Overslaan naar inhoud

SAP Cybersecurity Expert & Project Manager (YPR9849)

Remote

Solliciteer nu!

SAP Cybersecurity Expert & Project Manager

Beschrijving

Het vertalen van de centrale CISO strategie in praktische en pragmatische oplossingen binnen een vernieuwingstraject van de SAP systemen in een groot transformatieprogramma waarbij op termijn een aantal OnPrem SAP oplossingen vervangen worden door S/4HANA PCE met een aantal SAP SaaS satellieten. Dit omvat het verzamelen en verwerken van informatie uit SAP of SI contracten, van de (IT) processen, risico-analyses en mitigerende acties voorstellen en implementeren (met IT leveranciers, en met SAP of non-SAP teams in de IT afdeling) om de bedrijfsmiddelen (fysische en elektronische info, data én IT-middelen) op afdoende wijze te beveiligen. Dit omvat o.a. het voldoen aan de GDPR en NIS2 standaarden.

Hoofdactiviteiten

  • Information Security Management:
    • Is aanspreekpunt voor en helpt CISO met het onderhoud van een centraal Information Security Management Systeem (ISMS) in lijn met internationale (opgelegde) standaarden voor alles wat betreft het SAP transformatie-programma en de bestaande en nieuwe SAP oplossingen;
    • Staat in voor het actief opvolgen en aanvullen van de verschillende CISO dashboarden en andere informatiebronnen binnen de CISO wereld met betrekking tot de bestaande en nieuwe SAP oplossingen;
    • Volgt de gedefinieerde acties van interne en externe audits op voor de ERP organisatie en geeft hierover maandelijks feedback aan het afdelingsmanagement en houdt de operationele contacten met de Interne Audit directie;
  • Information Risk Management:
    • Volgt de CISO processen, policies en standaarden (en helpt deze te verbeteren) voor het definiëren, uitschrijven en toepassen van “information risk analysis, risk treatment en risk monitoring” op de bedrijfs- en IT processen die geïmplementeerd zijn of worden met de nieuwe SAP oplossingen;
    • Helpt de ERP delivery teams met het incorporeren van de information risk management processen in de bedrijfs- en IT– processen die ondersteund worden met de bestaande of nieuwe SAP oplossingen;
    • Voert op een pragmatisch wijze information risk analyses uit en volgt deze samen met CISO op voor de projecten in het transformatie-traject, alsook voor de operationele bestaande situaties;
    • Staat in voor het onderhoud van het deel van het centrale CISO information risk register met betrekking tot de SAP oplossingen en projecten;
    • Zorgt dat de risico’s en bijhorende mitigerende acties samen met CISO eenduidig gerapporteerd worden naar de business eigenaars;
  • CISO Solutions & Services:
    • Definieert eventuele requirements voor cybersecurity oplossingen en diensten binnen de ERP organisatie, in goede afspraak met het centrale CISO team;
    • Werkt samen met de CISO organisatie aan de controles van de cybersecurity diensten van de (IT) sourcing partners in de ERP organisatie;
    • Werkt samen met het SAP Basis en de centrale CISO teams aan het opzetten, onderhouden en uitvoeren van CSIRT (computer security incident response team) activiteiten;
    • Begeleidt het SAP Authorisatie team bij het opzetten van Identity & Access Management oplossingen en governance in lijn met de centrale CISO richtlijnen;
  • Governance, Policies & Awareness:
    • Ondersteunt de centrale CISO organisatie in het opstellen en communiceren binnen de ERP afdeling van policies, standards, procedures en guidelines rond information security en data protection;
    • Implementeert de naleving en nodige controles binnen de ERP afdeling volgens de centrale CISO afspraken, de wettelijke regelgeving en afgesproken herzieningscyclus;
    • Draagt bij tot de company-wide lange-termijn information security awareness, in nauwe samenwerking met het HR team, en interne communicatie en bestaande opleidingsinitiatieven om de interne en externe medewerkers attent te maken op de information security & privacy risico’s en hen best-practices aan te leren;
    • Is aanspreekpunt voor security liaisons in de verschillende directies voor het uitvoeren van beleid, toepassen van policies en oplossen van security incidenten met de SAP oplossingen;
  • Rapportering:
    • Ondersteunt het centrale CISO team met de kwartaalrapporteringen naar het directiecomité;
    • Is verantwoordelijk voor het opstellen, voorbereiden en opvolgen van status rapporteringen (progressie, budget, resources, planning, project templates) over de cybersecurity gerelateerde initiatieven binnen de ERP organisatie;
    • Is verantwoordelijk voor het opstellen, voorbereiden en opvolgen van rapporteringen over security findings uit de CISO dashboarden;
  • Het opvolgen van IT Compliance:
    • Ondersteunt de centrale CISO organisatie met het opzetten en onderhouden van een IT audit en IT compliance framework, in lijn met wettelijke vereisten of strategische IT doelstellingen, en is verantwoordelijk voor het administratief opvolgen van openstaande (audit) verbetervoorstellen binnen de ERP organisatie en SAP oplossingen;
    • Zet een nauwe samenwerking met de Data Protection Officer en de Information Risk Manager (identificeren risico’s) op om audit findings en compliance inbreuken binnen de SAP applicaties of ERP organisatie uit te wisselen;
    • Ondersteunt de uitvoering van IT audits en IT compliance opdrachten op basis van de information security en data protection policies en Information risk management processen, met het vaststellen van gebreken of inbreuken binnen de (bestaande of nieuwe) SAP applicaties en de (bestaande of nieuwe) IT processen binnen de ERP organisatie;
    • Faciliteert het uitschrijven van de bevindingen, zowel op high-level niveau (exec summary), als technisch niveau (architecten/engineers/developers), met inbegrip van het aanreiken van mitigatie- scenario’s;
  • Kennisontwikkeling:
    • Blijft op de hoogte van nieuwe ontwikkelingen inzake SAP en CISO domeinen en maakt voorstellen hoe deze toegepast kunnen worden binnen de ERP organisatie;
    • Blijft op de hoogte van beveiligingsdreigingen, marktontwikkelingen, technologieën, relevante wetgevingen, IT technische- en andere beveiligingsontwikkelingen;
    • Volgt op continue basis opleidingen, seminaries, webinars,.. en helpt deze kennis verder te verspreiden binnen de ERP organisatie;

