Security Liaison

Functieomschrijving

Als Security Liaison draai je volledig mee in ontwikkelteams en zorg je dat security vanaf het begin onderdeel is van het ontwikkelproces. Je maakt security concreet en toepasbaar voor ontwikkelaars, architecten en product owners. Je neemt deel aan overleggen, geeft gevraagd en ongevraagd advies over security-aspecten in architectuur, epics en user stories en helpt teams werken volgens de principes van Security by Design. Je vertaalt iSDP-richtlijnen (gebaseerd op OWASP ASVS) naar de praktijk, voert risicoanalyses uit en coördineert pentests en code-assessments. Je zorgt voor opvolging van technische bevindingen en ondersteunt het team met lokale scans en tooling (bijv. Trivy, Semgrep, OWASP ZAP).

Je bent betrokken bij incidentmanagement en escalaties en werkt samen met het SOC aan monitoring, logging en SIEM-integratie. Je signaleert risico’s tijdig, stemt mitigerende maatregelen af met de Security Lead en relevante gremia en draagt bij aan incidentpreventie en -beheersing. Daarnaast speel je een rol in kennisdeling, stakeholderafstemming, het creëren van awareness binnen het team en het leveren van input voor logging- en monitoring use cases en open-source keuzes bij oplevering.

Vereisten

• Opleiding: WO werk- en denkniveau aangevuld met Certified Information Systems Security Professional (CISSP) opleiding of een gelijkwaardige certificering.
• Ervaring: minimaal 7 jaar ervaring met integratie van security tooling en het gebruik van losse security tooling (bijv. Trivy, Semgrep, OWASP ZAP, Dependabot) met focus op SCA & SAST.
• Alternatieve ervaring vermeld: in sommige onderdelen van het profiel wordt minimaal 5 jaar ervaring genoemd.
• Vakinhoudelijke kennis: kennis van secure software development en OWASP-richtlijnen (ASVS, Top 10, SAMM).
• Projectoverdracht: ervaring met het afronden en/of overdragen van een project vanuit securityperspectief.

Wensen

• Procesmatig documenteren: ervaring met het procesmatig zorgdragen voor en vastleggen van documentatie van projecten.
• Documentatievaardigheden: sterk in documenteren en detailgericht werken.
• Communicatie & samenwerking: sterke communicatieve vaardigheden en samenwerkingsgericht (deel van het team, geen externe controleur).
• Proactieve houding: signaleert en adviseert gevraagd en ongevraagd over risico’s.
• Didactisch vermogen: kan security awareness overbrengen en teams begeleiden in security-gerelateerde projecten.
• CI/CD: ervaring met CI/CD-pijplijnen.
• Dreigingsmodellen & risicoanalyse: basiskennis van dreigingsmodellen en risicoanalyse (bijv. OWASP Risk Rating, BIO).
• Incidentmanagement & monitoring: bekend met incidentmanagement en monitoring (SIEM, SOC-processen).
• Versiebeheer: kennis van GitHub, Git en standaard werkwijzen.
• Cloud & containers: kennis van cloud- en/of containeromgevingen (Docker, Kubernetes, Podman) en hun security-aspecten.
• Architectuur & ontwikkelmethodieken: begrip van softwarearchitectuur en ontwikkelmethodieken (Agile/Scrum, DevOps).
• Security assessments: ervaring met coördineren van security assessments (pentests, code reviews).
• Open-source & compliance: kennis van open-source security processen en compliance-aspecten bij oplevering.
• Security by Design: kennis van security-by-design beleid en toepassen daarvan in projecten.