Opdrachten
Stichting ICTU
Security engineer
Security engineer
Info
Functie
Security engineerLocatie
Den HaagUren per week
16 uren per weekLooptijd
10.12.2023 - 29.06.2024Opdrachtnummer
148315Sluitingsdatum
29.11.2023
09:00
Rolomschrijving en taakafspraken
Gewenste dagen in de week inzet (indien van toepassing) 16 uur per week (bij een start in november/december bestaat de mogelijkheid om in november/december 32-40 uur per week te worden ingewerkt)
- Het platformteam ontwikkelt, onderhoudt, beheert en ondersteunt een softwareontwikkelplatform dat door de ICTU-projecten die maatwerk software ontwikkelen gebruikt kan worden om software te ontwikkelen, deployen, demo-en en testen. Projecten krijgen de beschikking over engineeringtools zoals Jira, Azure DevOps Server, Jenkins, GitLab, SonarQube, Dependency Track. In hun pipeline gebruiken projecten daarnaast nog tools zoals Junit, JMeter, Robot Framework, OWASP Dependency Check, Trivy, OWASP ZAP en OpenVAS. Het ontwikkelplatform wordt met behulp van Ansible uitgerold.
- Het infrateam ontwikkelt, onderhoudt, beheert en ondersteunt de infrastructuur waarop het ontwikkelplatform draait. Hiervoor beschikt ISD over eigen compute-, storage- en netwerkapparatuur in ODC Rijswijk. Met behulp van VMWare en VLANS wordt de infrastructuur gevirtualiseerd beschikbaar gesteld aan het platform.
De security engineer zal in alle drie de teams worden ingezet: grofweg 20% van de tijd per week in het applicatiebeheerteam, 40% in het platformteam en 40% in het infrateam.
Taken bestaan uit:
- Applicatiebeheerteam:
o ontwikkeling en onderhoud aan securitytools zoals OWASP ZAP en SonarQube
o vergelijkend warenonderzoek van potentieel door ICTU in te zetten security tools
o ondersteuning van ICTU-projecten bij het analyseren en managen van securitybevindingen uit tools
Afdeling/projectomschrijving
ICTU werkt in opdracht van overheden aan vraagstukken met een overheidsbreed karakter die vaak een ICT component hebben. Het doel van ICTU is om overheden te ondersteunen hun doelstellingen optimaal te realiseren, door samenwerking tussen overheden te stimuleren en te faciliteren. Daarbij verbindt ICTU beleidsontwikkeling met uitvoering. ICTU realiseert concrete oplossingen die werken voor overheden en die bijdragen aan betere dienstverlening aan burgers en bedrijven.
De afdeling ICTU Software Expertise (ISE) levert diensten aan ICTU-projecten waarin software wordt ontwikkeld. Deze projecten kenmerken zich door een hoge mate van complexiteit, veel belanghebbenden en wettelijke verplichtingen. De softwareontwikkeling wordt ondersteund vanuit de afdeling ICTU Software Diensten (ISD) door een ecosysteem van tools, geautomatiseerde processen, samenwerkingsverbanden en een geautomatiseerd kwaliteitssysteem.
De afdeling ISE op zoek naar een security engineer die zal worden ingezet in de afdeling ISD.
De afdeling ISD bestaat uit drie teams: een applicatiebeheerteam, een platformteam en een infrateam:
- Het applicatiebeheerteam onderhoudt en ondersteunt maatwerktools en aanpassingen aan standaard tools benodigd voor de ondersteuning van de ICTU-projecten die software ontwikkelen. Voorbeelden van dergelijke tools zijn ICTU-specifieke aanpassingen aan SonaQube en het maatwerk kwaliteitsmonitoringsysteem Quality-time.- Het platformteam ontwikkelt, onderhoudt, beheert en ondersteunt een softwareontwikkelplatform dat door de ICTU-projecten die maatwerk software ontwikkelen gebruikt kan worden om software te ontwikkelen, deployen, demo-en en testen. Projecten krijgen de beschikking over engineeringtools zoals Jira, Azure DevOps Server, Jenkins, GitLab, SonarQube, Dependency Track. In hun pipeline gebruiken projecten daarnaast nog tools zoals Junit, JMeter, Robot Framework, OWASP Dependency Check, Trivy, OWASP ZAP en OpenVAS. Het ontwikkelplatform wordt met behulp van Ansible uitgerold.