Minimale kennis en ervaring (conformity criteria)

  • Minimum 5 jaar ervaring als CISO officer in een grote onderneming;
  • Minimum 3 jaar ervaring met IT Security & Risk Management binnen een SAP context;
  • Minimum 3 jaar ervaring met de implementatie en operaties van CISO solutions & services binnen een moderne SAP Cloud based context;
  • Minimum 3 jaar ervaring met IT Audits & Compliance binnen een SAP context;
  • Minimum 2 project lifecycles in een leidende rol voor het behalen/behouden van ISO2700x en GDPR certificaties in een SAP context;
  • Minimum 5 jaar ervaring als SAP Project of Program Manager met minimum 3 jaar ervaring met SAP cloud-based oplossingen;
  • Minimaal C1-level kennis van Nederlands, Frans en Engels;
  • Certificaties : PMP, CISSP, CISM of CISA zijn een plus;

Verantwoordelijkheidsbereik

  • Information Security Management;
  • Information Risk Management;
  • CISO Security Solutions & Services;
  • Governance, Policies & Awareness rond information security en data protection;
  • Coördinatie en management van één of meerdere projecten en initiatieven binnen de ERP organisatie, in samenwerking met de centrale Information Security-afdeling;
  • Rapportering over de CISO domeinen en security findings;
  • De opvolging van IT Compliance;
  • Het actueel houden en uitbreiden van de eigen kennis;

Mogelijke gevolgen van onjuiste beslissingen en/of onjuist uitgevoerde activiteiten

  • Laattijdige of ontoereikende Security policies, procedures en guidelines;
  • Laattijdige identificatie en behandeling van risico’s aangaande informatiebeveiliging;
  • Gebrek aan awareness bij interne en externe medewerkers m.b.t. information security & privacy risico’s en best-practices;
  • Oplevering van projecten m.b.t. Information Security niet-conform vooropgestelde projectplan;
  • Laattijdige en/of onvolledige rapportering over de CISO-domeinen aan directie en senior management;
  • Mogelijke infecties aan de systemen met verregaande gevolgen voor de werking van YPTO en de klant;
  • Mogelijke inbreuken of geldende wet- en regelgeving;

