Functieomschrijving:

Opdrachtomschrijving

Voor een toonaangevend project zoekt VWS een Security Liaison die actief meedraait binnen ontwikkelteams en security vanaf het begin integreert in het ontwikkelproces (Shift Left). De rol omvat het concreet en toepasbaar maken van security voor ontwikkelaars, architecten en product owners, deelname aan overleggen, gevraagd en ongevraagd advies over security-aspecten in architectuur, epics en user stories en werken volgens Security by Design.

Werkzaamheden

• Vertalen van iSDP-richtlijnen (gebaseerd op OWASP ASVS) naar de praktijk en uitvoeren van risicoanalyses.
• Coördineren van pentests en code-assessments en opvolging van technische bevindingen.
• Ondersteunen van teams met lokale scans (Trivy, Semgrep, OWASP ZAP) en gebruiken van tooling gericht op SCA & SAST.
• Betrokkenheid bij incidentmanagement en escalaties; samenwerken met het SOC voor monitoring, logging en SIEM-integratie.
• Signaleren van risico’s en afstemmen van mitigerende maatregelen met Security Lead en gremia (MAF, IBMF).
• Bijdragen aan kennisdeling, stakeholderafstemming en security awareness binnen het team.
• Input leveren voor logging- en monitoring use cases; ondersteunen bij open-source keuzes en oplevertrajecten.

Over de klant:

Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft als motto Nederland gezond en wel. Ongeveer 5000 ambtenaren van dit ministerie maken het overheidsbeleid op het terrein van de gezondheidszorg, de maatschappelijke zorg en sport. Zorg voor ouderen en jongeren en voor mensen met een lichamelijke of verstandelijke handicap.

Let op! Het Ministerie van Volksgezondheid, Welzijn en Sport heeft eisen met betrekking tot acceptatie van CV's:

• CV aanleveren in Word (Let op! maximaal 7 pagina's)
• Motiveer waarom jij aan de eisen voldoet
• Puntsgewijze argumentatie voor zowel wensen als eisen
• Geen tarief vermelden in het CV
• CV zonder foto en adres, wel met woonplaats aanleveren
• Geen geboortedatum
• Geen persoonsgegevens alleen voor- & achternaam + woonplaats

Eisen:

• WO Werk- en denkniveau aangevuld met CISSP-certificering of gelijkwaardig.
• Minimaal vijf jaar ervaring met integratie en gebruik van security tooling (o.a. Trivy, Semgrep, OWASP ZAP, Dependendabot) met focus op SCA & SAST.
• Kennis van secure software development en OWASP-richtlijnen (ASVS, Top 10, SAMM).

Wensen:

• Ervaring met CI/CD-pijplijnen.
• Basiskennis van dreigingsmodellen en risicoanalyse.
• Bekendheid met incidentmanagement en monitoring.
• Kennis van GitHub, Git en standaard werkwijzen.
• Kennis van cloud- en/of containeromgevingen en hun security-aspecten.
• Begrip van softwarearchitectuur en ontwikkelmethodieken.
• Ervaring met het coördineren van security assessments.
• Vaardig in het vertalen van technische bevindingen naar risico’s.
• Kennis van open-source security processen en compliance-aspecten.
• Kennis van security by design beleid en toepassing.
• Sterke communicatieve vaardigheden.
• Samenwerkingsgericht.
• Proactieve houding.
• Didactisch vermogen.

Functie-wensen

• Ervaring met CI/CD-pijplijnen.
• Basiskennis van dreigingsmodellen en risicoanalyse (OWASP Risk Rating, BIO).
• Bekendheid met incidentmanagement en monitoring (SIEM, SOC-processen).
• Kennis van GitHub, Git en standaard werkwijzen.
• Kennis van cloud- en/of containeromgevingen (Docker, Kubernetes, Podman) en hun security-aspecten.
• Begrip van softwarearchitectuur en ontwikkelmethodieken (Agile/Scrum, DevOps).
• Ervaring met coördineren van security assessments (pentests, code reviews).
• Vaardig in het vertalen van technische bevindingen naar risico’s voor product owners en management.
• Kennis van open-source security processen en compliance-aspecten bij oplevering.
• Kennis van security by design beleid en toepassing in projecten.
• Sterke communicatieve vaardigheden: advies aan zowel ontwikkelaars als management.
• Samenwerkingsgericht: onderdeel van het team in plaats van externe controleur.
• Proactieve houding: gevraagd en ongevraagd signaleren en adviseren over risico’s.
• Didactisch vermogen: security awareness overbrengen en teams begeleiden in security gerelateerde projecten.

Competenties:

• Security by design toepassen binnen projecten.
• Coördineren van security assessments (pentests, code reviews).
• Werken met GitHub, Git, cloud- en containeromgevingen (Docker, Kubernetes, Podman).
• Communicatieve vaardigheden richting ontwikkelaars en management.
• Samenwerkingsgericht en onderdeel van het team.
• Proactief signaleren en adviseren over risico’s.
• Didactisch vermogen en het vergroten van security awareness.