة والمخاطر والامتثال (GRC) - أطر السياسات والضوابط، دعم برامج الامتثال (PCI DSS، ISO 27001، SAMA)، تقييمات المخاطر، دعم مراجعة الحسابات، مراجعات أمن الموردين، والتوعية الأمنية.
على مسار VAPT
- فرز النتائج من SAST، DAST، SCA، وماسحات الكائنات المتصلة عبر مستودعات الهاتف المحمول والخلفية
- إعادة إنتاج نقاط الضعف وتوثيقها؛ كتابة تذاكر علاج واضحة لأفرقة المنتجات
- المساهمة في مراجعات التعليمات البرمجية الآمنة على طلبات الدمج المختارة (المصادقة، التحقق من الإدخال، معالجة البيانات)
- المشاركة في جلسات نموذج التهديد للميزات الجديدة وإنتاج كتابات
- تشغيل تقييمات محدودة ضد بيئات التطوير تحت توقيع كبار المسؤولين
- المساعدة في الحفاظ على أدوات الأمان: تكوينات المسح الضوئي، قواعد الخط الأساسي، لوحات المعلومات، صفوف فرز الإيجابيات الكاذبة
- المساعدة في عمليات التحقق الأمني خلال دورات الإصدار
- المساهمة في DevSecOps - بوابات الأمان في أنابيب CI/CD، مسح الكائنات المتصلة والصور المركبة
- التعرض لعمليات تسجيل الدخول، الرصد، وتصفية التنبيهات إلى جانب SOC
- المشاركة في تمارين الاستجابة للحوادث ودراسات ما بعد الوفاة إلى جانب مهندسين كبار
على مسار GRC
- دعم برامج الامتثال ضد أطر مثل PCI DSS، ISO 27001، وSAMA - جمع الأدلة، خريطة الضوابط، تحليل الفجوات
- المساعدة في الحفاظ على سياسات الأمان، المعايير، والإجراءات عبر المجالات - التحكم في الوصول، التشفير، إدارة الأصول، إدارة التغيير، أمن الأطراف الثالثة، إدارة نقاط الضعف، الوعي والتدريب - تتبع أصحاب المسؤولية ودورات المراجعة
- المساهمة في تقييمات المخاطر - سجلات المخاطر، اختبار الضوابط، خطط العلاج
- دعم تقييمات أمن الموردين والأطراف الثالثة
- المساعدة في الاستعداد لمراجعة الحسابات الداخلية والخارجية - ورقات العمل، حزم الأدلة، تنسيق الاستجابة
- المساهمة في محتوى الوعي الأمني، عمليات إطلاق التدريب، وتتبع المقاييس
- العمل إلى جانب فرق الهندسة لترجمة متطلبات السياسة إلى ضوابط تقنية ملموسة
على كلا المسارين
- العمل مع مهندسي المخاطر والمنصة على معالجة البيانات الشخصية (PII)، إدارة الأسرار، ومراجعة التشفير
- المساهمة في قاعدة المعرفة الأمنية الداخلية (الكتب الإرشادية، الكتب الإرشادية، محتوى الوعي)
المتطلبات
الميزة القوية
- فهم قوي لمبادئ أمن المعلومات الأساسية: السرية، النزاهة، التوافر؛ فئات الهجمات الشائعة (OWASP Top 10) وفئات الضوابط الشائعة
- فهم أساسيات HTTP، TLS، DNS، وTCP/IP
- فهم أنماط المصادقة والتصريح (الدورات، الكوكيز، OAuth 2.0، JWT)
- الاطلاع على بيئة سطر الأوامر Linux والبيئات المماثلة لـ POSIX
- القدرة على قراءة المواد التقنية وتوضيحها بوضوح في الكتابة
- خبرة في Git وتدفقات العمل الإنمائي القياسية
- عقلية أخلاقية قوية والسرية - إن نتائج الأمن وأدلة الامتثال حساسة بشكل افتراضي، عدم الكشف عنها خارج الفريق غير قابل للتفاوض
- الانفتاح على التعليقات البناءة
- اللغة الإنجليزية كافية للتوثيق والتواصل مع الفريق
على مسار VAPT
- معرفة عمل لغة البرمجة (Python أو Go مفضلة)
- المشاركة في CTF (Hack The Box، TryHackMe، picoCTF، CTFs SAFCSP) مع حلول موثقة أو كتابات
- خبرة عملية مع Burp Suite Community، OWASP ZAP، أو وكلاء التدخل المماثل
- الاطلاع على ماسحات نقاط الضعف (Nessus، OpenVAS، Trivy، Grype) أو أدوات SAST/SCA (Semgrep، CodeQL، Snyk)
- الاطلاع على أساسيات أمن تطبيقات الهاتف المحمول (iOS / Android - تثبيت الشهادات، التخزين الآمن، مخاطر الروابط العميقة)
- التعرض لأمن الحاويات وتنسيقها (Docker، Kubernetes - مسح الصور، RBAC)
- تقديم تقارير مكافآت الحشرات على أي برنامج عام (HackerOne، Bugcrowd، Intigriti)
- الاطلاع على أدوات DevSecOps - بوابات الأمان في أنابيب CI/CD، مسح الكائنات المتصلة، مسح الصور المركبة
- التعرض لأدوات SIEM أو SOC - تحليل السجلات، فرز التنبيهات
- معرفة أساسية بـ SQL وكيفية إساءة استخدام الاستعلامات
- الاطلاع على أساسيات التشفير (المتماثل مقابل غير المتماثل، التجزئة، التوقيع - مفاهيمية)
على مسار GRC
- التعرض لأطر الأمان: PCI DSS، ISO 27001، NIST CSF، أو SAMA CSF
- الوعي بمفاهيم إدارة المخاطر - الاحتمال، التأثير، المخاطر المتبقية، فعالية الضوابط
- الراحة مع الوثائق المنظمة: كتابة سياسات واضحة، إجراءات، روايات الأدلة
- الاطلاع على أساسيات مراجعة الحسابات - العينات، اختبار الضوابط، جمع الأدلة
- الوعي بـ GDPR أو لوائح الخصوصية الأخرى
- التعرض لأدوات GRC (Vanta، Drata، OneTrust، أو مماثل)
على كلا المسارين
- فهم أساسيات أمن السحابة على GCP (IAM، VPC isolation، secrets، KMS)
- الاهتمام بأتمتة الأمن وتطوير منصة الأمن