BBVA (Banco Bilbao Vizcaya Argentaria) is a leading global financial services group and one of the largest financial institutions in the world, with a significant presence in Spain, Mexico, South America, and Turkey. The bank is widely recognized for its pioneering digital transformation, consistently ranking as a global leader in mobile banking and fintech innovation while managing over 120,000 employees worldwide. Headquartered in Madrid, BBVA is a major employer for international professionals, particularly within its Corporate & Investment Banking (CIB) and Engineering & Data divisions. The company operates out of 'Ciudad BBVA,' a massive, modern campus designed for agile collaboration, and offers a multicultural environment where English is the primary language for many global and technical functions.

BBVA was formed in 1999 through the merger of Banco Bilbao Vizcaya and Argentaria, though its roots date back to 1857 with the founding of Banco de Bilbao. It has evolved from a local Spanish bank into a global financial powerhouse and a digital banking pioneer.

Information Security Manager Ii

BBVA

Original Advert

Excited to grow your career?

BBVA is a global company with more than 160 years of history that operates in more than 25 countries where we serve more than 80 million customers. We are more than 121,000 professionals working in multidisciplinary teams with profiles as diverse as financiers, legal experts, data scientists, developers, engineers and designers.

Learn more about the area:

La unidad de PROTECT tiene como objetivo mejorar el nivel de seguridad de los diferentes ámbitos y tecnologías de BBVA a nivel global; detectando riesgos y amenazas y ofreciendo soluciones preventivas de mitigación.

About the job:

La persona que se incorpore al rol tendrá cómo funciones principales:

Realización de tareas relacionadas con hacking ético de aplicaciones, redes y sistemas.
Realizar o apoyar en los análisis de seguridad y pruebas de pentesting de cualquier tipo de entorno y/o plataforma.
Mejorar los procedimientos, marcos y funciones del servicio actual con el fin de ofrecer una mejora continua y asegurar las entregas del servicio acorde a los SLAs definidos.
Colaborar en las gestiones necesarias durante las actividades realizadas por el equipo de pentester.
Colaborar en todos los aspectos relacionados con el desarrollo y evolución de la unidad de Global Ethical Hacking, participando y aportando ideas de mejora en el servicio.
Colaborar en la transición del servicio, para pasar de un enfoque reactivo (escanear y reportar) a uno continuo, priorizando las vulnerabilidades basándose no solo en su criticidad CVSS, sino en la inteligencia de amenazas (CTI) y la exposición real de los activos del banco.

Adicionalmente a lo anterior, también se encargará de:

Participar en la ejecución de ejercicios de hacking ético, de forma eventual.
Apoyar en la revisión de los entregables y verificación de cumplimiento de SLAs.
Mejorar los procedimientos, marcos y funciones de todo el servicio, con el fin de ofrecer una mejora continua y asegurar las entregas del servicio acorde a los SLAs que se definan. Realizando "Quality Assurance" (QA) periódico sobre los informes del proveedor. Identificando si se están reportando hallazgos repetitivos que podrían automatizarse, si se están omitiendo activos críticos, o si las PoCs pueden causar disrupciones.
Velar porque la información o base de conocimiento del servicio se encuentre correctamente documentada.
Realizar un seguimiento del estado de las vulnerabilidades reportadas.

Asegurar la revisión de todos los activos en perímetro de BBVA, liderando la inclusión de nuevos módulos que permitan detectar las últimas vulnerabilidades que aparecen.
Promover la automatización de tareas para eficientar los procesos.
Participar en el diseño de campañas de vulnerabilidades en los activos externos e internos del grupo.
Revisar periódicamente si las herramientas tecnológicas que utiliza el proveedor (escáneres comerciales, herramientas custom) siguen siendo punteras o si es necesario adoptar nuevas tecnologías para mantener la calidad del servicio.
Proporcionar evidencias de la identificación y remediación de vulnerabilidades explotables a auditores internos y externos, asegurando el cumplimiento de normativas financieras (DORA, NIS2, PSD2, PCI-DSS, circulares del Banco de España/BCE).

