Security officer.

Opdrachtomschrijving
 Security Officer - DSO Rijkswaterstaat (RWS) is verantwoordelijk voor de ontwikkeling en het beheer van het Digitaal Stelsel Omgevingswet (DSO). Binnen dit stelsel levert het team Gebruikerstoepassingen en het team Samenwerkingsomgeving & Portalen een aantal cruciale componenten en diensten. Het programma Digitaal Stelsel Omgevingswet (DSO) werkt continu aan de verdere professionalisering van de beveiliging van het stelsel en de onderliggende componenten, in lijn met de Baseline Informatiebeveiliging Overheid (BIO 2.0) en actuele beveiligingsnormen. Voor deze opdracht zoekt Rijkswaterstaat een ervaren Security Officer die zelfstandig de huidige beveiligingsprocessen beoordeelt, risico's in kaart brengt en verbetervoorstellen opstelt en implementeert. De Security Officer draagt verantwoordelijkheid voor de inhoudelijke kwaliteit van de beveiligingsaanpak binnen DSO en werkt zelfstandig aan het realiseren van concrete resultaten. De nadruk ligt op advies, inrichting en borging, niet op operationele uitvoering. De professional bepaalt zelf de aanpak, prioritering en middelen, in overleg met de opdrachtgever. De inzet van een externe specialist is noodzakelijk, omdat de opdracht een gedetailleerd inzicht in de bestaande DSO-beveiligingsarchitectuur, audit-processen en de integratie van het authenticatiestelsel (waaronder DigiD en IAM en APIM) vereist. Deze kennis is op dit moment niet volledig aanwezig binnen de interne organisatie en is essentieel om binnen de looptijd te voldoen aan de wettelijke en organisatorische kaders. Noodzaak van specifieke expertise De beveiligingsarchitectuur van DSO omvat een groot aantal ketencomponenten, waaronder het API Management-platform, authenticatievoorzieningen voor DigiD en eHerkenning, en maatwerk-integraties tussen diverse overheidsorganisaties. De uitvoering van deze opdracht vereist grondige kennis van:

• de nieuwe inrichting en risico's van de nieuwe te implementeren APIM (API Manager) en IAM (Identity Access Manager) componenten voor het DSO (APIM en IAM worden in 2026 vervangen en dienen opnieuw geanalyseerd te worden),

• de DigiD-auditprocessen en afhankelijkheden met ketenpartners, Deze kennis is niet generiek toepasbaar, maar sterk verweven met de huidige technische en organisatorische inrichting van het DSO. Om reële risico's te identificeren, auditbevindingen te adresseren en verbeteringen door te voeren zonder verstoring van operationele processen, is specifieke ervaring met het DSO-securitydomein en de huidige architectuur-keuzes onmisbaar. Daarom wordt deze opdracht uitsluitend aan een externe specialist gegund die aantoonbare kennis heeft van deze omgeving, zodat binnen de gestelde tijd concrete, toetsbare resultaten kunnen worden behaald. Resultaten De Security Officer levert gedurende de looptijd de volgende resultaten op. Elk resultaat bevat een toetsbaar eindproduct dat direct toepasbaar is binnen het DSO-programma en aansluit op de BIO 2.0-richtlijnen. 1. Risicoanalyse API Manager en IAM Doel: In kaart brengen van kwetsbaarheden, configuratie-afwijkingen en afhankelijkheden binnen de APIM en IAM-product. Resultaat: Uitgewerkte risicoanalyse inclusief dreigingsmodellering, prioritering en mitigerende maatregelen. Overzicht van technische en organisatorische risico's inclusief bijbehorende risicobeoordeling (impact x kans). Adviesdocument voor verbetermaatregelen en opvolging. 2. Scopebepaling en voorbereiding pentesten Doel: Vaststellen van een effectieve en risicogedreven scope voor periodieke pentesten. Resultaat: Scope-document met testdoelen, te testen componenten en randvoorwaarden. Afstemming met leveranciers en teams over testdata en -omgeving. 3. Uitvoeren DigiD-audit Doel: Zorgen dat de komende DigiD-audit efficiënt en aantoonbaar succesvol verloopt. Resultaat: Auditdraaiboek met rollen, verantwoordelijkheden en bewijsvoering. Coördinatie van documentatie en interviews. Eindrapportage met auditbevindingen en opvolgingsplan. 4. Use cases security monitoring en alerting Doel: Verbeteren van detectie en incidentrespons binnen de SOC-keten. Resultaat: Use-casecatalogus met beschrijving van dreigingen, detectielogica en escalatiepaden. Integratievoorstellen voor SIEM-platform. Overdrachtsdocumentatie aan monitoringteams. 5. Plan voor anti-DDoS-test Doel: Toetsen van de weerbaarheid van de DSO-infrastructuur tegen DDoS-aanvallen. Resultaat: Testplan met scenario's, partners, risico-mitigatie en rapportagevorm. Afstemming met hostingpartners en Netwerkveiligheid Rijkscloud. Evaluatierapport en aanbevelingen voor verbetermaatregelen.

Opdrachtgever
 Rijkswaterstaat is de uitvoeringsorganisatie van het ministerie van Infrastructuur en Waterstaat en bestaat uit zeven landelijke en zeven regionale organisatieonderdelen. Al meer dan 200 jaar werken we dagelijks aan een veilig, leefbaar en bereikbaar Nederland. We beheren en ontwikkelen de rijkswegen,-vaarwegen en -wateren en zetten in op een duurzame leefomgeving. Samen met anderen werken we aan een land dat beschermd is tegen overstromingen. Waar voldoende groen is, en voldoende en schoon water. En waar je vlot en veilig van A naar B kunt. Samenwerken aan een veilig, leefbaar en bereikbaar Nederland. Dat is Rijkswaterstaat.