Applications Architect met focus op Security

Context van de missie

Het aspect security binnen het ontwikkelen van nieuwe software is een belangrijk onderdeel in de nieuwe NIS2 regelgeving die sinds oktober 2024 in voege is. Binnen het Belgisch kader CyFun – dat wordt uitgewerkt door het Belgische Center for Cybersecurity fungeert het in een aantal checkpoints om ervoor te zorgen dat bedrijven en overheidsinstellingen compliant zijn met de regelgeving.

PR.IP-2: Het ontwikkelingsproces voor kritieke systemen en systeemcomponenten moet de volledige ontwerpcyclus omvatten en voorziet in een beschrijving van de functionele eigenschappen van veiligheidscontroles, en in ontwerp- en uitvoeringsinformatie voor veiligheidsrelevante systeeminterfaces.

Binnen de FOD Justitie willen we dat deze regelgeving meer is dan een checklist waarop procedures en vinkjes staan en willen we overgaan tot het inwerken van secure development in onze dagelijkse procedures en manier van werken. Hiertoe starten we een project rond secure development is waarvan dit de aanzet is.

Beschrijving van het profiel

Het profiel dat wij zoeken is een ervaren applicatie architect met een grondige kennis van security of een security architect met een grondige kennis van applicatie ontwikkeling. Zij hebben ervaring met het implementeren en analyseren van de nodige wijzigingen in een ontwikkelproces en kan deze ook in kaart brengen en documenteren op een bevattelijke manier. Het profiel kan communiceren met zowel erg technische profielen als profielen met een minder technische achtergrond en kan de nodige concepten rond veiligheid en ontwikkeling op een overtuigende manier promoten.

Voor het opzetten van een Secure Development-praktijk binnen de FOD Justitie wordt er geopteerd om ons te baseren op basis van het Software Assurance Maturity Model (SAMM) van Open Worldwide Application Security Project (OWASP), een raamwerk dat organisaties helpt om hun softwarebeveiliging te verbeteren door middel van best practices en meetbare doelen. Een kennis van dit framework strekt dan ook tot de aanbeveling.

Het profiel zal de bestaande teams helpen in het incorporeren van secure development in hun dagelijkse opdrachten en zal hiermee de basis leggen voor de fundamenten van een secure development programma binnen de FOD Justitie. Er wordt ingezet op SecDevOps en het invoeren.

Door het omschrijven en beschrijven en aanleren van deze methodologieën draagt het profiel actief bij tot het verhogen van de veiligheid van de programma’s die worden gebouwd binnen en voor de FOD Justitie. Daarnaast wordt ingezet op het verhogen van de algemene security maturiteit binnen de ontwikkelteams. Het profiel werkt mee aan het opzetten van applicatie security dashboards en brengt de nodige routines in plaats en in kaart om permanent de veiligheid van ontwikkelingen te verhogen.

Als belangrijke outcome van dit project is een standaardrichtlijn over hoe secure development actief kan worden toegepast, niet enkel voor eigen projecten maar ook bij toeleveranciers en een security matrix die kan worden gebruikt om externe projecten te beoordelen.

Omdat dit de start van het project is moet het profiel over de nodige ervaring en maturiteit beschikken om op te treden als project-lead. Daarnaast zal het nodig zijn deel te nemen aan de nodige meetings om te rapporteren over planning en vooruitgang van het project en zal de nodige documentatie worden aangelegd over de gekozen methodologie en de manier waarop deze kan worden geïmplementeerd. In het kader van de opdracht kan het profiel ook gevraagd worden om de nodige opleidingen over secure development uit te werken én te onderrichten aan de betrokken teams.

Als expert architect is het profiel in staat om technische ontwerpen te beoordelen, te becommentariëren en er zowel op het gebied van basisinfrastructuur m.b.t. hardware als software als methodologie gefundeerde raadgevingen bij te verstrekken.

Vereiste expertise

• Aantoonbare ervaring in vergelijkbare trajecten in een omgeving van dezelfde grote-orde als de FOD Justitie
• Minstens 3 jaar ervaring in review van security architecturen
• Minstens 3 jaar ervaring in het opzetten van SCA, SAST en DAST tooling in een CI/CD ketting
• Minstens 3 jaar ervaring in DevSecOps
• Kennis van Project Management
• Agile / Lean Software Development
• Security Frameworks (CyFun/SAMM/…)
• Quality Assurance & Testing (test-driven development)
• Resultaat-, Klantgerichtheid, verantwoordelijkheidszin.
• Plannings- en organisatorisch vermogen, vermogen om te sturen, controleren en aanpassen.
• Onderhandelingsvermogen, relatiegerichtheid.
• Vermogen om een team op te bouwen, deze aan te sturen en te controleren

Pluspunt – kennis van

• ITIL
• Java
• Angular