Security Risk Advisor

De Security Risk Advisor schat de security risicos in, over de breedte van de organisatie. Vervolgens prioriteert en mitigeert hij/zij die security risicos. Daardoor creeert de organisatie (people, process & technology) een stevige weerbaarheid tegen, zich ontwikkelende, dreiging.

De Risk Advisor werkt nauw samen met het management, de engineering teams en het SOC om ervoor te zorgen dat risico analyses worden vertaald naar daadwerkelijke policies, controls en training programmas. De functie vraagt om sterke analytische vaardigheden om mogelijke dreiging in te schatten en ruime kennis van bedrijfsprocessen en actuele security trends. Hierdoor is de Risk Advisor in staat effectief richtlijnen en mitigatie strategieen te formuleren.

Kern verantwoordelijkheden:

• Risk Assessment & Analysis. Voert risico assessments uit om potentiele dreiging, kwetsbaarheden en de mogelijke impact op de organisatie in te schatten. Maakt gebruik van erkende frameworks, zoals STRIDE, DREAD, NIST RMF en gebruikt waar mogelijk kwantitatieve onderzoeksmethoden.

• Strategie en beleidsontwikkeling. Ontwerpt en implementeert security policies, standaarden en procedures om risicos te minimaliseren of te mitigeren.

• Technisch advies en begeleiding. Cloud Security (AWS/Azure/GCP), EDR, SIEM, IAM, secure SDLC en fysieke concepten.

• Incident Response. Ondersteuning van incident onderzoek, leveren van risico gebaseerde inzichten en bijdragen aan het vervolmaken van het Incident Response Plan van de organisatie.

• Compliance & auditing. Monitoren van de organisatie tegen bekende standaarden als ISO 27001/27002, NIST CSF, GDPR en het voorbereiden van bewijsvoering t.b.v. interne en externe audits.

• Training & Awareness. Ontwikkelen en geven van security awareness trainingen aan medewerkers met als doel bewustwording van risicos en best practices in relatie tot rol-specifieke threat vectors.

• Threat detection & Use Case creation. Ontwerp en documenteren van risk-based detection use-cases voor het SOC team met als doel het afdekken van high-impact dreiging.

• Threat modeling. Het geven van threat-modeling workshops (STRIDE) voor critical assets en nieuwe projecten.

• Monitoren nieuwe regelgeving en dreiging. Zoekt actief naar nieuwe dreiging, kwetsbaarheden en wijzigingen in wetgeving met als doel het up-to-date houden van het risico-register en de mitigatie-roadmap.

• Je bent gecertificeerd in:

  • CISSP (or Associate);

  • CRISC (Certified in Risk and Information Systems Control);

  • CISM (Certified Information Security Manager);

  • ISO 27001 Lead Implementer / Auditor;

  • CompTIA Security+ (entry level).

• HBO / WO (Bachelors or Masters in Computer Science, Information Security, of vergelijkbaar);

• 35 jaar ervaring in security risk management, bij voorkeur in een publieke omgeving of vanuit consultancy;

• De functie vereist een verklaring van geen bezwaar (VGB) op B-niveau. Hiervoor is een veiligheidsonderzoek noodzakelijk.

Competenties

• Sterk analytisch en probleemoplossend. Vaardigheden om complexe situaties te doorgronden en de root-cause te identificeren. Aandragen van praktische oplossingen, uitvoeren van kwantitatieve risk scoring en een analyse van cost-benefit.
• Technische bekwaamheid. Begrip van security techniek, systemen en architectuur. Deze behelst gebieden als cybersecurity, netwerk security, data protection, cloud security (AWS/Azure/GCP), end-point detection & response (EDR), SIEM, IAM en secure software development lifecycle (SSDLC).
• Bedrijfsinzicht. Een stevig begrip van bedrijfsprocessen met als doel een inzicht van afhankelijkheden in de bedrijfsketens, zodat deze beschermd kunnen worden tegen cyber threat actors. Het vertalen van business impact naar risk appetite en tolerance levels.
• Communicatieve vaardigheden. Het talent om technische informatie en risico assessments op een heldere manier over te brengen aan zowel technisch als niet-technisch personeel.
• Kennis van security frameworks. Behoudt actuele kennis van de laatste dreigingen, kwetsbaarheden, industry best practices. Specifiek bekwaam t.a.v. BIO, ISO 27001/27002, NIST SP 800-53, CIS Controls, MITRE ATT&CK, STRIDE/DREAD en opkomende AI-risk frameworks (ISO 42001).

Organisatorische context en cultuur

Het ministerie van Buitenlandse Zaken is de spil in de communicatie tussen de Nederlandse regering en de regeringen van andere landen en tussen de Nederlandse regering en internationale organisaties. Het ministerie coordineert het buitenlands beleid van de Nederlandse regering en voert dit uit. Naast het departement in Den Haag opereert het ministerie vanuit ambassades, permanente vertegenwoordigingen en consulaten-generaal, verspreid over de hele wereld.

Het ministerie voert een actief diversiteitsbeleid en zet in op een inclusieve organisatie. We doen dit door de verschillen van mensen optimaal in te zetten en te benutten. We streven bij de samenstelling van teams en bij de aanname van nieuw talent naar diversiteit in leeftijd, geslacht, cultuur, achtergrond, geaardheid, kennis en competenties. De Directie Informatievoorziening en Digitale Innovatie (IDI) ondersteunt samen met andere bedrijfsonderdelen het primaire proces van BZ. Binnen BZ is een groot aantal IV-taken gebundeld in de directie IDI. IDI regisseert o.a. de relatie tussen klanten/opdrachtgevers en leveranciers, met als doel de primaire processen van BZ optimaal te ondersteunen

Optie tot verlenging: Niets over bekend.

Hybride: Remote/hybrid verdeling: samenwerking georganiseerd rond het principe dat 50% thuiswerk gecombineerd wordt met 50% aanwezigheid op kantoor.

Aantal professionals of FTE: 1

Overig algemeen: Niet bekend