Security Architect 2FTE 40u/w

Het project komt ten einde zodra er is aangetoond dat het risicomanagementproces een zodanig voorspelbaar en gedefinieerd proces is dat deze door functionarissen van alle disciplines goed begrepen en uitgevoerd wordt, en dat deze effectief is voor het realiseren van betrouwbare IT.

Welke rol heeft de professional binnen het project/programma:

De Security Architect heeft een leidende en inhoudelijke rol. Hij/zij werkt zelfstandig, neemt initiatief en realiseert een uitgewerkt, afgestemd ontwerp en implementatie(plan) voor het operating model van hoe de KMar betrouwbare IT realiseert d.m.v. gestandaardiseerde DevOps-methodieken, -processen -tooling, -beleid, et cetera. Het operating model moet passen bij de IT-en risicomanagementbehoeftes van de KMar. Vanuit ervaring met softwareontwikkeling, maar ook met risicomanagement binnen ontwikkel- en beheerprocessen, zal de Security Architect een verbindende rol hebben om tussen de disciplines als brug te fungeren en beiden te adviseren op het gebied van procesgang, werkwijzen, beleid en bovenal samenwerking.

Welke opdracht gaat de professional uitvoeren en welke activiteiten horen daarbij?

De activiteiten die horen bij het realiseren van de opdracht zijn:

• Identificeren van het current en target operating model voor (informatiebeveiligings) risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen;

• Het opstellen en uitwerken van de security architectuur (denk aan benodigde tooling, uitwerking van operationele processen, andere producten) benodigd voor de Sectie DevOps en het CISO-office, inclusief een implementatieplan.

• Het ontwerpen en uitwerken van conceptbeleid voor risicomanagement binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO) en in lijn met de wensen uit de organisatie

Maandelijkse briefing op voortgang door professional aan (vertegenwoordiging van) CISO KMar en Hoofd DevOps. Conceptresultaten zullen na hun akkoord door de professional met een bredere groep belanghebbenden moeten worden afgestemd alvorens er een (eind)beoordeling kan plaatsvinden.

Over welke specifieke kennis beschikt de professional

De aangevraagde professional die we zoeken heeft zowel diepgaande technische kennis van security architectuur (specifiek binnen een DevOps-omgeving), als kennis van information security management, en weet organisatiebehoeftes te vertalen naar concrete elementen uit een operating model (cultuur, beleid, rollen, tooling, processen, werkwijzen et cetera). De professional weet uit eerdere ervaringen wat wel en niet werkt (de architertuur), en welke stappen gezet moeten worden om het operating model te realiseren (het plan/implementatievoorstel). Die kennis is binnen de KMar uniek en moet dus bij een eventuele vervanger ook weer aanwezig zijn.

We zoeken een security professional die aantoonbaar kennis heeft van processen, techniek én beleid die nodig is voor het realiseren van betrouwbare IT voor de uitvoering van KMar-taken. De professional is in staat om in korte tijd complexe processen van verschillende disciplines te versimpelen, verenigen en met verschillende stakeholders samen te werken aan verandering. Hij/zij doet dit door vanuit een architectuurperspectief een operating model uit te werken met oog voor aansluitende processen, ondersteunende tooling, en eventueel ook benodigde rollen, kennis en cultuurshift. De professional is een leider pur sang en weet uit aantoonbare ervaring hoe we als organisatie de eerste zo belangrijke stappen zetten naar een DevSecOps-wijze van IT realiseren.

