Zum Inhalt springen

PagelShield

Web- and Cloud Security Training Experts

Timo Pagel ist seit über fünfzehn Jahren in der IT-Branche unterwegs. Nach einer Laufbahn als System-Administrator und Web-Entwickler berät er Kunden als DevSecOps Consultant und Trainer. Dabei liegt der Fokus auf der Sicherheits-Test-Automation für Software und Infrastruktur und Bewertung von komplexen Anwendungen in der Cloud. In seiner Freizeit unterrichtet er „Web- und Applikationssicherheit“ an verschiedenen Fachhochschulen.​

Projekte

Die Sicherheit sollte Teil des gesamten Entwicklungs- und Betriebsprozesses sein. Es sind sicherheitsrelevante strategische, Design- und Implementierungsentscheidungen zu treffen. Als DevSecOps-Berater helfe ich Ihnen bei der Einführung und Aufrechterhaltung von Sicherheit in Ihrer Unternehmenskultur.

Strategische Planung / Einführung einer Sicherheitskultur

Die Einführung von Sicherheit in den Entwicklungslebenszyklus ist eine Reise und es sind strategische Entscheidungen zu treffen. Ich helfe dabei, die besten strategischen Cloud- und Sicherheitsentscheidungen zu treffen. Dazu gehören die folgenden Programme zur Skalierung der Sicherheit

  • Security Champions
  • Modellierung von Bedrohungen
  • Motivation für Sicherheit für Mitarbeiter auf allen Organisationsebenen

Assessments

Die kontinuierliche Messung mit OWASP SAMM oder meinem Projekt OWASP DevSecOps Maturity Model bietet die Möglichkeit, die nächsten Schritte zu planen.

Threat Modeling Program

Die Bedrohungsmodellierung ist ein wichtiger Bestandteil und sollte so früh wie möglich durchgeführt werden, um die Kosten für die Behebung sicherheitsrelevanter Probleme zu reduzieren. Abhängig von der Art des Projekts werden verschiedene Methoden wie STRIDE oder Cyber Kill Chain verwendet. Neben der Durchführung von Threat Modeling Workshops entwickle ich mit meinen Kunden Threat Modeling Programme.

Training / Workshops

Die meisten Sicherheits-Frameworks erfordern sicherheitsbezogene Schulungen für IT-Personal. Sicherheitsbewusste Entwickler und Bediener behalten die Sicherheit während ihrer regulären Arbeit im Auge, was zu viel weniger Sicherheitsproblemen führt. Bei einigen Kunden führe ich zweiwöchentlich ein Sicherheitstraining von bis zu anderthalb Stunden durch! In dieser Zeit besprechen wir sicherheitsrelevante organisatorische Themen oder Neuerungen und es wird eine sicherheitsrelevante Schulung durchgeführt.

Technische Überprüfung

IT-Systeme können sehr komplex werden, besonders in Cloud-Umgebungen. Die Überprüfung des Konzepts und der Implementierung, z. B. des Codes, ist eine gute Möglichkeit, um zu analysieren, ob die sicherheitsrelevanten Anforderungen erfüllt werden.

AppSec Program

Ein Application Security Program (kurz AppSec Program) beinhaltet die Integration von Sicherheit in den Software-Entwicklungszyklus. 

Trainings