(openPR) ISO 27034 ‚Application Security‘ Management in der Praxis
Sicherheit von Anfang an - nicht nur Penetration Testing
Workshop am 1. Okt. 2015 in Sankt Augustin
Prozess-gesteuerte Entwicklung (Angriffs-)sicherer Software, Firmware und Apps
Berichte über Cyberangriffe, APTs, Angriffe auf Server, Netze, Apps und Systems wie Industrie 4.0 und IoT und auch Firewalls und Verschlüsselung etc. sind nur dann erfolgreich, wenn sie eine Sicherheitslücke (oder Backdoor) ausnutzen. Ziel muss daher sein, Sicherheitslücken in allen Phasen des Softwareentwicklungs-prozesses systematisch zu vermeiden bzw. zu beheben - insbesondere die noch nicht veröffentlichten kriti-schen Zero-Day-Vulnerabilities.
Viele Hersteller von Hardware und Software, Firmware und Apps machen sich über Sicherheit erst dann Ge-danken, wenn konkrete Schadenersatzforderungen auf sie zukommen und/oder ein erheblicher Imageverlust entstanden ist. Derzeit werden nämlich Sicherheitslücken von den Entwicklern und Testern zu spät (erhöhter Patchaufwand) - meist aber erst zufällig vom Kunden entdeckt (noch höherer Patchaufwand). Sicherheitsüberprüfungen in der Release Phase alleine reichen auch gar nicht aus, um das gewünschte Sicherheitsniveau zu erreichen.
Mit der ISO 27034 – ‚Application Security‘ wird ein Entwicklungsprozess sicherer Software präsen-tiert, der in kurzer Zeit implementiert (und auch unabhängig vom jeweiligen Entwicklungsmodel in vorhan-dene Prozesse) integriert wird. Ebenso wird der Prozess auf lokale, verteilte oder auch in der Cloud angesie-delte Entwicklungsumgebungen angewandt.
Im Workshop behandelt werden die folgenden Aspekte und Methoden:
IT-Sicherheitsgesetz: Neue Haftungsrisiken für Management und IT-Leitung bei der Softwareentwicklung
Einführung in den Security Testing Prozess mit den Vorgehensweise und Ziele der 5 Methoden:
Security Requirements Analysis, Security by Design – Threat Modeling, Static Source Code Analysis, Pen-etration Testing, Dynamic Analysis – Fuzzing.
Zertifizierung von Tests und Ergebnissen
Beispielhafte Integration der ISO 27034 in Entwicklungsprozesse.
Praxisnahe Beispiele zur Identifizierung nicht bekannter Zero-Day-Vulnerabilities.
Zielgruppe
- Leiter Softwareentwicklung, ScrumMaster, CIO, CISO und IT-Leiter
- Software-Architekten/Designer
- Software-/Firmware-Entwickler und Tester
- Sicherheitsbeauftragte und /Datenschutzbeauftragte
Anmeldung
- Per E-Mail an
mit Name, Vorname, Titel, Funktion, Unternehmen mit Tele-fonnummer und Rechnungsanschrift. - Teilnahmegebühr: 485,-€ zzgl. MwSt. inkl. Imbiss, Getränke und Teilnahmebescheinigung
