Ethical Hacker (code reviewer)

Functieomschrijving:

Het cluster iRealisatie is dé software ontwikkelafdeling van het ministerie van VWS. iRealisatie is in tijden van crisis opgericht om snel en kwalitatief goed digitale ondersteuningsmiddelen te ontwikkelen die bijdragen aan de bestrijding en beheersing van de COVID-19 pandemie. Inmiddels is iRealisatie onderdeel van de directie informatiebeleid en ontwikkelt in opdracht van beleidsafdelingen en uitvoeringsorganisaties van VWS, maatwerk software en tools die bijdragen aan het versnellen van de digitalisering in de zorg. Denk daarbij aan:

- Het verkennen en aantonen van nieuwe oplossingen door het uitvoeren van pilots of POCS (proof of concepts);

- Het ontwikkelen en realiseren van nieuwe software en digitale tools op basis van privacy en security by design;

- Het moderniseren van bestaande, verouderde, informatiesystemen.

- Het inzetten van technisch advies bij digitaliseringsvraagstukken.

iRealisatie heeft alle capaciteiten in huis om software te ontwerpen, ontwikkelen én beheren – met een privacy- en security-first aanpak. We bouwen software, webapplicaties en mobiele apps.

Security, Privacy & Compliance

Binnen iRealisatie is het Team Security, Privacy & Compliance verantwoordelijk voor het waarborgen van de informatiebeveiliging, het naleven van privacywetgeving en het voldoen aan interne en externe compliance-eisen. iRealisatie heeft privacy en security by design hoog in het vaandel staan. Met haar kennis en competenties ondersteunt het team de iRealisatie-projecten en de interne organisatie om daar op zo’n goed mogelijke manier invulling aan te geven.

Voor het programma zoeken wij een ervaren Ethical Hacker. In deze functie zal via black-, grey- en white-box testing door het programma ontwikkelde software, infrastructuur en mobiele apps onderzocht moeten worden op technische beveiligingsrisico's. Deze technische risico's weet je al tijdens het ontwikkelproces te constateren door mee te draaien in het ontwikkelteam. Bevindingen worden zonder aannames in een foutloze rapportage uiteengezet, waarin de risico's goed beschreven en gewogen zijn. Daarnaast zal actief meegedraaid worden in ontwikkelteams, zodat risico's vroegtijdig in het proces al opgelost kunnen worden. Daarnaast ben je in staat om zelfstandig beveiligingsrisico’s en -dreigingen binnen complexe omgevingen te signaleren, Security Assessment Processen op te zetten en hierover te rapporteren. Tevens ben je in staat om de rapportage processen ten behoeve van het Security Assessment Proces in te richten. Je bent gewend om gevraagd en ongevraagd over de haalbaarheid van voornemens te adviseren. Naast het primair uitvoeren van beveiligingstesten, zal samen met andere securityspecialisten meegewerkt worden aan technische architectuur, ontwerpen, beleid en processen rondom de ICT die in het programma ontwikkeld en beheerd wordt.

• Uitvoeren van black-, grey- en white-box testing op software, infrastructuur en mobiele apps.
• Constateren van technische risico's tijdens het ontwikkelproces door mee te draaien in het ontwikkelteam.
• Opstellen van foutloze rapportages waarin risico's zonder aannames beschreven en gewogen zijn.
• Actief meedraaien in ontwikkelteams om risico's vroegtijdig op te lossen.
• Zelfstandig signaleren van beveiligingsrisico’s en -dreigingen binnen complexe omgevingen.
• Opzetten van Security Assessment Processen en hierover rapporteren.
• Inrichten van rapportageprocessen ten behoeve van het Security Assessment Proces.
• Gevraagd en ongevraagd adviseren over de haalbaarheid van voornemens.
• Meewerken aan technische architectuur, ontwerpen, beleid en processen rondom ICT samen met andere securityspecialisten.

Over de klant:

Het cluster iRealisatie is dé software ontwikkelafdeling van het ministerie van VWS. iRealisatie is in tijden van crisis opgericht om snel en kwalitatief goed digitale ondersteuningsmiddelen te ontwikkelen die bijdragen aan de bestrijding en beheersing van de COVID-19 pandemie. Inmiddels is iRealisatie onderdeel van de directie informatiebeleid en ontwikkelt in opdracht van beleidsafdelingen en uitvoeringsorganisaties van VWS, maatwerk software en tools die bijdragen aan het versnellen van de digitalisering in de zorg. Security, Privacy & Compliance Binnen iRealisatie is het Team Security, Privacy & Compliance verantwoordelijk voor het waarborgen van de informatiebeveiliging, het naleven van privacywetgeving en het voldoen aan interne en externe compliance-eisen.

Eisen:

• Kandidaat beschikt over WO - werk en denkniveau.
• Kandidaat is Offensive Security Certified Professional gecertificeerd en/of beschikt over gelijkwaardige certificering/opleiding.
• Kandidaat beschikt over minimaal 5 jaar aantoonbare ervaring in het uitvoeren van beveiligingstesten op websites en/of infrastructuur.

Wensen:

• Mate waarin kandidaat ervaring heeft met programmeren in minimaal één programmeertaal (bij voorkeur meerdere talen) en beschikt over ervaring met het uitvoeren van codereviews.
• Mate waarin de kandidaat beschikt over aantoonbare ervaring bij een projectorganisatie en bekend is met beveiligingsbeleid, -processen en cultuur, Security Assessment Processen en de rapportage hiervan. (toetsbaar in CV, motivatie en/of mogelijk gesprek).
• Mate waarin kandidaat aantoonbare ervaring heeft met het uitvoeren van beveiligingstesten binnen agile ontwikkelteams (toetsbaar in CV, motivatie en/of mogelijk gesprek).
• Mate waarin de kandidaat bekend is met Penetration testing Standaarden waaronder OWASP, WSTG en Penetration Testing Execution Standard.

Competenties:

• Hacker mindset en out-of-the-box denken op expert niveau
• Communicatieve vaardigheden (technische bevindingen vertalen naar managementtaal)
• Flexibel en doelgericht
• Security by design mindset
• Prioriteren en adviseren onder hoge tijdsdruk
• Servicegericht en oplossingsgericht
• Overtuigingskracht en standvastig
• Nieuwsgierig en op de hoogte van cybersecurity nieuws