Security Engineer

Via Cyberus ad interim / freelance

Via Cyberus

 Voor één van onze klanten in het Amsterdam,  een vliegveld, zijn wij opzoek Via Cyberus naar een Security Engineer (freelance/ad interim)
  • Locatie: Amsterdam / Remote
  • Type: Freelance/Ad interim
  • Tarief: 100 in overleg
  • Start: ZSM
  • Einddatum:  30-06-2022
  • Duur: 7 maanden, met kans op verlenging
  • Uur: 32 uur per week

Bij interesse neem contact met ons info@cyberus.nl of via het formulier

Opdrachtomschrijving
De afdeling Enabling Technologie Informatietechnologie (IT) wordt steeds belangrijker, gedreven door de ambitie om een toonaangevende digitale luchthaven te zijn die zorgt voor een naadloze reis van passagiers en soepele operationele processen. De organisatie zal snel moeten innoveren om dat doel te bereiken en te behouden.
De afdeling Enabling Technologie (ET) is een de innovatieve IT-afdelingen. De afdeling realiseert building blokken met als doel productteams in staat te stellen sneller producten te ontwikkelen en kosteneffectief te onderhouden. Dit doet de afdeling met verschillende platform teams die zelf organiserend werken.
Het begrip 'platformen' is niet nieuw. In de digitale economie hebben succesvolle ondernemingen hun IT georganiseerd rond een reeks modulaire platformen die door verantwoordelijke platformteams 'als een dienst' worden beheerd.

De toenemende rol van Platforms is een logisch onderdeel van de IT-strategie: 'IT made easy'. Het is ook niet nieuw voor de organisatie; er zijn al succesvolle Platforms (bijv. API platform, CI/CD platform, etc.) in gebruik. De huidige Platforms binnen Enabling Technologie worden verder ontwikkeld, de organisatie en governance worden versterkt en nieuwe Platforms worden toegevoegd.

Informatiebeveiliging is binnen de organisatie ingericht conform het gebruikelijke “three lines of defense” model, waarbinnen onderscheid wordt gemaakt tussen:

1e lijn: verantwoordelijk voor de beheersing van de informatiebeveiligingsrisico’s - De ET-teams zijn verantwoordelijk voor het treffen van adequate maatregelen zowel technisch als procesmatig voor de building blokken die door hen geïmplementeerd en beheerd worden. En hiermee een integraal onderdeel van de rol security engineer (DEVSECOPS).

2e lijn: controlerende verantwoordelijkheid - Conform het riskmanagementproces van het Cyber Security Center (SCSC) voert het SCSC een Business Impact Analysis (BIA) uit op een systeem of een risicoanalyse uit in het geval van een infrastructuur samen met de afdeling ET. Rekening houdend met de BIA of de analyse uitkomst van een risicoanalyse, de context en de voor elk IT-product/systeem geldende beleid en standaarden stelt het SCSC de cyber security eisen op. Daarna voert SCSC compliance checks uit op de geïmplementeerde maatregelen.

3e lijn: onafhankelijke controle - Onafhankelijke interne of externe audits op het beleid en de uitvoering daarvan.

Omschrijving van de rol:
Als security engineer speel je een cruciale rol in de Enabling Technologie journey om te migreren naar het DevSecOps-proces. Door je bijdrage zullen de ET-teams de beveiligingsaspecten van de platformen en componenten die ze ontwikkelen beter begrijpen en zo bijdragen aan de veiligheid.

Je brainstormt, adviseert en werkt samen met de ET-teams om de informatiebeveiliging (technologie, people & processes) bij de start van onze platformen en componenten te waarborgen (security by design).

