Operational IT en Security Risk Manager (2nd line)

Jouw rol 

Als Operational IT and Security Risk Manager speel je een sleutelrol in de 2de verdedigingslijn van onze bank. 

Je zorgt ervoor dat onze IT- en securityrisico’s begrijpelijk, beheersbaar en in lijn met onze risk appetite blijven. Je beoordeelt de effectiviteit van risicobeperkende maatregelen, analyseert opkomende cyber- en technologierisico’s, zorgt voor afstemming op wet- en regelgeving en rapporteert helder aan senior management. 

Je werkt nauw samen met ongeveer 170 IT-professionals, en fungeert als kritische maar constructieve sparringpartner voor IT, Information Security en andere controlefuncties. Je maakt deel uit van het Risk Management team van de Bank.  

Impact 

In deze rol: 

• Help je de bank weerbaar te houden tegen cyberdreigingen en IT-fouten, 

• Zorg je dat IT-risico's expliciet worden afgewogen tegen onze risk-appetite, 

• Vertaal je complexe IT- en security onderwerpen naar duidelijke informatie zodat het management bewuste en onderbouwde beslissingen kan nemen, 

• Bouw je mee aan een modern IT-risk framework, in lijn met o.a. DORA en andere relevante regelgeving. 

  
  

Je belangrijkste verantwoordelijkheden 

1. Framework & Governance 

• Ontwikkelen, implementeren en mee bewaken van het IT-risk framework als onderdeel van het bredere Operational Risk Management framework van de bank. 

• Onderhouden en verder uitbouwen van de IT risk- & control libraries inclusief key controls voor IT Operations en Cyber Security. 

• IT-risico’s expliciet afzetten tegen de vastgelegde risk appetite van de bank en hierover helder rapporteren aan (senior) management en relevante comités. 

2. Risk assessments  

• Uitvoeren en coördineren van IT-riskmanagementactiviteiten (risicobeoordelingen, gap-analyses, evaluaties van bedreigingen en kwetsbaarheden, enz.).

• Challengen van risico- analyses die door de eerste lijn worden aangeleverd. 

3. Interne Controle & Tweedelijns-monitoring 

• Uitvoeren van tweedelijns control monitoring op IT controls, 

• Onafhankelijke testing van de opzet en werking van controles, inclusief challengen van de eerste lijn, 

• Adviseren over technologie- en securitycontroles en mee bewaken van de implementatie ervan. 

4. Incidenten, KRI’s en rapportering 

• Beoordelen van IT-incidenten en verzekeren dat deze correct worden opgevolgd, gerapporteerd en afgesloten, indien mogelijk met acties om herhaling te voorkomen. 

• Rapporteren en challengen van relevante Key Risk Indicators (KRI’s) en statistieken met betrekking tot IT Operations en Information Security-activiteiten. 

• Vertalen van bevindingen naar duidelijke rapporten en adviezen voor management en comités. 

5. Sparringpartner en trends 

• Fungeren als een waardevolle sparringpartner voor IT, Information Security en andere controlefuncties; en actief meedenken om samen tot de meest effectieve en pragmatische oplossingen te komen.  

• Opvolgen van trends, nieuwe technologieën en relevante regelgeving op het gebied van IT-risk, cyberbeveiliging. 

• Bevorderen van kennisdeling en samenwerking binnen het risk-team en met andere stakeholders. 

Jouw profiel 

• Je communiceert vlot in het Nederlands en Engels, zowel mondeling als schriftelijk. Kennis van het Frans is een pluspunt. 

• Je hebt minstens 5 jaar relevante ervaring in IT Risk Management, IT Audit en/of Information Security (bij voorkeur in een financiële omgeving). 

• Je hebt ervaring met het opzetten, uitwerken en challengen van IT-risk- en informatiebeveiligingsstrategieën, standaarden, controles en tegenmaatregelen. 

• Je kent de belangrijkste internationale standaarden en raamwerken, zoals OWASP, COBIT, ISO27001, GDPR, DORA, Basel, AI Act... 

• Je beschikt over een goede kennis van IT-functionele, technische en systeemarchitectuurbeveiliging. 

• Je hebt een degelijke kennis van technologieën zoals firewalls, IDS/IPS-systemen, penetratietests, vulnerability scanning, cloud, containers, AI, enz. 

• Je hebt een uitgebreid inzicht in het beveiligingslandschap en belangrijke opkomende bedreigingen (cybersecurity). 

• Je combineert: 

- het vermogen om zelfstandig te werken met een hands-on mentaliteit, 

- een analytische en kritische ingesteldheid en veel gezond verstand,  

- een resultaatgerichte aanpak met heldere, zakelijke communicatie naar zowel IT als business. 

• Je beschikt over uitgesproken challenging- en influencing skills: je durft de eerst lijn en senior stakeholders te challengen, maar blijft tegelijk constructief, oplossingsgericht en diplomatisch. 

• Nice to have: kennis en interesse op vlak van AI governance en compliance.