Door de Wet DBA is deze opdracht alleen in te vullen door IT-professionals in loondienst (detachering).

Eisen:

• Minimaal 3 jaar ervaring in informatiebeveiliging binnen een complexe organisatie (bij voorkeur overheid) met meer dan 500 medewerkers
• Aantoonbare werkervaring met het organiseren, begeleiden, uitvoeren en opvolgen van BIV/BIO-classificaties en diepgaande risicoanalyses (ISO 27005) op tactisch en strategisch niveau
• Aantoonbare werkervaring met security-incidenten, zoals incidentcoördinatie, triage of opvolging (bijvoorbeeld in samenwerking met SOC, CERT of IT-operations)
• In het bezit van een CISSP, CRISC of een soortgelijke certificering

Wensen:

• Minimaal 5 jaar aantoonbare werkervaring in de afgelopen 7 jaar als Security Risk Officer
• Minimaal 2 jaar aantoonbare werkervaring met het ontwikkelen en uitvoeren van risicomanagement en het doorvoeren, ontwikkelen en monitoren van security requirements bij leveranciers
• Aantoonbare werkervaring met het vertalen van tactisch beleid naar begrijpelijke en praktische processen en werkinstructies
• Aantoonbare werkervaring met het opstellen van incident response-draaiboeken en playbooks
• Aantoonbare kennis en werkervaring van CTEM-frameworks, MITRE ATT&CK, of exposuremanagement tooling
• Aantoonbare werkervaring met OOV-ketens of andere 24/7 kritische processen

Omschrijving:

Voor Veiligheidsregio Utrecht zijn wij op zoek naar een Senior Security Risk Officer. In deze rol ben je verantwoordelijk voor het risicogestuurd beveiligen van de organisatie. Je identificeert en beoordeelt risico’s, coördineert security-incidenten en ondersteunt de IT-organisatie bij het ontwikkelen van draaiboeken en procedures. Je speelt een kernrol in risicomanagement en bent de aangewezen persoon om het ontwikkelde kader verder door te ontwikkelen en te laten landen in de organisatie. Daarnaast heb je een belangrijke rol in het opzetten en uitvoeren van Continuous Threat Exposure Management (CTEM). Dit is een continue, cyclische aanpak om kwetsbaarheden, dreigingen en exposures in kaart te brengen en te verhelpen. Tijdens kantooruren draai je mee in de standbycapaciteit voor (cyber)incidenten en calamiteiten. Je bent beschikbaar voor snelle beoordeling, coördinatie en besluitvoorbereiding richting CISO en betrokken teams. Je neemt het voortouw, werkt zelfstandig en communiceert helder met stakeholders. Je hebt minimaal 3 jaar ervaring in informatiebeveiliging binnen een complexe organisatie, bij voorkeur in de overheid. Je hebt ervaring met BIV/BIO-classificaties en diepgaande risicoanalyses. Je bent in het bezit van een relevante certificering zoals CISSP of CRISC. Deze functie biedt de kans om een significante impact te maken op de veiligheid van de regio Utrecht.