Szymon Dowgwillowicz-Nowicki, profile picture
Uploaded bySzymon Dowgwillowicz-Nowicki
376 views

2012 Premium Technology usługi bezpieczeństwa teleinformatycznego

SDLC = Secure Development Life-Cycle

Technology
Related topics:
Secure Development

Embed presentation

Rational Unified Process Usługi in Action bezpieczeństwa teleinformatycznego Szymon Dowgwiłłowicz-Nowicki Styczeń 2012 roku
Usługa Audytu Zabezpieczeń Wprowadzenie: testowania bezpieczeostwa systemów i aplikacji, nadzoru, kontroli i badania polityk zabezpieczeo, kontroli zgodności Audytor Audytor Audytor (desktop) (web client) zewnętrzny (web/desktop/ remote) Automatyczne Skalowalnośd Testowanie Szerokie Zabezpieczeo Raportowanie  Kompleksowy outsourcing usług audytu technicznego: ◦ Kompetentny monitoring ◦ Precyzyjne raportowanie ◦ Wypełnianie postulatów zgodności (przepisy, ustawy) ◦ Znacząco ogranicza potrzebę badania wewnętrznego, zwalnia zasoby ◦ Testowanie aplikacji zautomatyzowane i uzasadnione kosztowo ◦ Kompletna ochrona firmowych usług informatycznych
Bezpieczeństwo sieci  Projektowanie  Implementacja  Audyty – protokoły (sieci/dane)  Analiza architektury  Testy zabezpieczeń sieci  Coaching  Szkolenia  RAPORTOWANIE  Ciągłość działania  Wysoka dostępność
Bezpieczeństwo aplikacji  Testy bezpieczeństwa  Analiza podatności  Rekomendacje naprawcze  Model oparty na sesji  Pen-Testing  Coaching  Szkolenia  RAPORTOWANIE  Badanie zgodności (ustawy)  Dane osobowe / wrażliwe
Bezpieczeństwo informatyczne  Audyty bezpieczeństwa  Testy bezpieczeństwa aplikacji  Bezpieczny Cykl Rozwoju Oprogramowania (SDL)  Zarządzanie tożsamością  Badanie zabezpieczeń sieci  Projektowanie zabezpieczeń  Analiza podatności zabezpieczeń  Rekomendacje naprawcze  Pen-Testing  Badanie zgodności  Coaching / Szkolenia
Bezpieczeństwo Aplikacji Horyzont Bezpieczeństwa IBM ISS IBM Rational AppScan Desktop Transport Sieć Aplikacje Webowe Antywirus/ Enkrypcja Firewall’e IPS (SSL) Zaawansowane Routery Firewall Serwery Serwer Aplikacji Główny Rozwiązania Bezpieczeństwa Aplikacyjnego i Bazy Serwery Web Sieciowego dotyczą innych problemów Danych 6 Copyright © 2009 Premium Technology Sp. z o.o. All rights reserved.
Bezpieczeństwo, zgodność i jakość Korzyści wprowadzenia badania bezpieczeństwa i zgodności jako integralnej części zarządzania jakością Korzyść Problemy Zapewnienie integralności zanim aplikacje trafią do użytkowania poprzez wprowadzenie testowania zabezpieczeń do cyklu życia w Koszty naprawy w stosunku do ilości przełamań zarządzaniu jakością oprogramowania ochrony - w tym koszt odwrócenia negatywnego wpływu na wizerunek organizacji oraz jej relacji z klientami Zmniejszenie konsekwencji prawnych i Rosnące koszty wypełniania wymagań poprawa satysfakcji klienta poprzez standardów zgodności oraz potrzeba wprowadzenie badania zgodności i badania specjalistycznej konsultacji zawartości (polityk) do istniejących testów wydajnościowych i innych (QA) Niedojrzałość technologiczna – „ Posiadamy dobre opanowanie strony sieciowej, ale potrzebujemy zaufanego partnera, żeby Wdrożenie zasadniczej części zabezpieczeń rozpocząć ochronę najbardziej podatnych organizacji będącej uzupełnieniem ochrony aplikacji webowych ” aplikacji webowych na poziomie sieciowym