- Het infrateam ontwikkelt, onderhoudt, beheert en ondersteunt de infrastructuur waarop het ontwikkelplatform draait. Hiervoor beschikt ISD over eigen compute-, storage- en netwerkapparatuur in ODC Rijswijk. Met behulp van VMWare en VLANS wordt de infrastructuur gevirtualiseerd beschikbaar gesteld aan het platform.
De security engineer zal in alle drie de teams worden ingezet: grofweg 20% van de tijd per week in het applicatiebeheerteam, 40% in het platformteam en 40% in het infrateam.
Taken bestaan uit:
- Applicatiebeheerteam:
o ontwikkeling en onderhoud aan securitytools zoals OWASP ZAP en SonarQube
o vergelijkend warenonderzoek van potentieel door ICTU in te zetten security tools
o ondersteuning van ICTU-projecten bij het analyseren en managen van securitybevindingen uit tools
- Platformteam:
o Opstellen, analyseren en onderhouden firewall rules
o Integreren van securitytools in het ontwikkelplatform
o Adviseren product owner van het platform over (security) upgrades van engineeringtools
- Infrateam:
o Opstellen, analyseren en onderhouden firewall rules
o Integreren van securitytools in de infra
o Analyse en monitoring security events
Gewenste profiel
De security engineer heeft kennis van en ervaring met veiligheid van infrastructuur, broncode, penetratietesten, securitytesttools en advies aan agile ontwikkelteams. De security engineer heeft naast gedegen technische en inhoudelijke kennis ook sterke communicatieve vaardigheden. Verder heeft de security engineer ervaring met het werken in een Agile-omgeving en een zelfstartende mentaliteit.
Eisen
Doorleenconstructie(s) zijn niet toegestaan
· Minimaal 2½ jaar ervaring met het uitvoeren van black box, grey box en white box beveiligingstesten
· Minimaal 1 jaar ervaring met het inrichten van testtooling
· Minimaal 2 jaar ervaring met beveiligingstesten van webapplicaties
· Minimaal 1 jaar ervaring met het adviseren en begeleiden van (agile) ontwikkelteams op het gebied van beveiliging
· Ervaring met Dependency Track
· Relevante WO of HBO-opleiding
· Certified Ethical Hacker en/of Certified Secure Software Lifecycle Professional en/of vergelijkbaar
· De opdracht is budgettair gelimiteerd. Een niet passend tarief / te hoge tariefstelling kan een reden zijn om niet tot gunning over te gaan.
Wensen
Ervaring met monitoring tools zoals: ELK, Wazuh,
Kennis van en ervaring met tools van OWASP:
• ZAP
• Dependency Check
Certificering:
• SSCP
• OSCP
• GSEC
• CASP
Kennis van en ervaring met Secure Software Development en de Baseline Informatiebeveiliging Rijksdienst (BIR)
Ervaring met softwareontwikkeling
Ervaring met opstellen/analyseren/adviseren firewall regels
Aanvullende informatie
Wanneer u bij ons als leverancier een professional aanbiedt en deze wordt geplaatst, hebben we informatie van u als contractpartij nodig, onder andere met betrekking tot de Wet keten- en inlenersaansprakelijkheid.
De ‘WKA’ heeft als doel om misbruik te voorkomen bij de afdracht van loonheffingen bij alle schakels in de keten; van leverancier tot opdrachtgever.
Wij dekken deze risico’s voor onze opdrachtgevers af middels een geblokkeerde rekening, de G-rekening.
Dit is een rekening waarop een gedeelte van het factuurbedrag wordt gestort en waarvan u de loonheffingen en BTW kunt betalen aan de Belastingdienst.
Het af te storten % hangt ervan af of u een SNA-certificering (NEN-4400-1 of NEN-4400-2) heeft of niet en of uw bedrijf in Nederland of daarbuiten is gevestigd. De G-rekening kunt u aanvragen bij de Belastingdienst.
Indien u geen G-rekening kunt krijgen (en u kunt hier bewijs van de Belastingdienst van overleggen) dan heeft u ook de mogelijkheid elk kwartaal een accountantsverklaring (assurance report inzake inlening personeel) aan te leveren.
Hierin zal een gecertificeerd accountant (AA of RA) een verklaring afgeven over de juistheid, volledigheid en tijdigheid van de afdrachten. Let wel, de kosten voor deze verklaring komen voor uw eigen rekening.
