Organisation eines sicheren Entwicklungsprozesses

Bei der Beschäftigung mit dem Thema sichere Softwareentwicklung wird relativ schnell klar, dass wir (als Security-Community) einen umfassenden Kanon an Anforderungen, Tipps, Tools, Beispielen, Checklisten etc. haben, die uns in die Lage versetzen, sehr sichere Software zu entwickeln und zu betreiben. In der Realität basiert jedoch die Mehrheit der erfolgreichen Angriffe nicht auf dem relativ kleinen Prozentsatz fast nicht vermeidbarer Schwachstellen wie Zero-Days etc., sondern auf der Nichtanwendung dieses bekannten Wissens.
Diese Nichtanwendung des Security-Wissens ist jedoch – nach Meinung des Vortragenden – vorwiegend eine organisatorische Herausforderung,
Dieser Vortrag beschäftigt sich daher mit den Hürden, die einer erfolgreichen Umsetzung eines sicheren Entwicklungsprozesses im Wege stehen können, und diskutiert Ansätze, diese zu überwinden oder zu umgehen.
In der Einleitung werden die in der Praxis auftretenden Schwierigkeiten erläutert (z.B. Ansätze und Reichweite der Governance, fehlendes Know-How, Projektprioritäten, unzureichendes Tooling etc.). Im Hauptteil werden dann Lösungswege und -ansätze aufgezeigt, wie eine bessere Umsetzung der Produktsicherheit möglich ist, welche Kosten dadurch entstehen und wie man erfolgreich an das Thema herangehen kann.
Am Ende des Vortrags erfolgt eine vorsichtige Prognose der Trends und Entwicklungen im Umfeld der sicheren Softwareentwicklung.

Lernziele

Organisatorische Hürden für eine sichere Software-Entwicklung erkennen.
(Neue) Ideen für mögliche Lösungsansätze- und -Strategien erkennen und bewerten.
Einen vielleicht sehr simplen Rat für einen Neustart in der sicheren Entwicklung erfahren.

Speaker

 

Oliver Kling
Oliver Kling (CISA - ISACA-Mitglied seit 2010) leitet das Competence Center Application Security Engineering bei der adesso SE. In verschiedenen Stationen z.B. bei einem großen Deutschen Softwarehersteller und einem KRITIS-Unternehmen in der Energie-Wirtschaft hat er sich seit 14 Jahren stark auf das Thema sichere Software-Entwicklungsprozesse konzentriert. Nach eigenen Aussagen ist sein größter Beitrag zur IT- und Informationssicherheit die Unterstützung von mehr als 100 Software-Entwicklungsprojekten bei der Bedrohungs- und Risiko-analyse, dem sicheren Design von Anwendungen und der Projekt- und Entwicklerberatung bei der Umsetzung von Sicherheitsmaßnahmen.


Gold-Sponsoren

Advisori
IBS Schreiber
protiviti
ONETrust

Silber-Sponsor

Diligent

Medienpartner

IT-Governance



IT-GRC-Kongress Newsletter

Sie möchten über den IT-GRC-Kongress
auf dem Laufenden gehalten werden?

 

Anmelden