HBO+/WO werk- en denkniveau, in de richting van Informatica, Cybersecurity, Technische bedrijfskunde, technische bestuurskunde of iets vergelijkbaars. Minimaal 5 jaar aantoonbare ervaring in een senior rol op het gebied van IT security en/of security architectuur. Aantoonbare ervaring met het ontwerpen en implementeren van beveiligde IT-architectuur, bij voorkeur binnen DevOps/DevSecOps-omgevingen. Aantoonbare ervaring met het vertalen van IT beveiligingsbeleid, kaders en risico's naar IT-architectuur en operationele processen. Ervaring met het opstellen van architectuur- en implementatievoorstellen, inclusief roadmap en veranderaanpak. Ervaring met werken in complexe (overheids)organisaties of organisaties met hoge eisen aan betrouwbaarheid en compliance is een pré. Kennis van relevante standaarden en frameworks, zoals ISO 2700x, NIST CSF, NIST 800-x zij richtinggevend. Uitstekende beheersing van de Nederlandse taal, zowel mondeling als schriftelijk

Kennis en/of ervaring met IT-risicomanagement binnen Defensie of een andere hoogrisico IT-omgeving (het bankwezen en/of verzekeringswezen), of (high)techbedrijven met hoge beschikbaarheids- en compliance-eisen Ervaring met het ontwerpen, conceptualiseren en implementeren van risicomanagement- en IT-processen binnen DevOps-praktijken. Zowel op strategisch/architectuurniveau als op het niveau van concrete ways of working van verschillende teams. Ervaring met of kennis van NIST RMF is een pré Praktische ervaring met security- en risicomanagement in CI/CD pipelines, inclusief Infrastructure as Code (IaC), containerisatie (bijv. Docker/Kubernetes) Ervaring met innovatieve technologieën vanuit een security- en risicoperspectief, zoals Robotica, IoT, LLM's/AI, Cloudplatformen, Low-code platforms en/of RPA Praktische ervaring met IAM, secrets management en het werken met of inrichten van SIEM/SOC-omgevingen Solliciteer nu! Ga naar de bovenkant

De Koninklijke Marechaussee (KMar) waakt over de veiligheid van de staat binnen diverse vitale processen. Om dit te kunnen bereiken, wordt er steeds meer gebruik gemaakt van eigen ontwikkelde en beheerde IT. De KMar heeft steeds meer behoefte aan softwareontwikkeling door middel van een Agile/SCRUM proces. Het risicomanagement binnen deze processen is nog niet volledig uitgewerkt en in lijn gebracht met breder vigerende beleid. Hierdoor ontstaat er een mismatch tussen werkzaamheden van de softwareontwikkelteams en risicomanagementteams, met het gevolg dat IT niet met de gewenste snelheid en/of risicoafwegingen wordt gerealiseerd. Het doel van dit project is om ontwikkeling van IT te versnellen, zonder dat hierbij aan risicomanagement tekort wordt gedaan. Onderdeel van dit project is om werkzaamheden van beide teams beter op elkaar te laten aansluiten, waardoor ze in continue harmonie en hetzelfde tempo met elkaar kunnen samenwerken. Dat moet ervoor zorgen dat zodra IT klaar is, het risicomanagementproces ook is afgerond, waardoor de software bijna onmiddellijk na afronding in gebruik kan worden genomen. * Concepten van het Current operating model en Target operating model voor (informatiebeveiligings)risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen; * Concepten/voorstellen voor risicomanagementbeleid binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO); * Concepten van Security Architectuur ontwerp en implementatieplan voor resp. de Sectie DevOps en CIO-office, waarbij het ontwerp o.a. bestaat uit: procesbeschrijvingen, werkwijzes. En waarbij het implementatieplan o.a. ingaat op implementatie van aanbevolen tooling, etc. Welke eindresultaten zal de professional aan het einde van de opdracht dienen op te leveren. * * Een uitwerking van het Current operating model en Target operating model voor (informatiebeveiligings)risicomanagement van de Sectie DevOps in het bijzonder en de KMar in het algemeen; * Een voorstel voor risicomanagementbeleid binnen de KMar voor kortcyclische IT, gebaseerd op Continuous Approval to Operate (cATO); * Security Architectuur ontwerp en implementatieplan voor resp. de Sectie DevOps en CIO-office, waarbij het ontwerp o.a. bestaat uit: procesbeschrijvingen, werkwijzes. En waarbij het implementatieplan o.a. ingaat op implementatie van aanbevolen tooling, etc.