Als Product Owner Cybersecurity Testing & Exposure Management ben je verantwoordelijk voor het uitbouwen, beheren en verder ontwikkelen van de dienstverlening rond beveiligingstesten en kwetsbaarhedenbeheer binnen de organisatie. Je vertaalt de noden van interne stakeholders naar een duidelijke productvisie en roadmap, en je stuurt de realisatie aan via externe partners en interne teams. Je waakt over een gestructureerde en kwalitatieve uitvoering van de dienstverlening (scope, planning, rapportering, opvolging en kwaliteitsbewaking) en zorgt dat stakeholders tijdig en correct worden bediend.

Penetratietesten

Je plant, coördineert en voert penetratietesten uit op applicaties, systemen en infrastructuur — zowel zelf als in samenwerking met externe gespecialiseerde partijen. Je ondersteunt interne stakeholders bij het bepalen van scope en doelstellingen, en bewaakt de kwaliteit van elk traject: van initiële aanvraag en scopebepaling over testuitvoering tot rapportering en kwetsbaarheidsopvolging. Je hebt hierbij een duidelijke kwaliteitsrol: je reviewt en valideert de opgeleverde rapporten (consistentie, volledigheid, reproduceerbaarheid van bevindingen, duidelijke risico-inschatting en concrete remediatie-adviezen) en stuurt bij waar nodig zodat stakeholders kunnen vertrouwen op bruikbare en actiegerichte resultaten.

Ethical hacking

Je neemt een actieve rol op in de uitbouw en opvolging van ethical hacking initiatieven, waaronder vulnerability disclosure- en bug bounty programma's. Je organiseert een gestructureerde en veilige behandeling van gemelde kwetsbaarheden en werkt hiervoor samen met zowel interne teams als externe onderzoekers om kwetsbaarheden correct te analyseren, prioriteren en opvolgen.

Exposure management

Je beheert en ontwikkelt de exposure management dienstverlening, met inbegrip van het beheer en de optimalisatie van oplossingen zoals vulnerability scanners en attack surface management (ASM). Je zorgt voor een correcte inrichting, integratie, rapportering en opvolging van bevindingen, en je stemt prioritering en remediatie af met de betrokken product- en platformteams. Je definieert KPI’s/SLA’s en bewaakt de kwaliteit van de geleverde dienst door leveranciers en/of interne uitvoerders.

Continue verbetering

Je volgt actief evoluties binnen het domein op en onderzoekt nieuwe benaderingen, methodieken en technologieën — zoals hybride testvormen en opkomende testtechnieken — om de dienstverlening rond cybersecuritytesten efficiënter en toekomstgericht te maken.

Vereisten en ervaring

• Aantoonbare ervaring als Security Consultant binnen één van volgende omgevingen: data, infrastructuur, applicaties, ...
• Aantoonbare expertise in specifiek kennisdomein van information security (bv. implementeren van information security management processen, uitvoeren van kwetsbaarheidsanalyses en pentesten, optimaliseren van applicatiebeveiliging middels cost-effectieve middelen, implementeren van Privileged Access Management, implementeren van encryptieoplossingen)
• Aantoonbare ervaring in het analyseren, optimaliseren en documenteren van security processen en governance
• Aantoonbare ervaring van security beheer technieken en/of raamwerken (bv: ISO27000 series, COBIT for Security, NIST, OWASP, CIS Critical Security Controls for Effective Cyber Defense)
• Aantoonbare kennis en ervaring via certificaten afhankelijk van domein van expertise (bv CISM, CISSP, CEH)
• Taalvereiste: Nederlandstalig op Europees CEFR-niveau C2

Context / Requirements

Digitaal Vlaanderen heeft als missie een coherent overheidsbreed informatiebeleid uit te bouwen en de transitie van de Vlaamse overheid naar een informatiegedreven overheid te ondersteunen en mee te realiseren. De producten en diensten van het agentschap zijn opgedeeld in programma’s om vanuit die programmawerking tot maximale synergiën te komen en tot een optimale dienstverlening naar onze VO-partners toe. Digitaal Vlaanderen is een digitaliseringsagentschap van de Vlaamse overheid dat zich inzet voor een digitale transformatie van de dienstverlening en de samenwerking tussen overheden, burgers en bedrijven. We ondersteunen en begeleiden Vlaamse en lokale overheden in hun digitale transformatie en hun zoektocht naar de overheid van morgen.

