Security adviseur IB CISO

Het Kadaster heeft de ambitie in het besturen van haar informatiebeveiliging te groeien naar een CMMI niveau 4. Daartoe wordt stapsgewijs het ISMS en daaraan gerelateerde onderdelen verbeterd. De omslag is al gemaakt om in processen te denken en vanuit business perspectief te besluiten over risico’s. Het Kadaster zoekt 2 senior adviseurs CISO om de onderstaande onderwerpen nog verder te brengen:

• BCM, het verder implementeren van het BCM beleid door de organisatie te begeleiden te komen tot business continuïteitsplannen (BCP) op basis van ontwikkelde sjablonen en aanpak. Concreet: voor alle primaire processen is na afronding een BCP opgesteld
• Ketenbeheersing, door het opzetten van risico-analyses met ketenpartners ten behoeve van afspraken over afhankelijkheden en alternatieven op basis van een focus aanpak en kort cyclisch analyseren (snel, niet compleet, wel kunnen handelen, bijstellen in de tijd). Concreet: met de andere overheidsorganisaties, waaronder basisregisterhouders, zijn risico-analyses opgesteld en voorstellen voor werkafspraken
• Autonomie, het ondersteunen van risico-inventarisatie en ontwikkelen van handelingsperspectief voor digitale autonomie. Concreet: risico’s van ontbreken van autonomie duiden voor de kerntaken van het Kadaster, voorstellen voor technische en organisatorische maatregelen en voorbereiden besluitvorming
• Liaison IT, het fungeren als spil richting de IT directie om gestelde kaders te vertalen naar praktijk en op basis van goede gesprekken te ondersteunen bij de implementatie en daardoor zicht houden op de voortgang. Concreet: samen IT richtlijnen en standaarden opstellen, mechanismen voor toezicht, implementatieplannen, inzicht in knelpunten, doorontwikkeling use cases voor monitoring, aanpak PQC en een ‘netwerk’ aan contacten

Nadrukkelijk is onderdeel van de twee adviseurs de overdracht aan de organisatie door middel van voordoen, meedoen, zelf doen. Hierin zal samengewerkt worden met (security) architecten, interne ISO’s, de CISO, diverse projectleiders, procesdeskundigen, etc.

Resultaten

De belangrijkste taken en verantwoordelijkheden zijn

• De kandidaat dient zorg te dragen dat hij/zij in staat is ten minste twee van de eerdergenoemde onderwerpen verder te brengen waarbij verwacht wordt dat door senioriteit de inwerktijd beperkt is tot maximaal één maand
• De kandidaat dient te beschikken over een grote zelfstandigheid bij het realiseren van de werkzaamheden
• De werkwijze en werkinstructies moeten gedocumenteerd worden en uitgeleerd worden aan het zittende personeel
• Let op: het Kadaster hecht waarde aan een praktische en werkbare aanpak in plaats van een volledig dichtgetimmerd standaard boekwerk
• Daarbij dient de werkwijze zodanig te zijn dat rekening gehouden wordt met risico's en geopolitieke ontwikkelingen
• Verrichten van hand- en spandiensten in de organisatie en ondersteuning van reguliere werkzaamheden indien nodig
• Inhoudelijk rapporteert de kandidaat aan de CISO

Werkzaamheden

Uit te voeren werkzaamheden:

• BCM, ketenbeheersing en autonomie (kandidaat 1)
  • Opstellen van business continuïteitsplannen, inclusief crisisherstelkaarten
  • Betrekken en overdragen aan de lijn van de resultaten
  • Het opstellen van proces risico-analyses uitgaande van de basisregisters en landelijke taken, en voorstellen hoe deze aan te pakken
  • Voor geselecteerde kadasterprocessen opstellen van risico-inventarisaties ten aanzien van digitale autonomie
  • Voorbereiden besluitvorming rondom risico’s tav digitale autonomie
  • Toezien op implementatie door het voeren van goede gesprekken (geen formele 2elijns monitoring checklis)
• Autonomie en Liaison IT (in samenwerking met de IT-directie) (kandidaat 2)
  • Het in kaart brengen van technische risico’s voor digitale autonomie en daar oplossingsstrategieën bij formuleren
  • Het in kaart brengen van alternatieven inclusief kosten en mogelijk verlies aan functionaliteit
  • Het opstellen van een PQC implementatieplan inclusief een GAP analyse
  • Het vertalen van kaders en richtlijnen naar standaarden waar deze in de uitvoering noodzakelijk zijn
  • Het ondersteunen van verbetertrajecten op security en ontwikkelen van toezichtmechanisme
  • Het bijdragen aan het opstellen van use cases voor monitoring vanuit business perspectief
  • Het bijdragen aan het opzetten van een insider risk programma

Bij de uitvoering van de werkzaamheden wordt zo veel als mogelijk gezorgd voor kennisoverdracht naar de zittende ISO’s. Alle werkzaamheden worden gedocumenteerd voor overdracht aan de organisatie en ten behoeve van aantoonbaarheid bij interne en externe audits.

Achtergrond team

Kennis, methoden en tools

• Risicomanagement (flexibel kunnen toepassen van verschillende werkwijzen)
• BIO, ISO 27001, NIS2/Cbw (kennis van wet- en regelgeving, kunnen uitleggen en interpreteren)
• IT-security (inhoudelijk begrip, niet zelf hoeven te kunnen implementeren van techniek)
• IT-security voor de kandidaat als liaison IT, vakinhoudelijke kennis en eerdere ervaring met implementatie van securitytechnieken en methoden
• Audittechnieken (als gesprekspartner)
• Kennen van verschillende aanbestedingsmethoden
• Kennis van geopolitieke ontwikkelingen en autonomie vraagstukken