Bedrijfsgegevens
Bedrijfs gegevens
Stichting ICTU
Rolomschrijving en taakafspraken
Gewenste dagen in de week inzet (indien van toepassing) 16 uur per week (bij een start in november/december bestaat de mogelijkheid om in november/december 32-40 uur per week te worden ingewerkt)
- Het platformteam ontwikkelt, onderhoudt, beheert en ondersteunt een softwareontwikkelplatform dat door de ICTU-projecten die maatwerk software ontwikkelen gebruikt kan worden om software te ontwikkelen, deployen, demo-en en testen. Projecten krijgen de beschikking over engineeringtools zoals Jira, Azure DevOps Server, Jenkins, GitLab, SonarQube, Dependency Track. In hun pipeline gebruiken projecten daarnaast nog tools zoals Junit, JMeter, Robot Framework, OWASP Dependency Check, Trivy, OWASP ZAP en OpenVAS. Het ontwikkelplatform wordt met behulp van Ansible uitgerold.
- Het infrateam ontwikkelt, onderhoudt, beheert en ondersteunt de infrastructuur waarop het ontwikkelplatform draait. Hiervoor beschikt ISD over eigen compute-, storage- en netwerkapparatuur in ODC Rijswijk. Met behulp van VMWare en VLANS wordt de infrastructuur gevirtualiseerd beschikbaar gesteld aan het platform.
De security engineer zal in alle drie de teams worden ingezet: grofweg 20% van de tijd per week in het applicatiebeheerteam, 40% in het platformteam en 40% in het infrateam.
Taken bestaan uit:
- Applicatiebeheerteam:
o ontwikkeling en onderhoud aan securitytools zoals OWASP ZAP en SonarQube
o vergelijkend warenonderzoek van potentieel door ICTU in te zetten security tools
o ondersteuning van ICTU-projecten bij het analyseren en managen van securitybevindingen uit tools
Afdeling/projectomschrijving
ICTU werkt in opdracht van overheden aan vraagstukken met een overheidsbreed karakter die vaak een ICT component hebben. Het doel van ICTU is om overheden te ondersteunen hun doelstellingen optimaal te realiseren, door samenwerking tussen overheden te stimuleren en te faciliteren. Daarbij verbindt ICTU beleidsontwikkeling met uitvoering. ICTU realiseert concrete oplossingen die werken voor overheden en die bijdragen aan betere dienstverlening aan burgers en bedrijven.
De afdeling ICTU Software Expertise (ISE) levert diensten aan ICTU-projecten waarin software wordt ontwikkeld. Deze projecten kenmerken zich door een hoge mate van complexiteit, veel belanghebbenden en wettelijke verplichtingen. De softwareontwikkeling wordt ondersteund vanuit de afdeling ICTU Software Diensten (ISD) door een ecosysteem van tools, geautomatiseerde processen, samenwerkingsverbanden en een geautomatiseerd kwaliteitssysteem.
De afdeling ISE op zoek naar een security engineer die zal worden ingezet in de afdeling ISD.
De afdeling ISD bestaat uit drie teams: een applicatiebeheerteam, een platformteam en een infrateam:
- Het applicatiebeheerteam onderhoudt en ondersteunt maatwerktools en aanpassingen aan standaard tools benodigd voor de ondersteuning van de ICTU-projecten die software ontwikkelen. Voorbeelden van dergelijke tools zijn ICTU-specifieke aanpassingen aan SonaQube en het maatwerk kwaliteitsmonitoringsysteem Quality-time.- Het platformteam ontwikkelt, onderhoudt, beheert en ondersteunt een softwareontwikkelplatform dat door de ICTU-projecten die maatwerk software ontwikkelen gebruikt kan worden om software te ontwikkelen, deployen, demo-en en testen. Projecten krijgen de beschikking over engineeringtools zoals Jira, Azure DevOps Server, Jenkins, GitLab, SonarQube, Dependency Track. In hun pipeline gebruiken projecten daarnaast nog tools zoals Junit, JMeter, Robot Framework, OWASP Dependency Check, Trivy, OWASP ZAP en OpenVAS. Het ontwikkelplatform wordt met behulp van Ansible uitgerold.
- Het infrateam ontwikkelt, onderhoudt, beheert en ondersteunt de infrastructuur waarop het ontwikkelplatform draait. Hiervoor beschikt ISD over eigen compute-, storage- en netwerkapparatuur in ODC Rijswijk. Met behulp van VMWare en VLANS wordt de infrastructuur gevirtualiseerd beschikbaar gesteld aan het platform.
