Consultant IT risk

Wat is een consultant IT risk?

Een consultant IT risk (ook wel consultant cyber risk of IT risk consultant) is iemand die de IT bij bedrijven op risico’s controleert en het bedrijf vervolgens vaak adviseert in het beheersen van deze risico’s. Om de aanwezige IT-processen en -systemen te controleren dan wel een adviesplan op te leveren, onderwerpt de consultant deze aan toetsen, controles, audits en analyses.

Wat doet een consultant IT risk?

De consultant IT risk controleert de IT-processen en -systemen van zijn opdrachtgevers door ze te toetsen en analyseren. Ook informatiebeveiliging is hierin een belangrijk aspect. De consultant buigt zich hiervoor over de beveiliging van ICT-infrastructuur, beheerprocesen, applicatiebeveiliging en identity management. Op basis van de resultaten die dit oplevert adviseert de consultant het bedrijf op het gebied van risicobeheersing met betrekking tot de binnen het bedrijf aanwezige IT.

Specifieke werkzaamheden van de consultant IT risk zijn doorgaans:

  • Toetsen welke IT-risico’s de financiële verslaglegging (en andere bedrijfsprocessen) kunnen beïnvloeden
  • In kaart brengen van mogelijke gevolgen van IT-risico’s
  • Onderzoeken welke risico’s daadwerkelijk tot problemen hebben geleid en wat de impact hiervan is geweest
  • Analyseren van bestaande maatregelen om IT-risico’s te beheersen
  • Rapporteren van geïdentificeerde risico’s
  • Opstellen van informatiebeveiligingsplannen, incidentmanagementprocedures en frameworks voor het beheersen van IT-risico’s

Waar werken consultants IT risk?

Een consultant IT risk kan (op freelancebasis) voor zichzelf werken, maar is doorgaans werkzaam bij een (IT-)adviesbureau waarbij hij voor diverse (zakelijke) klanten werkt. Omdat ieder bedrijf tegenwoordig in meer of mindere mate gebruikmaakt van IT, kan de consultant een gevarieerd pakket aan opdrachtgevers hebben. Dit kan variëren van grote beursgenoteerde bedrijven tot het mkb en start-ups. Ook de publieke sector en de overheid kunnen tot de opdrachtgevers behoren.

Tijdens de werkzaamheden kan een consultant IT risk te maken krijgen met andere IT-consultants, maar ook met ethical hackers, enterprise architecten, back-end developers, software architecten en software engineers. Het kan ook voorkomen dat de consultant samenwerkt met de chief information officer (CIO) van het bedrijf waarvoor hij een opdracht uitvoert en schakelt met de functionaris gegevensbescherming van dit bedrijf voor de beveiliging van persoonsgegevens.

Hoe word je consultant IT risk?

Om consultant IT risk te worden dien je minimaal een IT-gerelateerde hbo- of wo-opleiding af te hebben gerond, bijvoorbeeld:

  • Informatica (hbo, wo)
  • Technische Informatica (hbo, wo)
  • Business IT & Management (hbo)
  • Wiskunde (hbo)
  • Technische Wiskunde (wo)
  • Technische Bedrijfskunde (hbo,wo)

Naast kennis van IT en informatiebeveiliging is vaak het bezit van een of meerdere van onderstaande certificeringen gewenst:

  • CISM (Certified Information Systems Manager)
  • CRISC (Certified in Risk and Information Systems Control)
  • CISSP (Certified Information Systems Security Professional)
  • CIPP (Certified Information Privacy Professional)
  • ISO 27001 Lead Auditor/Implementer
  • BS25999 Lead Auditor/Implementer

Ook dien je vaak op zijn minst kennis te hebben van relevante beveiligingsstandaarden en frameworks, waaronder:

  • ISO 2700x
  • ISF
  • BS25999
  • ISO 22301
  • COBIT
  • NIST
  • OWASP
  • GAPP
  • SABSA
  • BIR/BIB