Adaptacyjność procesu wytwórczego i testów Definicja/ Projekt • Wymagania bezpieczeństwa, Rozwój architektura, modelowanie zagrożeń • Testowanie w kierunku bezpieczeństwa identyfikacja problemów w jak najwcześniejszej fazie • Optymalna pozycja testów w Produkcja procesie (redukcja kosztów) • Testowanie istniejących aplikacji • Eliminacja podatności w istniejących aplikacjach Deployment • Testowanie przed produkcją Testowanie • Testowanie oprogramowania w procesie • Deloyment bezpiecznych aplikacji QA na równi z testami funkcjonalnymi i wydajnościowymi • Redukcja kosztów testowania zabezpieczeń *Graphics from OWASP.com
Jaki jest koszt błędu oprogramowania? 80% kosztów developmentu wydaje się na identyfikację i korektę błędów Po opublikowaniu W fazie testów/ produktu zapewnienia jakości $16,000/błąd (QA) Podczas kompilacji $450/błąd Podczas $100/błąd kodowania $25/błąd Wzrastający koszt naprawy błędu oprogramowania
Rezultat stosowania SDLC w procesie wytwórczym SDLC = Secure Development Life-Cycle Podstawowe cele bezpieczeństwa aplikacji webowych 1. Zarządzanie ryzykiem za pomocą audytów bezpieczeństwa 2. Poprawa efektywności poprzez testowanie Nowa najwcześniej w procesie wytwórczym jakość Wyzwanie dla audytorów bezpieczeństwa – Odpowiedzialni za zarządzanie ryzykiem organizacji wynikającym z udostępnienia aplikacji on-line – Ograniczenie zasobów (przez budżet i kompetencje) pomocnych w zapewnieniu ochrony na czas – Wynik ogranicza ilość cykli procesu wytwórczego Rozwiązanie – Zaangażować więcej testerów im wcześniej w procesie wytwórczym tym lepiej Copyright © 2009 Premium Technology Sp. z o.o. All rights reserved.
Wprowadzanie SDLC do procesu wytwórczego SDLC = Secure Development Life-Cycle SDLC Bezpieczeń- Kodowanie Kompilacja Jakość (QA) Produkcja -stwo Pozwala na efektywne Deweloperzy wprowadzenie napraw kwestii bezpieczeństwa do procesu wytwórczego Deweloperzy Zapewnia wykrycie i załatwienie problemu zagrożeń przed skierowaniem Deweloperzy Dostarcza deweloperom i testerom aplikacji do wiedzy, wykrywa podatności produkcji i sugeruje możliwości naprawy
Podsumowanie Zarządcze • Bezpieczeństwo aplikacji pozostaje nadal na szczycie piramidy zagrożeń • Wymagania prawne (np. PCI), potrzeby użytkowników (Web 2.0) oraz modernizacja architektury organizacyjnej (SOA) uświadamiają oraz wzmacniają potrzebę testowania zabezpieczeń • Wysoki koszt i niskie pokrycie ochrony reaktywnej (infrastruktura) kierują firmy ku innym rozwiązaniom – zabezpieczanie aplikacji na ich poziomie i od wewnątrz w procesie bezpiecznego rozwoju oprogramowania (SDLC) • Tradycyjne podejście nie wystarcza by zapewnić bezpieczeństwo podczas rozwoju oprogramowania ze względu na ryzyko projektowe i niebezpieczeństwo porażki projektu SDLC wprowadza nowe innowacyjne Zespół Security podejście polegające na integrację Koszt / testowania bezpieczeństwa w Trudnośd procesie rozwoju oprogramowania, Operacje / dostarcza najdokładniejsze oraz Infrastruktura łatwe w użyciu rozwiązanie Czas
Jak funkcjonuje Technologia WebApp SEC? Prywatność Jakość Bezpieczeństwo Standardy Zgodność 1 2 3 Skanowanie Analiza Raportowanie szczegółowe, gotowe do prowadzenia naprawy
Dziękuję za uwagę Szymon Dowgwiłłowicz-Nowicki sdow@premiumtechnology.pl 601.890.080 Copyright © 2011 Premium Technology Sp. z o.o. All rights reserved.

