Risk Assessment & Analysis. Voert risico assessments uit om potentiële dreiging, kwetsbaarheden en de mogelijke impact op de organisatie in te schatten. Maakt gebruik van erkende frameworks, zoals STRIDE, DREAD, NIST RMF en gebruikt waar mogelijk kwantitatieve onderzoeksmethoden.
Strategie en beleidsontwikkeling. Ontwerpt en implementeert security policies, standaarden en procedures om risico’s te minimaliseren of te mitigeren.
Technisch advies en begeleiding. Cloud Security (AWS/Azure/GCP), EDR, SIEM, IAM, secure SDLC en fysieke concepten.
Incident Response. Ondersteuning van incident onderzoek, leveren van risico gebaseerde inzichten en bijdragen aan het vervolmaken van het Incident Response Plan van de organisatie.
Compliance & auditing. Monitoren van de organisatie tegen bekende standaarden als ISO 27001/27002, NIST CSF, GDPR en het voorbereiden van bewijsvoering t.b.v. interne en externe audits.
Training & Awareness. Ontwikkelen en geven van security awareness trainingen aan medewerkers met als doel bewustwording van risico’s en best practices in relatie tot rol-specifieke threat vectors.
Threat detection & Use Case creation. Ontwerp en documenteren van risk-based detection use-cases voor het SOC team met als doel het afdekken van high-impact dreiging.
Threat modeling. Het geven van threat-modeling workshops (STRIDE) voor critical assets en nieuwe projecten.
Monitoren nieuwe regelgeving en dreiging. Zoekt actief naar nieuwe dreiging, kwetsbaarheden en wijzigingen in wetgeving met als doel het up-to-date houden van het risico-register en de mitigatie-roadmap.
Kennis en vaardigheden:
Sterk analytisch en probleemoplossend. Vaardigheden om complexe situaties te doorgronden en de root-cause te identificeren. Aandragen van praktische oplossingen, uitvoeren van kwantitatieve risk scoring en een analyse van cost-benefit.
Technische bekwaamheid. Begrip van security techniek, systemen en architectuur. Deze behelst gebieden als cybersecurity, netwerk security, data protection, cloud security (AWS/Azure/GCP), end-point detection & response (EDR), SIEM, IAM en secure software development lifecycle (SSDLC).
Bedrijfsinzicht. Een stevig begrip van bedrijfsprocessen met als doel een inzicht van afhankelijkheden in de bedrijfsketens, zodat deze beschermd kunnen worden tegen cyber threat actors. Het vertalen van business impact naar risk appetite en tolerance levels.
Communicatieve vaardigheden. Het talent om technische informatie en risico assessments op een heldere manier over te brengen aan zowel technisch als niet-technisch personeel.
Kennis van security frameworks. Behoudt actuele kennis van de laatste dreigingen, kwetsbaarheden, industry best practices. Specifiek bekwaam t.a.v. BIO, ISO 27001/27002, NIST SP 800-53, CIS Controls, MITRE ATT&CK, STRIDE/DREAD en opkomende AI-risk frameworks (ISO 42001).
Achtergrond opdracht: De Security Risk Advisor schat de security risico’s in, over de breedte van de organisatie. Vervolgens prioriteert en mitigeert hij/zij die security risico’s. Daardoor creëert de organisatie (people, process & technology) een stevige weerbaarheid tegen, zich ontwikkelende, dreiging. De Risk Advisor werkt nauw samen met het management, de engineering teams en het SOC om ervoor te zorgen dat risico analyses worden vertaald naar daadwerkelijke policies, controls en training programma’s. De functie vraagt om sterke analytische vaardigheden om mogelijke dreiging in te schatten en ruime kennis van bedrijfsprocessen en actuele security trends. Hierdoor is de Risk Advisor in staat effectief richtlijnen en mitigatie strategieën te formuleren.
Organisatorische context en cultuur: Het ministerie van Buitenlandse Zaken is de spil in de communicatie tussen de Nederlandse regering en de regeringen van andere landen én tussen de Nederlandse regering en internationale organisaties. Het ministerie coördineert het buitenlands beleid van de Nederlandse regering en voert dit uit. Naast het departement in Den Haag opereert het ministerie vanuit ambassades, permanente vertegenwoordigingen en consulaten-generaal, verspreid over de hele wereld. Het ministerie voert een actief diversiteitsbeleid en zet in op een inclusieve organisatie. We doen dit door de verschillen van mensen optimaal in te zetten en te benutten. We streven bij de samenstelling van teams en bij de aanname van nieuw talent naar diversiteit in leeftijd, geslacht, cultuur, achtergrond, geaardheid, kennis en competenties. De Directie Informatievoorziening en Digitale Innovatie (IDI) ondersteunt samen met andere bedrijfsonderdelen het primaire proces van BZ. Binnen BZ is een groot aantal IV-taken gebundeld in de directie IDI. IDI regisseert o.a. de relatie tussen klanten/opdrachtgevers en leveranciers, met als doel de primaire processen van BZ optimaal te ondersteunen