Information Security Officer – Nexxbiz
Als Information Security Officer speel je een centrale rol in het behouden van klantvertrouwen en het beschermen van gevoelige data in een volledig cloud-native, DevOps-first omgeving.
Je combineert tactisch inzicht met operationele daadkracht en hebt een natuurlijk vermogen om dieper te graven, risico’s concreet te maken en complexe technologieën door te vertalen naar begrijpelijke en werkbare oplossingen. Je neemt proactief het voortouw in het signaleren van kwetsbaarheden, het verbeteren van onze weerbaarheid en het implementeren van best practices – zowel technisch als organisatorisch.
Jouw verantwoordelijkheden
Security Governance, Compliance & Certificeringen
• Eerste aanspreekpunt voor interne en externe stakeholders op het gebied van security.
• Verantwoordelijk voor het onderhouden van het ISMS en het behalen/behouden van certificeringen zoals ISO 27001, ISO 22301, ISO 9001 en ISAE 3402 Type 2.
• Coördineren van DORA-compliance-inspanningen, waaronder BIA’s, BCM-oefeningen en technische restore tests.
• Aanspreekpunt voor auditors (zoals EY, Intermax) en partners als Pier Nauta (interne IT-auditor) en Noordbeek (externe audit).
Security Operations & Risicobeheersing
• Ontwerpen en implementeren van technische securitymaatregelen zoals immutable backups, role-based access, en disaster recovery strategieën.
• Risicoanalyses en tabletop-scenario’s uitvoeren, o.a. op ransomware en insider threats.
• Inrichten en verbeteren van patchmanagementprocessen binnen Kubernetes-/cloudomgevingen (bv. image-based deploymentstrategie).
• Inzicht verkrijgen in draaiende infrastructuur, versies en kwetsbaarheden via tooling als Microsoft Defender.
Security Architectuur & Cloud Integratie
• Nauwe samenwerking met cloud engineers en developers om veilige architecturen neer te zetten (Infrastructure-as-Code).
• Opstellen van threat models en design reviews op microservice-niveau.
• Gebruik maken van cloud-native securitymogelijkheden in Azure en Kubernetes.
• Evaluatie en inrichting van Recovery Services Vaults, immutable storage, en loggingstrategieën.
Security Awareness & Training
• Initiëren van een sterke securitycultuur binnen het team.
• Ontwikkelen en geven van trainingen over actuele bedreigingen, incident response, en goede securitypraktijken.
• Organiseren van conferentiebezoeken en kennisdeling rondom onderwerpen als cloud security, patchmanagement en backup integrity.
Wat verwachten wij van jou?
• Diepgang & Nieuwsgierigheid: Je duikt uit eigen beweging de techniek in, stelt verdiepende vragen, en weet securityproblemen te destilleren tot concrete verbeteracties.
• Stakeholdervaardigheden: Je weet jouw inzichten te vertalen naar managementrapportages en prioritering richting MT.
• Praktisch & Analytisch: Je werkt graag hands-on aan securityoplossingen maar begrijpt ook governance, risk & compliance.
• Continu Verbeteren: Je evalueert processen en systemen met regelmaat en zorgt voor structurele verbeteringen.
• Nederlandstalig: Uitstekende beheersing van Nederlands (en Engels) in woord en geschrift.
Jouw achtergrond
• Bachelor of master (HBO/WO) in Informatica of vergelijkbaar.
• Ruime ervaring in security governance, risicoanalyse, en cloud-native omgevingen.
• Ervaring met auditeerbare omgevingen (bv. verzekeraars, financiële instellingen).
• Bij voorkeur ervaring in rollen als cloud security architect, IT-auditor of DevSecOps engineer.
• Sterke voorkeur voor kandidaten met één of meer van de volgende certificeringen:
o AZ-500 – Azure Security Technologies
o SC-100 – Microsoft Cybersecurity Architect
o CISSP – Certified Information Systems Security Professional
Nice-to-haves
• Ervaring met Immutable Backup design in Azure.
• Hands-on ervaring met Kubernetes image lifecycle, patch management en deploymentstrategieën.
• Ervaring met Microsoft Defender, Sentinel, en security incident response.
• Bekendheid met de Nederlandse verzekeringssector is een pré.