More Related Content

PPT
Analiza i ocena jakości współczesnych systemów operacyjnych
byguest84f9115
 
PPTX
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
bySzymon Dowgwillowicz-Nowicki
 
PPTX
OWASP ASVS 3.1 EA PL - YetiForce
byPabiszczak Błażej
 
PPTX
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
byOWASP
 
PPTX
Analiza nowej Rekomendacji D pod kątem metodologii testowania
byQualityIn.IT
 
PPT
Jakość Oprogramowania Oraz Modele Procesu Produkcji Oprogramowania Prezentacja
byguestb2a82c
 
PDF
Legia warszawa - sekcja koszykówki (oferta 12 mini - legionisci.com)
byPiotr Galas
 
PDF
Experiago - prezenty biznesowe i eventy dla firm
byExperiago
 
Analiza i ocena jakości współczesnych systemów operacyjnych
byguest84f9115
 
IBM Security AppScan Introduction - Horyzont bezpieczeństwa aplikacji webowych
bySzymon Dowgwillowicz-Nowicki
 
OWASP ASVS 3.1 EA PL - YetiForce
byPabiszczak Błażej
 
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
byOWASP
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
byQualityIn.IT
 
Jakość Oprogramowania Oraz Modele Procesu Produkcji Oprogramowania Prezentacja
byguestb2a82c
 
Legia warszawa - sekcja koszykówki (oferta 12 mini - legionisci.com)
byPiotr Galas
 
Experiago - prezenty biznesowe i eventy dla firm
byExperiago
 

Similar to 2012 Premium Technology usługi bezpieczeństwa teleinformatycznego

PPT
Prezentacja
bytomasz
 
PPTX
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
bySecuRing
 
PDF
Crowdsourcing testowania aplikacji i serwisów webowych, czyli testowanie 2.0
byDamian Szczurek
 
PDF
Head First Software Development. Edycja polska
byWydawnictwo Helion
 
PPTX
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
bySecuRing
 
PPTX
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
bySecuRing
 
PDF
Certyfikacja_a_Kariera_IT_SelfCaseStudy
byTobias Koprowski
 
PDF
Zarządzanie siecią, kluczem do efektywnego wykorzystania infrastruktury
byJakub Mazurkiewicz
 
PDF
Certyfikacja_a_kariera_w_IT_SelfCaseStudy
byTobias Koprowski
 
PPTX
Microsoft-Certyfikacja Aplikacji
byMichal Zylinski
 
PDF
Certyfikacja a Kariera IT - Self Case Study
byTobias Koprowski
 
PPTX
Przyszłość IT. Marcin Wesołowski.
byEureka Technology Park / Eureka Hub
 
PDF
Certyfikacja a Kariera w IT - Self Case Study
byTobias Koprowski
 
PPTX
Presentation from CyberGov.pl 2015
byPawel Krawczyk
 
PDF
4developers utrzymanie bezpieczenstwa
bySecuRing
 
PDF
Usługi elektroniczne, Platforma Uslug Elektronicznych, ZUS - Marcin Grzanka
byWydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
PDF
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
byecommerce poland expo
 
PDF
To tylko drobna awaria
byJakub Mazurkiewicz
 
PDF
Software Quality Characteristics v1.1 PL
byRadoslaw Smilgin
 
PPTX
Ryszard Dałkowski: "Nowoczesne formy zarządzania z wykorzystaniem chmury"
bySektor 3.0
 
Prezentacja
bytomasz
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
bySecuRing
 
Crowdsourcing testowania aplikacji i serwisów webowych, czyli testowanie 2.0
byDamian Szczurek
 
Head First Software Development. Edycja polska
byWydawnictwo Helion
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
bySecuRing
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
bySecuRing
 
Certyfikacja_a_Kariera_IT_SelfCaseStudy
byTobias Koprowski
 
Zarządzanie siecią, kluczem do efektywnego wykorzystania infrastruktury
byJakub Mazurkiewicz
 
Certyfikacja_a_kariera_w_IT_SelfCaseStudy
byTobias Koprowski
 
Microsoft-Certyfikacja Aplikacji
byMichal Zylinski
 
Certyfikacja a Kariera IT - Self Case Study
byTobias Koprowski
 
Przyszłość IT. Marcin Wesołowski.
byEureka Technology Park / Eureka Hub
 
Certyfikacja a Kariera w IT - Self Case Study
byTobias Koprowski
 
Presentation from CyberGov.pl 2015
byPawel Krawczyk
 
4developers utrzymanie bezpieczenstwa
bySecuRing
 
Usługi elektroniczne, Platforma Uslug Elektronicznych, ZUS - Marcin Grzanka
byWydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 
Artur Pajkert OGICOM.PL ShopCamp 1.4 Warszawa
byecommerce poland expo
 
To tylko drobna awaria
byJakub Mazurkiewicz
 
Software Quality Characteristics v1.1 PL
byRadoslaw Smilgin
 
Ryszard Dałkowski: "Nowoczesne formy zarządzania z wykorzystaniem chmury"
bySektor 3.0
 

