Technical Information Security Officer

Hoe ziet de functie eruit...

De Technical Information Security Officer (TISO) rapporteert rechtstreeks aan de Head of Governance, Risk & Compliance en werkt nauw samen met de SPQ Coördinatoren verspreid over de verschillende business units in het land. SPQ staat hierbij voor Security, Privacy & Quality. Gezamenlijk zijn zij verantwoordelijk voor de ontwikkeling en uitvoering van de GRC-strategie binnen een organisatie van meer dan 800 medewerkers met een jaarlijkse omzet van ruim €180 miljoen.

Waar de CISO/GRC-functie zich richt op beleid, governance en assurance, is de TISO eigenaar van de technische security controls en hun effectiviteit in de praktijk. De focus ligt hierbij op:

• Preventie, detectie en respons
• Technische vertaling van wet- en regelgeving
• Structurele verhoging van cyberweerbaarheid binnen een complex IT-landschap

Deze functie is hands-on en inhoudelijk leidend. De TISO wordt ingezet om direct richting te geven aan technische informatiebeveiliging en fungeert als sparringpartner voor onze interne IT engineers en SPQ Coördinatoren verspreid over de verschillende business units.

Wat ga je doen?

Technische security governance & architectuur

• Ontwerpen en onderhouden van de technische security-architectuur (on-prem, cloud, hybride).
• Vertalen van ISO 27001, NIS2 en DORA naar concrete technische maatregelen.
• Bepalen van minimale security baselines voor alle labels en IT-platformen.

Implementatie & werking van security controls

• Verantwoordelijk voor effectiviteit van controls zoals: IAM / PAM, Logging & monitoring (SIEM), Vulnerability management, Endpoint & network security;
• Toetsen of controls daadwerkelijk werken, niet alleen bestaan op papier.

Incident response & cyber resilience

• Inhoudelijk aanspreekpunt bij security-incidenten en datalekken;
• Ondersteunen bij crisismanagement, forensics en herstel;
• Opzetten en testen van incident response- en recovery-scenario’s in lijn met DORA-vereisten.

Third Party & supply chain security (technisch)

• Uitvoeren en beoordelen van technische leveranciersrisicoanalyses en toetsen van cloud- en IT-leveranciers op technische securitymaatregelen;
• Technische security-eisen bepalen voor leveranciers en management adviseren over risicoacceptatie, inclusief escalatie bij onvoldoende mitigerende maatregelen.

M&A – technische security due diligence

• Uitvoeren van IT- en security assessments bij overnames;
• Adviseren over integratierisico’s en noodzakelijke technische maatregelen;
• Borgen dat nieuwe labels aansluiten op de security-architectuur van de groep.

Jouw Profiel

• HBO/WO werk- en denkniveau;
• 5-8 jaar relevante werkervaring in IT & security (bij voorkeur in de zakelijke dienstverlening;
• Relevante certificeringen zijn een pré: CISM, CISSP, CCSP, ISO Lead Implementer/Auditor;
• Bekwaam in het uitvoeren van risicobeoordelingen om kwetsbaarheden en potentiële bedreigingen binnen de organisatie te identificeren, en effectieve plannen opstellen om deze risico’s te mitigeren;
• Ervaring met het worden geaudit;
• Kennis van relevante regelgeving zoals ISO 27001/9001, NIS2, DORA, GDPR, ISAE3402 en SOC2;
• Kennis van ITIL/IT service management processen en het borgen van controls in de operatie.

Bedrijfsprofiel

Futureproof Group (FPG) is een overkoepelende organisatie die sinds 2013 investeert in regionaal sterke ICT-dienstverleners met behulp van een actieve 'buy-and-build-strategie'. Met 800 werknemers en een omzet van ruim € 180 miljoen heeft het bedrijf een sterke groei doorgemaakt. De bedrijven die zich bij FPG aansluiten blijven lokaal opereren onder hun eigen naam, maar profiteren van kennisdeling, innovatie, synergiën en schaalvoordelen. FPG bestaat uit 23 ondernemingen die autonoom, veerkrachtig en nauw samenwerken. Samen helpen we organisaties vooruit met toekomstbestendige oplossingen.

De organisatie bestaat uit meerdere gespecialiseerde labels die actief zijn in verschillende onderdelen van de IT-keten, waaronder cloud- en infrastructuurdiensten, werkplekbeheer en diverse business solutions. Deze labels opereren commercieel en operationeel grotendeels decentraal binnen drie clusters, met eigen klantrelaties en ondernemerschap hoog in het vaandel. Tegelijkertijd worden een aantal functies centraal georganiseerd vanuit het hoofdkantoor in Utrecht, waaronder Governance, Risk & Compliance (GRC), Finance, HR en Legal. Deze hybride structuur is bewust gekozen om schaalvoordelen, uniformiteit en risicobeheersing te combineren met snelheid en marktgerichtheid.

Wat bieden we jou?

• Een passend salaris dat recht doet aan jouw kennis en kunde;
• Full time dienstverband o.b.v. 40-uur;
• De keuze uit verschillende opties zoals een leaseauto, reizen met het OV of een mobiliteitsbudget. De hoogte is afhankelijk van je ervaring;
• 25 dagen met de mogelijkheid om dagen bij te kopen;
• Een laptop en een mobiele telefoon (Android of iPhone). 
• Een goed geregelde pensioenregeling;
• Je werkt meestal op ons kantoor in Utrecht. Uiteraard is thuiswerken mogelijk en zul je af en toe bij onze business units overleggen hebben. Of je nu thuis, op kantoor of ergens anders bent, je stelt je eigen agenda samen en de werktijden zijn flexibel.
• Het volgen van externe trainingen en opleiding behoort tot de mogelijkheden.

Acquisitie naar aanleiding van deze vacature wordt niet op prijs gesteld. We werken op dit moment niet samen met wervingsbureaus. Bedankt voor uw begrip. Elk CV dat we van een bureau ontvangen, zullen wij beschouwen als ons eigendom.