Information Security Officer

Information Security Officer
Weet jij alles van cybersecurityrisico’s en begrijp je hoe belangrijk het voor een bank is om zich hiertegen te beschermen? Volg jij de trends en ontwikkelingen op het gebied van informatiebeveiliging op de voet? Heb jij aantoonbare ervaring als Information Security Officer (ISO) en vind je het leuk om naast strategisch en tactisch werk ook met je voeten in de modder te staan? Dan ben jij de ISO die bij ons past!

Over ons
Brand New Day is een online pensioenbank. We beleggen het geld van onze klanten voor de lange termijn. Meestal voor een inkomen voor later (aanvullend pensioen), maar het kan ook gewoon vrij beleggen zijn voor een willekeurig doel, zoals een wereldreis of de studie van een kind.

Is het saai wat wij doen? Absoluut niet. De beleggingsmarkt is heel groot en zeer concurrerend. Beleggen is een speerpunt in de strategie van bijna alle banken en verzekeraars. Als fintech staan wij er middenin. Op onze eigen, eigenzinnige manier. Vrij en onverveerd.

We zijn geen bankiers, maar ondernemers. Daarin zijn we echt anders. Dat merk je ook als je bij ons op kantoor rondloopt. We zien vooral kansen en weinig bedreigingen. En voor politiek geneuzel hebben we al helemaal geen tijd. Zo groeien we exponentieel. We zijn bijna 15 oud en beheren inmiddels bijna 7 miljard euro voor dik 300.000 klanten.

Wat ga je doen als Information Security Officer?
Als ISO van Brand New Day ben jij ervoor verantwoordelijk dat de data van klanten veilig is en dat de dienstverlening is beschermd tegen ernstige calamiteiten en verstoringen. Daarmee lever je een essentiële bijdrage aan de betrouwbaarheid van Brand New Day als veilige online financiële dienstverlener.

Je beheert het risk- en controlframework voor informatiebeveiliging en onderhoudt het bijbehorende beleid. Je monitort de naleving daarvan in samenwerking met de securityspecialisten in de eerste lijn en rapporteert daarover aan het hoofd riskmanagement, de directie en de RvC. Je analyseert de impact van trends, ontwikkelingen en bekende kwetsbaarheden, en houdt zicht op incidenten en issues. Op basis daarvan geef je adviezen over het verbeteren van beleid en beheersmaatregelen. Ook op het gebied van businesscontinuity beheer en update jij het plan en het beleid, en beoordeel je disasterrecoverytests. Verder ben je primair verantwoordelijk voor het uitvoeren van het security-awarenessprogramma en het opstellen en monitoren van ons ethical-hackingprogramma.

Brand New Day maakt op gebied van IT-infrastructuur, -beheer en -ondersteuning gebruik van verschillende externe (cloud)serviceproviders. Jij voert niet alleen risicoanalyses uit op deze dienstverlening, maar ziet ook mede toe op een beheerste en betrouwbare dienstverlening van deze partijen en bent nauw betrokken bij de selectie van nieuwe serviceproviders.

Waar kom je terecht?
Onze ISO is werkzaam binnen de afdeling riskmanagement. Die vormt de tweede lijn van Brand New Day en bestaat verder uit een aantal operationeel- en financieel riskmanagers, in totaal zes personen. Je rapporteert aan het hoofd riskmanagement. Als tweede lijn opereer je onafhankelijk van de eerste lijn, geef je gevraagd en ongevraagd advies en ben je aanspreekpunt voor alles rondom informatiebeveiliging. Daarnaast neem je deel aan het Information Security Incident Response Team.

Jouw rol

• Je bent verantwoordelijk voor alle tweedelijnswerkzaamheden op het gebied van cybersecurity, informatiebeveiliging en businesscontinuity.
• Je volgt de trends en ontwikkelingen op het gebied van cybersecurity, analyseert de impact daarvan en rapporteert en adviseert erover aan stakeholders binnen Brand New Day.
• Je voert cybersecurity- en IT-risicoanalyses uit, waaronder cloudrisicoanalyses, scenarioanalyses en businessimpactanalyses.
• Je bent betrokken bij en adviseert over het ethical-hackingprogramma van Brand New Day en (het laten doen van) vulnerabilityscanning, bug bounty testing etc.
• Je brengt de risico’s in kaart die zijn verbonden aan het toepassen van A.I. binnen Brand New Day.
• Je begeleidt de securityspecialisten in de eerste lijn en beoordeelt de door hen getoetste IT-controls.

Dit verwachten we van jou

Je bent graag de spil in het web voor alles op het gebied van informatiebeveiliging en businesscontinuity. Je wilt jezelf en ons bedrijf daarin steeds verder verbeteren. Je neemt daarin het voortouw en staat zelf ook met de voeten in de klei. In je werk heb je een no-nonsensehouding, ben je proactief, gezond kritisch en bewust van je eigen impact. Daarnaast heb je overtuigingskracht, een goed ontwikkeld analytisch vermogen en oordeelsvorming, en uitstekende communicatieve vaardigheden in zowel het Nederlands als het Engels.

Je beschikt over:

• WO- of HBO-werk- en denkniveau en minimaal 3-5 jaar relevante werkervaring binnen de financiële sector op het gebied van informationsecurity.
• Aantoonbare kennis van de veelgebruikte raamwerken, zoals ISO 27001, NIST, COBIT, DNB’s Good Practice Informatiebeveiliging en DORA.
• Kennis van in controlstatements zoals ISAE 3000/3402 en SOC 1/2.
• Kennis van en ervaring met security-awareness- en ethical-hackingprogramma’s.
• Een achtergrond in informatiebeveiliging en een CISSP-certificering (of vergelijkbaar) zijn een pré.
• Vergaande kennis van de technische inrichting en werking van netwerken, firewalls en virtualisatie is ook een pré.\

En dit krijg je van ons

• Een aantrekkelijke, zelfstandige functie met een brede verantwoordelijkheid, waarbij je direct impact kunt maken.
• Een snelgroeiende, dynamische en informele organisatie om je heen die vooruit wil en waarin eigen initiatief wordt gestimuleerd.
• Een marktconform salaris, reiskostenvergoeding en pensioenopbouw.
• Goede bereikbaarheid (vlakbij station Amsterdam Bijlmer ArenA) en mogelijkheden tot hybride werken (vanuit kantoor en huis).
• En misschien ook niet onbelangrijk: leuke collega’s en gezellige borrels.

Waar wacht je nog op? 

Solliciteer meteen! Upload je cv en motivatie en doorloop deze stappen:

Stap 1: Gesprek met Eric (hoofd riskmanagement) en Selma (security-analist)

Stap 2: Gesprek met Rogier (CRO) en Nicolas (manager IT-projecten en beheer)

Stap 3: Gesprek met Pascal (manager development en security) en Gerjan (CTO)

Stap 4: Contract ondertekenen en aan de slag!