Business Information Security Officer (BISO)

Je draagt actief bij aan het versterken van de weerbaarheid van NS, het verminderen van risico's, en het beheren van de impact van (cyber)aanvallen door advies te geven over de implementatie van maatregelen en door cyber security awareness te stimuleren.

Daarom wil je als Business Information Security Officer (BISO) bij NS werken

• Je zorgt voor overzicht en inzicht in cybersecurity, waardoor je teams ondersteunt bij risicobeheersing en effectieve communicatie bevordert.
• Je werkt nauw samen met BISOs, Cyber Security Business Partners en het Privacy Office om optimale beveiliging te waarborgen.
• Je rapporteert de voortgang aan IT leads en coördineert de implementatie van verbeteracties en maatregelen.

Dit ga je doen als Business Information Security Officer (BISO)

De BISO draagt actief bij aan de doelstelling om NS weerbaarder te maken, risico’s te verlagen en de impact op (cyber) aanvallen op een afgesproken niveau te houden. Vanuit deze rol ondersteun je het verantwoordelijkheidsgebied door te adviseren over implementatie van maatregelen, processen en beleid, levert een bijdrage aan cybersecurity awareness, levert ondersteuning bij cybersecurity onderwerpen binnen projecten van zijn of haar verantwoordelijkheidsgebied en levert gevraagd en ongevraagd adviezen rondom cyber security.

De BISO brengt samen met de Cluster Leads, Product Teams en IT Leads focus aan op het gebied van cybersecurity binnen CPO. Daarnaast werk je nauw samen met andere BISOs, de Cyber Security Business Partner en de medewerkers van onze Privacy Office en NS Cyber Security. Ten slotte rapporteer je de voortgang op Team-, Cluster-, of RG/OG-niveau aan de IT lead ten aanzien van risicobeheersing, implementatie van maatregelen en verbeteracties.

• Zorgen voor een overzicht en inzicht van eerste lijns cybersecurity onderwerpen binnen CPO.
• Ondersteunen van teams, de Cluster Leads, de Product Teams en IT leads van CPO bij het beheersen van cybersecurityrisico’s door als eerste aanspreekpunt te fungeren en best practices aan te reiken.
• Zorgen voor of actief meedenken over communicatie binnen CPO, geeft impediments aan, ondersteunt de feedbackloop rondom toepasbaarheid van beleid en maatregelen (inclusief middelen voor uitvoering), geeft behoefte aan vanuit het resultaatgebied met daarbij behorende prioriteit.
• Adviseren, coördineren, ondersteunen en beoordelen vanuit de eerste lijn bij de uitvoering en opvolging van:
  • Risicobeheersing op het gebied van cybersecurity.
  • Risico-analyses en risco-mitigaties binnen het resultaatgebied.
  • Prioritering en implementatie van cybersecurity maatregelen en verbeteracties als gevolg van risicomitigaties, penetratietesten, compliance-audits, maturity assessments en projecten etc.
  • Opstellen van product/dienst specifieke securityvereisten bij inkooptrajecten.
  • Security incidenten in lijn met het NS brede proces voor security incidenten.
  • Het omzetten van technische rapporten (bijv. Pentest, threat model) naar beheersmaatregelen en het inschatten van de impact daarvan.
• Samen stellen van een (doorvertaling van de) security roadmap voor CPO samen met Cyber Security Business Partner (CSBP), IT Lead en Cluster Lead.

Hier ga je werken

De Centrale Platform Organisatie (CPO) is onderdeel van NS IT en gericht op samenwerking en enablement van onze IT en business collega’s. We leveren IT dienstverlening die het fundament vormt voor een wendbare IT-organisatie en de reiziger in positieve zin raakt. Dit doen wij met focus op innovatieve producten en diensten, zoals werkplek, platformisering, Developer Journey en Operations.

Bij NS vinden we diversiteit en inclusie belangrijk, het maakt samenwerken leuker en het resultaat wordt er vaak beter van. Wat jouw achtergrond of levensovertuiging is, maakt dan ook niet uit: we zijn vooral benieuwd naar jouw visie op de functie van BISO. Bij NS werken we met de volgende drie gedragskenmerken: aan- en uitspreken, durf en veranderbereidheid. Deze vormen de basis van onze samenwerking.

Dit zijn de functie-eisen

• Ruime ervaring en kennis op het gebied van cyber security in de IT en OT domein.
• Kennis van risicomanagement en beleid voor cyber security.
• Bekend met standaarden zoals ISO2700X, SOC2.
• Ervaring met methodisch werken zoals Agile, SAFe en DevOps.
• Een afgeronde HBO-opleiding in het ICT-domein of een vergelijkbaar niveau van kennis en vaardigheden.
• Minimaal 3 jaar praktijkervaring met informatiebeveiliging.
• Aanvullende opleidingen/cursussen in informatiebeveiliging, zoals SSCP of ISO27001 Foundation.
• Bij voorkeur certificeringen zoals CISM, CISA, CISSP, CCSP of bereidheid om deze te behalen.

Kennis van de Algemene Verordening Gegevensbescherming en de Wet Beveiliging Netwerk- en Informatiesystemen/NIS2 is zeer gewenst. Daarnaast is kennis en ervaring binnen een platformorganisatie eveneens gewenst. We zoeken iemand met uitstekende sociale vaardigheden, die snel lerend is en bereid om uitdagingen aan te gaan.