Buscamos una persona con las siguientes skills:

Conocimientos técnicos en ciberseguridad muy orientados hacia la parte ofensiva (Hacking, Red Team, Vulnerabilidades, etc.)
Capacidad demostrada para analizar, evaluar e interpretar conjuntos complejos de información y datos con una sólida comprensión y aplicación de técnicas analíticas.
Capacidad de liderazgo de equipos y operaciones, con humanidad, cercanía y empatía hacia el equipo, que fomente el trabajo en equipo sin egos ni envidias. ● Pensamiento crítico y lateral, con capacidad de abstracción y de poder mirar todas las opciones posibles.
Proactividad, iniciativa y automotivación, con capacidad de innovación, creatividad, curiosidad e inconformismo.
Capacidad de toma de decisiones basada en datos.
Habilidades organizativas y de gestión; capacidad para iniciar, coordinar y priorizar responsabilidades y dar seguimiento a las tareas hasta su finalización.
Buenas dotes de comunicación verbal y escrita, con capacidad de redacción, y con conocimientos en diseño y exposición de presentaciones.
Pasión por lo que se hace y con ganas de aprender, con proactividad y ganas de mejorar continuamente el servicio prestado.
Sin temor a fracasar, sin temor al riesgo, con capacidad de equivocarse y aceptar errores, así como ayudar a otro en dicho caso.

Requisitos:

Titulación/Grado/Master en cualquiera de las ramas de interés para el puesto: telecomunicaciones o informática
Experiencia profesional de más de 3 años en materia de Ciberseguridad, preferiblemente enfocada a la seguridad ofensiva como Hacking Ético, análisis de vulnerabilidades, Red Team.
Experiencia profesional gestionando algún equipo multidisciplinar orientado a la ciberseguridad y en la evaluación de SLAs, KPIs y calidad de entregables.
Capacidad demostrada para analizar, evaluar e interpretar conjuntos complejos de información y datos con una sólida comprensión y aplicación de técnicas analíticas.
Capacidad de redacción y síntesis tanto a nivel técnico como ejecutivo. Teniendo capacidad para explicar el riesgo de un Zero-Day o un fallo crítico a directivos o áreas de negocio sin usar jerga excesivamente técnica.
Habilidades organizativas y de gestión; capacidad para iniciar, coordinar y priorizar responsabilidades y dar seguimiento a las tareas hasta su finalización.
Nivel de Inglés requerido: B1 (deseable B2)
Se valorará experiencia previa en el sector bancario, entendiendo la arquitectura típica (sistemas legacy, mainframe, arquitecturas transaccionales, entornos Swift).

Capacidades Técnicas:

Conocimientos y experiencia de al menos 3 años en análisis de aplicaciones, análisis de infraestructura y test de intrusión y gestión de vulnerabilidades. siendo capaz de saber leer y comprender una prueba de concepto (PoC) o un exploit.
Conocimientos de los principales estándares en seguridad de la información de aplicación a Ethical Hacking (OWASP, OWASP Mobile, MITRE ATT&CK ,PTES, OSSTMM,...), dominio de CVSS (y sus limitaciones de contexto), así como saber realizar búsquedas de información tanto en fuentes abiertas (OSINT) como privadas.
Conocimiento y manejo de herramientas de integración y ticketing (JIRA) así como de gestión unificada de vulnerabilidades (Tenable, Qualys, Gestvul,...)
Conocimientos de las principales nubes (AWS, GCP, Azure,..) así como en plataformas de inteligencia artificial (Gemini, OpenAI,...)
Conocimientos de regulaciones de ciberseguridad y ámbito financiero (DORA, NIS2, PCI-DSS, SOX...) y principales estándares en seguridad de la información (ISO, NIST...).
Se valorarán las certificaciones relacionadas con la ciberseguridad ofensiva (OCSP, OSEP, OSCE, CRTO, GWAPT, GCPN, CEH ...) y certificaciones de gestión y riesgos (CISM, CISSP, CRISC ...)

Skills: