Senior Security Risk Officer

Als Senior Security Risk Officer is de professional de sleutel in het risicogestuurd beveiligen van de organisatie. De professional identificeert en beoordeelt risico’s, coördineert security-incidenten en ondersteunt de IT-organisatie bij het ontwikkelen van draaiboeken en procedures. De professional speelt een kernrol in risicomanagement en is de aangewezen persoon om het ontwikkelde kader verder door te ontwikkelen en te laten landen in de organisatie. Daarnaast speelt de professional een belangrijke rol in het opzetten en uitvoeren van Continuous Threat Exposure Management (CTEM): een continue, cyclische aanpak om onze kwetsbaarheden, dreigingen en exposures in kaart te brengen en te verhelpen.

Daarnaast draait de professional in deze rol tijdens kantooruren mee in de standbycapaciteit voor (cyber)incidenten en calamiteiten. De professional is beschikbaar voor snelle beoordeling, coördinatie en besluitvoorbereiding richting CISO en betrokken teams.

• Minimaal 3 jaar ervaring in informatiebeveiliging in een complexe organisatie (bij voorkeur overheid) met meer dan 500 medewerkers;
• Aantoonbare werkervaring met het organiseren, begeleiden, uitvoeren en opvolgen van BIV/BIO-classificaties en diepgaande risicoanalyses (ISO 27005) op tactisch en strategisch niveau;
• Aantoonbare werkervaring met security-incidenten, zoals incidentcoördinatie, triage of opvolging (bijv. in samenwerking met SOC, CERT of IT-operations);
• Aantoonbaar in het bezit van een CISSP, CRISC of soortgelijke certificering;

Wensen

• Minimaal 5 jaar aantoonbare werkervaring in de afgelopen 7 jaar als Security Risk Officer (30 punten)
• Minimaal 2 jaar aantoonbare werkervaring met het ontwikkelen en uitvoeren van risicomanagement en het doorvoeren, ontwikkelen en monitoren van security requirements bij leveranciers (20 punten)
• Aantoonbare werkervaring met het vertalen van tactisch beleid naar begrijpelijke en praktische processen en werkinstructies (20 punten)
• Aantoonbare werkervaring met het opstellen van incident response-draaiboeken en playbooks (10 punten)
• Aantoonbare kennis en werkervaring van CTEM-frameworks, MITRE ATT&CK, of exposuremanagement tooling. (10 punten)
• Aantoonbare werkervaring met OOV-ketens of andere 24/7kritische processen (10 punten)

Competenties

• De professional neemt het voortouw, weet richting te geven en inspireert anderen on mee te bewegen in veranderingen.
• De professional werkt zelfstandig, neemt eigenaarschap en brengt vraagstukken proactief verder zonder continue sturing.
• De professional weet met natuurlijk gezag en een heldere visie de balans te bewaken tussen de strenge eisen vanuit de BIO2, de dynamische omgeving van de VRU en de praktische realiteit van budget en gebruikersgemak, zonder daarbij aan kracht of overtuiging in te boeten.
• De professional communiceert helder, overtuigend en creëert draagvlak bij uiteenlopende stakeholders.
• De professional is organisatiesensitief en begrijpt hoe belangen, prioriteiten en besluitvorming binnen de VRU samenkomen.
• De professional houdt overzicht in een complexe omgeving en kan hoofd- van bijzaken scheiden.
• De professional analyseert vraagstukken scherp en vertaalt deze naar heldere uitvoerbare kaders.

Organisatie
De Veiligheidsregio Utrecht draagt bij aan veiligheid. Elke dag weer, steeds beter.
De Veiligheidsregio Utrecht is een samenwerkingsverband van en voor alle 26 Utrechtse gemeenten in de provincie Utrecht. De Veiligheidsregio Utrecht zorgt elke dag voor de veiligheid van alle mensen die in de regio wonen en verblijven. Dat doet de Veiligheidsregio Utrecht met centralisten op de 112-meldkamer, brandweermensen en collega’s van risicobeheersing, crisisbeheersing en de geneeskundige hulpverleningsorganisatie in de regio.

Of de professional nu branden blust of werkt op kantoor: bij de VRU werken mensen met een passie. Een passie om levens te redden, om incidenten te voorkomen en te bestrijden. Mensen met een helder hoofd en een hart dat klopt voor de goede afloop. Dienstbaar, deskundig, alert en adequaat.

Stap 1: Uitnodiging voor een selectiegesprek
De opdrachtgever beoordeelt de CV’s van de professionals die door de administratieve partner zijn geselecteerd in onderlinge vergelijking op de volgende criteria:

• Relevante werkervaring op soortgelijke opdrachten;
• Relevante werkervaring bij soortgelijke organisaties.

De professionals die na deze beoordeling het beste scoren op de beoordeelde gunningscriteria worden uitgenodigd voor een selectiegesprek (stap 2 in de beoordeling). De beste drie professionals worden uitgenodigd voor een gesprek. De overige professionals worden niet uitgenodigd voor een gesprek.

Stap 2: Selectiegesprek
In het selectiegesprek wordt door de opdrachtgever nader getoetst in hoeverre de betreffende professionals voldoen aan het bovengenoemde profiel (met name wordt getoetst op de competenties). Het selectiegesprek wordt gevoerd met minimaal twee vertegenwoordigers van de organisatie. De professionals dienen op elke competentie minimaal een voldoende te scoren. Indien geen van de geselecteerde professionals op alle competenties minimaal een voldoende scoort zal stap één van de beoordeling worden herhaald.

De opdracht wordt gegund aan de professional die naar het oordeel van de organisatie het beste voldoet aan het bovengenoemde profiel. Alle overige professionals worden geïnformeerd dat de opdracht niet aan hen wordt gegund. Er wordt een opschortende termijn gehanteerd ter behandeling van eventuele bezwaren.

Optie tot verlenging: 6 maal 3 maanden en 1 maal 1 maand

Hybride: Voor deze opdracht is het noodzakelijk minimaal 60% fysiek aanwezig te zijn.

Overig algemeen:

Functieschaal
Deze functie is ingedeeld in functieschaal 10/11. Deze functieschaal is (eventueel) verbonden aan de desbetreffende CAO van de opdrachtgever inzake de inlenersbeloning.

CV-eisen
Maximaal 5 pagina’s, opgesteld in het Nederlands, minimaal 2 referenties.

Werkdagen
De opdracht wordt vervuld op de volgende werkdagen: Ma – Di – Wo – Do - VR.

Overige informatie

• De VRU vraagt bij aanvang van de opdracht om een Verklaring Omtrent het Gedrag (VOG). Hiervan moet een kopie, samen met het tonen van een ID-bewijs, worden overhandigd op de eerste werkdag.

• Indien de opdrachtnemer personeel ter beschikking stelt, staat de opdrachtnemer in het handelsregister geregistreerd als bedrijf dat personeel ter beschikking stelt (conform Waadi).

• De Veiligheidsregio Utrecht vergoedt geen parkeerkosten en reiskosten aan de inhuur professional die voor VRU komt werken. In de marktuitvraag van de administratieve partner wordt gesteld dat het geoffreerde uurtarief inclusief de reiskosten woon-werkverkeer, werk-werkverkeer, parkeerkosten én fee van de administratieve partner is.