Business Context

Je werkt binnen het Vlaams Centrum voor Digitale Veiligheid (VCDV), onderdeel van Digitaal Vlaanderen. Het VCDV fungeert als het centrale expertisecentrum voor digitale veiligheid binnen de Vlaamse overheid en ondersteunt zowel Vlaamse entiteiten als lokale besturen met expertise, dienstverlening en coördinatie rond cybersecurity.

Binnen deze context wordt een structurele dienstverlening uitgebouwd rond kwetsbaarhedenbeheer, waaronder ook penetratietesten en ethical hacking. Deze dienstverlening heeft als doel kwetsbaarheden tijdig te identificeren en organisaties binnen de Vlaamse overheid en lokale besturen te ondersteunen bij het versterken van hun digitale veiligheid.

Technische context

Binnen deze rol wordt verwacht dat de Product Owner de dienstverlening rond cybersecuritytesten en exposure management mee uitbouwt, operationaliseert en bewaakt. De functie combineert inhoudelijke kennis van offensieve security met uitgesproken product ownership: noden ophalen bij stakeholders, prioriteren, roadmap uitwerken, leveranciers aansturen en de kwaliteit van dienstverlening bewaken.

De technische omgeving waarin deze dienstverlening wordt aangeboden is zeer divers en omvat verschillende technologieën, platformen en architecturen die gebruikt worden binnen de Vlaamse overheid en bij lokale besturen. Dit betekent dat cybersecuritytesten moeten kunnen worden toegepast op uiteenlopende applicaties, infrastructuren en digitale platformen.

De belangrijkste taken en verantwoordelijkheden omvatten:

• In kaart brengen van behoeften bij interne stakeholders (Vlaamse entiteiten en lokale besturen) en vertalen naar een duidelijke productvisie, backlog en roadmap voor cybersecurity testing en exposure management.

• Organiseren, uitvoeren en coördineren van penetratietesten op applicaties, API’s, platformen en infrastructuur, inclusief scopebepaling en teststrategie in samenwerking met betrokken stakeholders.

• Aansturen van externe dienstverleners (o.a. pentest leveranciers) en bewaken van kwaliteit en consistentie: opzetten van een duidelijke review- en acceptatieflow voor deliverables, inhoudelijke kwaliteitscontrole van pentest-rapporten (scope-dekking, helderheid van bevindingen, reproduceerbaarheid, risico/rating, impact, bewijsvoering en remediatievoorstellen), en opvolging van afspraken rond doorlooptijd en communicatie.

• Beheren van exposure management oplossingen zoals vulnerability scanners en attack surface management (ASM): configuratie, integraties, rapportering, tuning (false positives/coverage) en lifecycle management.

• Uitbouwen en beheren van ethical hacking initiatieven, zoals vulnerability disclosure programma’s en bug bounty programma’s, inclusief triage, analyse, prioritering en opvolging van meldingen.

• Voorbereiden en uitvoeren van sourcingtrajecten (o.a. RFI/RFP): requirements en evaluatiecriteria opstellen, offertes beoordelen, selectie onderbouwen en contract/SLA-afspraken mee uitwerken.

• Beheren van leveranciersrelaties en dienstverlening: opvolgen van SLA’s/KPI’s, organiseren van service reviews, escalaties afhandelen en continu verbeteren op basis van data en feedback.

• Borgen van end-to-end kwaliteitsbewaking: heldere intake, transparante planning, uniforme rapportering, opvolging van remediaties en periodieke communicatie naar stakeholders.

• Toezien op het gebruik van erkende methodologieën en standaarden voor cybersecuritytesten, zoals OWASP Testing Guide, PTES of gelijkaardige referentiekaders.

• Opvolgen van evoluties binnen het domein van cybersecuritytesten en exposure management en bijdragen aan de verdere ontwikkeling en verbetering van de dienstverlening (processen, metrics, tooling en aanpak).