Securitytester en -toolondersteuner

  • ICTU
  • Den Haag
  • 24 uur per week
  • Onbekend
  • 1 mei 2017 - 30 september 2017
  • 24 april 2017

Functieomschrijving

ICTU werkt aan een betere digitale overheid, voor en samen met andere overheidsorganisaties. De afdeling ICTU Software Realisatie (ISR) heeft als missie: "Het niveau van software-ontwikkeling bij de Nederlandse overheid naar een hoger plan brengen". Een hoger niveau van software-ontwikkeling leidt tot kwalitatief betere producten, beter beheersbare processen en een grotere slagvaardigheid in die processen. Dit laatste is, onder meer, nodig omdat de omgeving niet stilstaat en kaders, eisen, wensen en inzichten kunnen veranderen. De producten van ISR zijn niet beperkt tot programmatuur: ook zaken als testfaciliteiten en documentatie, en zelfs de volledige ontwikkelstraat, horen daarbij. Uiteindelijk leidt dit tot een betere, efficiënte en slagvaardiger dienstverlening aan burgers, bedrijven en ambtenaren en dus tot een "betere digitale overheid". Om de missie te verwezenlijken voert ISR zelf software-ontwikkelprojecten uit in opdracht van overheidsorganisaties en draagt zij, waar mogelijk, de kwaliteitsaanpak uit binnen de Nederlandse overheid.


De projecten die ISR uitvoert kenmerken zich door een hoge mate van complexiteit, veel belanghebbenden, en wettelijke verplichtingen. De softwareontwikkeling wordt ondersteund door een ecosysteem van tools, geautomatiseerde processen, samenwerkingsverbanden en een geautomatiseerd kwaliteitssysteem. De tools die ICTU gebruikt zijn onder andere Docker, Jira, Jenkins, TFS, SonarQube, Git, Subversion,, SilkPerformer, OpenVAS, ZAP Scan, OWASP Dependency Checker, Checkmarx en Birt. Hiermee wordt de gehele buildpipeline ondersteund, inclusief unittesten, geautomatiseerde functionele testen, performance testen en securitytesten. De samenwerkingsverbanden bestaan onder andere uit guilds en zeepkistbijeenkomsten. Het kwaliteitssysteem raadpleegt de tools die ICTU gebruikt in het ontwikkelproces om een near real time integrale rapportage te maken van de kwaliteit van de software die in projecten wordt gemaakt.

De ISR-projecten worden ondersteund door een aantal supportteams en –diensten, te weten een technisch beheer team, een innovatieteam, een databaseteam, Jirasupport, performancesupport en beveiligingssupport. Ten behoeve van de beveiligingssupport zoeken we een securitytester die alle lopende projecten ondersteunt bij het inrichten en toepassen van de securitytools die ISR gebruikt. Op dit moment zijn dat: OpenVAS, OWASP ZAP Scan, OWASP Dependency Checker en Checkmarx. 

Profiel

De securitytester heeft kennis van en ervaring met veiligheid van broncode, penetratietesten, securitytesttools en advies aan agile ontwikkelteams. De securitytester heeft naast gedegen technische en inhoudelijke kennis ook sterke communicatieve vaardigheden. Verder heeft de securitytester ervaring met het werken in een Agile-omgeving en een zelfstartende mentaliteit.

De functie is voor 16 to 24 uur, dagen en uren in overleg.

ICTU is budgettair gelimiteerd. Een niet passend tarief / te hoge tariefstelling kan een reden zijn om niet tot gunning over te gaan.

Eisen en Wensen

  1. ·       Minimaal 2½  jaar ervaring met het uitvoeren van black box, grey box en white box beveiligingstesten.
  2. ·       Ervaring met het inrichten van testtooling
  3. ·       Ervaring met beveiligingstesten van webapplicaties
  4. ·       Ervaring met het adviseren en begeleiden van (agile) ontwikkelteams op het gebied van beveiliging.
  5. ·       HBO-opleiding.
  6. Certified Ethical Hacker en/of Certified Secure Software Lifecycle Professional en/of vergelijkbaar

Wensen

Hoe meer relevante opleiding/scholing, aantoonbare kennis en ervaring des te hoger de beoordeling. Minimale score bedraagt 0 punten, maximale score is 10 punten.

  • Kennis van en ervaring met beveiligingstesten aan de hand van OWASP top-10, SANS 25 en/of MITRE CWE

  • 20%

  • Beoordeling geschiedt op basis van het aantal, omvang, diversiteit en actualiteit van projecten waarin deze kennis is verworven/toegepast.
  • 0:  ontbreekt/niet aanwezig
  • 2:  weinig en/of niet-actuele projecten
  • 4:  weinig projecten
  • 6:  voldoende projecten
  • 8:  veel en actuele projecten
  • 10: zeer veel, actuele en diverse projecten


  • Kennis van en ervaring met Secure Software Development en de Baseline   Informatiebeveiliging Rijksdienst (BIR)

  • 20%

  • Beoordeling geschiedt op basis van het aantal, omvang, diversiteit en actualiteit van projecten waarin deze kennis is verworven/toegepast.
  • 0:  ontbreekt/niet aanwezig
  • 2:  weinig en/of niet-actuele projecten
  • 4:  weinig projecten
  • 6:  voldoende projecten
  • 8:  veel en actuele projecten
  • 10: zeer veel, actuele en diverse projecten

  • Kennis van en ervaring met het gebruik van beveiligingstesttools, bij voorkeur minimaal OWASP dependency checker, OWASP ZAP, OpenVAS en Checkmarx

  • 20%

  • Beoordeling geschiedt op basis van het aantal, diversiteit en actualiteit van de gebruikte tools.
  • 0:  ontbreekt/niet aanwezig
  • 2:  weinig en/of niet-actuele tools
  • 4:  weinig tools
  • 6:  voldoende tools
  • 8:  veel en actuele tools
  • 10: zeer veel, actuele en diverse tools

  • Kennis van ervaring met programmeertalen en ontwikkeltools, bij voorkeur minimaal Python, Java, C#, Jenkins en Git.

  • 20%

  • Beoordeling geschiedt op basis van het aantal, diversiteit en actualiteit van de gebruikte talen en tools.
  • 0:  ontbreekt/niet aanwezig
  • 2:  weinig en/of niet-actuele talen en tools
  • 4:  weinig talen en tools
  • 6:  voldoende talen en tools
  • 8:  veel en actuele talen tools
  • 10: zeer veel, actuele en diverse talen en tools

Prijs

Gewicht prijs bij beoordeling

20%