Het is daarbij altijd belangrijk om de bedrijfscontinuïteit en impact af te zetten tegen mogelijke risico's. Je werkt veel samen met het SCSC om de cyber security van het ET-platform op niveau te houden. Als informatiebeveiliging in het geding is, zal je ET-teams hierop moeten aanspreken en SCSC hierop de hoogte van brengen. De richtlijnen omtrent informatiebeveiliging worden opgesteld door SCSC


Soort persoon:
  • Goede energie, proactief, initiatief nemend en positieve instelling;
  • De wil om snel te kunnen inwerken;
  • Ervaring met enterprise organisaties en complexe transities binnen enterprise omgevingen;
  • Hands-on mentaliteit;
  • Communicatief sterk.

Dagelijkse werkzaamheden:
  • Vertalen van tactisch securitybeleid naar operationele gedetailleerde (product specifieke) security eisen;
  • Aanleveren van bewijs aan SCSC i.v.m. de compliance aan de security eisen;
  • Reviewen designdocumenten en implementatie van security maatregelen, evalueren op effectiviteit en aanbevelingen doen voor verbeteringen i.s.m. SCSC;
  • Faciliteren en ondersteunen van security en penetratie testen door ET teams en valideren van veiligheids- gerelateerde waarschuwingen, incident respons en tegenmaatregelen. Kortom: Het controleren en periodiek monitoren van de operationele cyber security alerts;
  • Ontwikkelen van operationeel cyber security practices / processen / werkinstructies en deze afstemmen met het SCSC;
  • Beoordelen rapportages van in- en externe auditinstanties op relevantie voor cybersecurity;
  • Rapporteren over security beleid afwijkingen aan SCSC en ET management;
  • Het opzetten van SDLC-processen binnen de ET afdeling en het uitvoeren hiervan, denk hierbij bijvoorbeeld aan security incident proces, access management proces, etc.;
  • De ET teams “cyber security” aware maken en kennisoverdracht d.m.v. kennis sessies, trainingen, etc;
  • Samenwerken met ET teams aan het design en ontwikkeling van de platformen en toetsen van de ICT platform designs aan architectuuruitgangspunten voor cyber security, adviseert en helpt mee aan verbeteringen;
  • Beoordelen interne ontwikkelingen binnen de ICT met mogelijke gevolgen voor cyber security in de ICT;
  • Het ondersteunen en optimaliseren van “secure continuous delivery” binnen de devops pipeline middels tooling en geautomatiseerde testen.
Je beschikt over minimaal 3 jaar werkervaring in o.a. de security aspecten van DevSecOps automation en je hebt technische security kennis en hands-on ervaring op het gebied van:
  • DEVSECOPS;
  • Security scanning tool (bijv. qualys, aquasec);
  • Code kwaliteit tools (bijv. sonarqube);
  • IAM;
  • Container platformen (Red Hat OpenShift of andere enterprise Kubernetes variant);
  • Publieke CSP (Azure, AWS of GCP), het liefst Azure;
  • CI/CD pipeline (bijv. Azure DEVOPS);
  • Infrastructuur (netwerktechnieken, operating systems, middleware, etc.)

Wij zien het als pre als je ervaring hebt met meer van de security aspecten van het volgende technologieën en technische producten:
  • Applicatie servers zoals WebSphere, WebLogic of JBoss EAP
  • Jakarta (Java) EE kennis
  • Messaging (bijv. kafka, AMQ)
  • API gateways (bijv. Redhat 3scale)
  • Databases (bijv. Marklogic, Elastic, Oracle, etc)
  • Integratie technologie (ESB, MFT, RPA, CEP, Business rules)

Aanvullende informatie:
  • In verband met de maatregelen rond Corona benadrukken we dat werving voor organisatie in principe niet plaats vindt. Bij uitzondering wordt er geworven voor vervanging in kritieke functies;
  • Deze vacature mag niet worden gedeeld op Social Media;
  • Vereiste taal: Zowel Nederlands als Engels (B2-niveau in woord en geschrift);
  • CV & Motivatie toegespitst op de opdracht, graag in het Nederlands/Engels aanleveren;
  • Grootte CV dient maximaal 1500 KB te zijn;