De security engineer zal in alle drie de teams worden ingezet: grofweg 20% van de tijd per week in het applicatiebeheerteam, 40% in het platformteam en 40% in het infrateam.
Taken bestaan uit:
- Applicatiebeheerteam:
o ontwikkeling en onderhoud aan securitytools zoals OWASP ZAP en SonarQube
o vergelijkend warenonderzoek van potentieel door ICTU in te zetten security tools
o ondersteuning van ICTU-projecten bij het analyseren en managen van securitybevindingen uit tools
- Platformteam:
o Opstellen, analyseren en onderhouden firewall rules
o Integreren van securitytools in het ontwikkelplatform
o Adviseren product owner van het platform over (security) upgrades van engineeringtools
- Infrateam:
o Opstellen, analyseren en onderhouden firewall rules
o Integreren van securitytools in de infra
o Analyse en monitoring security events
Gewenste profiel
De security engineer heeft kennis van en ervaring met veiligheid van infrastructuur, broncode, penetratietesten, securitytesttools en advies aan agile ontwikkelteams. De security engineer heeft naast gedegen technische en inhoudelijke kennis ook sterke communicatieve vaardigheden. Verder heeft de security engineer ervaring met het werken in een Agile-omgeving en een zelfstartende mentaliteit.
Eisen
Doorleenconstructie(s) zijn niet toegestaan
· Minimaal 2½ jaar ervaring met het uitvoeren van black box, grey box en white box beveiligingstesten
· Minimaal 1 jaar ervaring met het inrichten van testtooling
· Minimaal 2 jaar ervaring met beveiligingstesten van webapplicaties
· Minimaal 1 jaar ervaring met het adviseren en begeleiden van (agile) ontwikkelteams op het gebied van beveiliging
· Ervaring met Dependency Track
· Relevante WO of HBO-opleiding
· Certified Ethical Hacker en/of Certified Secure Software Lifecycle Professional en/of vergelijkbaar
· De opdracht is budgettair gelimiteerd. Een niet passend tarief / te hoge tariefstelling kan een reden zijn om niet tot gunning over te gaan.
Wensen
Ervaring met monitoring tools zoals: ELK, Wazuh,
Kennis van en ervaring met tools van OWASP:
• ZAP
• Dependency Check
Certificering:
• SSCP
• OSCP
• GSEC
• CASP
Kennis van en ervaring met Secure Software Development en de Baseline Informatiebeveiliging Rijksdienst (BIR)
Ervaring met softwareontwikkeling
Ervaring met opstellen/analyseren/adviseren firewall regels
Aanvullende informatie
Wanneer u bij ons als leverancier een professional aanbiedt en deze wordt geplaatst, hebben we informatie van u als contractpartij nodig, onder andere met betrekking tot de Wet keten- en inlenersaansprakelijkheid.
De ‘WKA’ heeft als doel om misbruik te voorkomen bij de afdracht van loonheffingen bij alle schakels in de keten; van leverancier tot opdrachtgever.
Wij dekken deze risico’s voor onze opdrachtgevers af middels een geblokkeerde rekening, de G-rekening.
Dit is een rekening waarop een gedeelte van het factuurbedrag wordt gestort en waarvan u de loonheffingen en BTW kunt betalen aan de Belastingdienst.
Het af te storten % hangt ervan af of u een SNA-certificering (NEN-4400-1 of NEN-4400-2) heeft of niet en of uw bedrijf in Nederland of daarbuiten is gevestigd. De G-rekening kunt u aanvragen bij de Belastingdienst.
Indien u geen G-rekening kunt krijgen (en u kunt hier bewijs van de Belastingdienst van overleggen) dan heeft u ook de mogelijkheid elk kwartaal een accountantsverklaring (assurance report inzake inlening personeel) aan te leveren.
Hierin zal een gecertificeerd accountant (AA of RA) een verklaring afgeven over de juistheid, volledigheid en tijdigheid van de afdrachten. Let wel, de kosten voor deze verklaring komen voor uw eigen rekening.
De recruiter
Lisa Sijsenaar
Between
Deel deze opdracht
Meer opdrachten als deze
Plaats jouw bieding op Striive
https://login.striive.com/Voor deze opdracht dien je een bieding te plaatsen op Striive. Striive is het grootste opdrachtenplatform van de Benelux waar jaarlijks meer dan 20.000 opdrachten gepubliceerd worden.