Probleemoplossing

  • Het parallel kunnen uitvoeren van meerdere projecten, en coördineren van werkzaamheden over meerdere personen;
  • Het kunnen implementeren van opgelegde frameworks, procedures, policies, standaarden, awareness programma’s ;
  • Het maken van correcte risico-inschattingen, en het analyseren van security-incidenten en het kunnen aanreiken van oplossingen en mitigaties;
  • Het geven en voorbereiden van presentaties aan senior management en directies;
  • Het up to date houden van de kennis binnen snel evoluerende domeinen (trends, technologie, SAP, ...)
  • Is gebonden aan het beleid en visie inzake Information Security, het strategisch CISO plan, ISO2700x, geldende wetgeving (GDPR, NKI, NIS, ...) en internationale standaarden;
  • Doet beroep op de leidinggevende bij escalaties, voor het bespreken van incidenten, voor het valideren van projectplannen, budgetten en resources en (tussentijdse) rapporteringen;

Communicatie

  • Vlot spreken en schrijven in het Nederlands, Frans en Engels;
  • Een technisch issue op een gestructureerde en voor leken begrijpbare manier uitleggen;

Interne contacten

  • Dagelijks tot wekelijks contact met collega CISO officers betreffende beleid, projecten en incidenten;
  • Dagelijks contact met de verschillende ERP teams en IT-afdelingen betreffende de coördinatie en sturing van projecten aangaande Information Security;
  • Wekelijks contact met Heads of CISO, ERP, IT PMO en senior management betreffende rapporteringen over de security en IT compliance van het ERP transformatie-programma en van de SAP oplossingen;
  • Gerichte contacten met de Data Protection Officer, de Risk Manager en Security Liaisons in de directies betreffende audit findings, en om IT compliance inbreuken en mitigaties uit te wisselen;
  • Maandelijks contact met de Security Liaisons, Interne Audit, Enterprise Risk management bij het betreffende beleid, lopende projecten en rapporteringen;

Externe contacten

  • Gerichte contacten met de IT sourcing partners betreffende incidenten, opvolgen van en afstemmen rond werkzaamheden, ...;
  • Gerichte contacten met externe auditors betreffende het begeleiden van externe audits of het bespreken en/of opvolgen van audit findings;

Evaluation criteria

Non-critical evaluation criteria - these will be evaluated based on CV and (possible) interviews:

  • Kennis van de business en IT processen van SAP Business Suite & New SAP technologies (S4HANA, BTP, SaaS products), met het oog op de cybersecurity aspecten (welke tools gebruikt, en wat zijn daar de pros/cons van,..);
  • Kennis van Information Security (beschrijven van verschillende aanpakken, standaarden & tools die je gebruikte in projecten, en welke rol je in het project vervulde);
  • Ervaring met het voorbereiden, uitvoeren en opvolgen van (interne en externe) audits op het functioneren van een SAP CoE (geef enkele real-life voorbeelden, de tools die je gebruikte, de mitigaties die je voorstelde en je rol bij het implementeren van gevalideerde acties, wie was er nog betrokken);
  • Ervaring met het maken van risk analyses, mitigaties en monitoring op de bedrijfs-en IT processen die geïmplementeerd werden tijdens een groot SAP implementatie traject (geef real-life voorbeelden waar de risk analyse uiteindelijk waarde heeft toegevoegd aan de uiteindelijke oplossing, en de rol die je speelde bij het implementeren van die oplossing);
  • Ervaring met het rapporteren van project- en SAP risico’s aan IT en business management (in welke vorm heb je dat gedaan, aan wie werden de risico’s gemeld, in welke rol);
  • Ervaring met het rapporteren en oplossen van security incidents met SAP Basis en CISO CSIRT teams (geef real-life voorbeelden uit je projecten, en in welke rol je hielp bij het oplossen van de incidenten);
  • Ervaring met het definieren van de governance van SAP authorisaties in S4HANA, BTP en/of SAP SaaS oplossingen (welke SaaS oplossing, welke governance geïmplementeerd, hoe zijn identity - en authorisatie mgt met elkaar gelinked);
  • Ervaring met het uitdragen van cybersecurity awareness in IT and/or bedrijfsafdelingen bij de invoering van een SAP applicatie (real-life examples & rol hierbij);
  • Behaalde certicaten op gebied van Project & Risk Management: PMP, CISSP, CISM of CISA zijn een plus;
Solliciteer nu!