PagelShield
Web- and Cloud Security Training Experts
Projekte
Die Sicherheit sollte Teil des gesamten Entwicklungs- und Betriebsprozesses sein. Es sind sicherheitsrelevante strategische, Design- und Implementierungsentscheidungen zu treffen. Als DevSecOps-Berater helfe ich Ihnen bei der Einführung und Aufrechterhaltung von Sicherheit in Ihrer Unternehmenskultur.
Strategische Planung / Einführung einer Sicherheitskultur
Die Einführung von Sicherheit in den Entwicklungslebenszyklus ist eine Reise und es sind strategische Entscheidungen zu treffen. Ich helfe dabei, die besten strategischen Cloud- und Sicherheitsentscheidungen zu treffen. Dazu gehören die folgenden Programme zur Skalierung der Sicherheit
- Security Champions
- Modellierung von Bedrohungen
- Motivation für Sicherheit für Mitarbeiter auf allen Organisationsebenen
Assessments
Die kontinuierliche Messung mit OWASP SAMM oder meinem Projekt OWASP DevSecOps Maturity Model bietet die Möglichkeit, die nächsten Schritte zu planen.
Threat Modeling Program
Die Bedrohungsmodellierung ist ein wichtiger Bestandteil und sollte so früh wie möglich durchgeführt werden, um die Kosten für die Behebung sicherheitsrelevanter Probleme zu reduzieren. Abhängig von der Art des Projekts werden verschiedene Methoden wie STRIDE oder Cyber Kill Chain verwendet. Neben der Durchführung von Threat Modeling Workshops entwickle ich mit meinen Kunden Threat Modeling Programme.
Training / Workshops
Die meisten Sicherheits-Frameworks erfordern sicherheitsbezogene Schulungen für IT-Personal. Sicherheitsbewusste Entwickler und Bediener behalten die Sicherheit während ihrer regulären Arbeit im Auge, was zu viel weniger Sicherheitsproblemen führt. Bei einigen Kunden führe ich zweiwöchentlich ein Sicherheitstraining von bis zu anderthalb Stunden durch! In dieser Zeit besprechen wir sicherheitsrelevante organisatorische Themen oder Neuerungen und es wird eine sicherheitsrelevante Schulung durchgeführt.
Technische Überprüfung
IT-Systeme können sehr komplex werden, besonders in Cloud-Umgebungen. Die Überprüfung des Konzepts und der Implementierung, z. B. des Codes, ist eine gute Möglichkeit, um zu analysieren, ob die sicherheitsrelevanten Anforderungen erfüllt werden.
AppSec Program
Ein Application Security Program (kurz AppSec Program) beinhaltet die Integration von Sicherheit in den Software-Entwicklungszyklus.
Trainings
Web-Security Training
Schulung von Entwicklern zu Bedrohungen und wie man sicheren Code entwickelt.
Container Security
Durchführung eines Container-Sicherheits-Workshops, um die Bedrohungen durch den Betrieb von Containern aufzuzeigen.
Agile Threat Modeling
Durchführung einer strukturierten Analyse zur Identifizierung von Bedrohungen in IT-Systemen.