2012 Premium Technology usługi bezpieczeństwa teleinformatycznego

  • 1.
    Rational Unified Process Usługi in Action bezpieczeństwa teleinformatycznego Szymon Dowgwiłłowicz-Nowicki Styczeń 2012 roku
  • 2.
    Usługa Audytu Zabezpieczeń Wprowadzenie: testowania bezpieczeostwa systemów i aplikacji, nadzoru, kontroli i badania polityk zabezpieczeo, kontroli zgodności Audytor Audytor Audytor (desktop) (web client) zewnętrzny (web/desktop/ remote) Automatyczne Skalowalnośd Testowanie Szerokie Zabezpieczeo Raportowanie  Kompleksowy outsourcing usług audytu technicznego: ◦ Kompetentny monitoring ◦ Precyzyjne raportowanie ◦ Wypełnianie postulatów zgodności (przepisy, ustawy) ◦ Znacząco ogranicza potrzebę badania wewnętrznego, zwalnia zasoby ◦ Testowanie aplikacji zautomatyzowane i uzasadnione kosztowo ◦ Kompletna ochrona firmowych usług informatycznych
  • 3.
    Bezpieczeństwo sieci  Projektowanie  Implementacja  Audyty – protokoły (sieci/dane)  Analiza architektury  Testy zabezpieczeń sieci  Coaching  Szkolenia  RAPORTOWANIE  Ciągłość działania  Wysoka dostępność
  • 4.
    Bezpieczeństwo aplikacji  Testy bezpieczeństwa  Analiza podatności  Rekomendacje naprawcze  Model oparty na sesji  Pen-Testing  Coaching  Szkolenia  RAPORTOWANIE  Badanie zgodności (ustawy)  Dane osobowe / wrażliwe
  • 5.
    Bezpieczeństwo informatyczne  Audyty bezpieczeństwa  Testy bezpieczeństwa aplikacji  Bezpieczny Cykl Rozwoju Oprogramowania (SDL)  Zarządzanie tożsamością  Badanie zabezpieczeń sieci  Projektowanie zabezpieczeń  Analiza podatności zabezpieczeń  Rekomendacje naprawcze  Pen-Testing  Badanie zgodności  Coaching / Szkolenia
  • 6.
    Bezpieczeństwo Aplikacji Horyzont Bezpieczeństwa IBM ISS IBM Rational AppScan Desktop Transport Sieć Aplikacje Webowe Antywirus/ Enkrypcja Firewall’e IPS (SSL) Zaawansowane Routery Firewall Serwery Serwer Aplikacji Główny Rozwiązania Bezpieczeństwa Aplikacyjnego i Bazy Serwery Web Sieciowego dotyczą innych problemów Danych 6 Copyright © 2009 Premium Technology Sp. z o.o. All rights reserved.
  • 7.
    Bezpieczeństwo, zgodność ijakość Korzyści wprowadzenia badania bezpieczeństwa i zgodności jako integralnej części zarządzania jakością Korzyść Problemy Zapewnienie integralności zanim aplikacje trafią do użytkowania poprzez wprowadzenie testowania zabezpieczeń do cyklu życia w Koszty naprawy w stosunku do ilości przełamań zarządzaniu jakością oprogramowania ochrony - w tym koszt odwrócenia negatywnego wpływu na wizerunek organizacji oraz jej relacji z klientami Zmniejszenie konsekwencji prawnych i Rosnące koszty wypełniania wymagań poprawa satysfakcji klienta poprzez standardów zgodności oraz potrzeba wprowadzenie badania zgodności i badania specjalistycznej konsultacji zawartości (polityk) do istniejących testów wydajnościowych i innych (QA) Niedojrzałość technologiczna – „ Posiadamy dobre opanowanie strony sieciowej, ale potrzebujemy zaufanego partnera, żeby Wdrożenie zasadniczej części zabezpieczeń rozpocząć ochronę najbardziej podatnych organizacji będącej uzupełnieniem ochrony aplikacji webowych ” aplikacji webowych na poziomie sieciowym
  • 8.
    Adaptacyjność procesu wytwórczegoi testów Definicja/ Projekt • Wymagania bezpieczeństwa, Rozwój architektura, modelowanie zagrożeń • Testowanie w kierunku bezpieczeństwa identyfikacja problemów w jak najwcześniejszej fazie • Optymalna pozycja testów w Produkcja procesie (redukcja kosztów) • Testowanie istniejących aplikacji • Eliminacja podatności w istniejących aplikacjach Deployment • Testowanie przed produkcją Testowanie • Testowanie oprogramowania w procesie • Deloyment bezpiecznych aplikacji QA na równi z testami funkcjonalnymi i wydajnościowymi • Redukcja kosztów testowania zabezpieczeń *Graphics from OWASP.com
  • 9.
    Jaki jest kosztbłędu oprogramowania? 80% kosztów developmentu wydaje się na identyfikację i korektę błędów Po opublikowaniu W fazie testów/ produktu zapewnienia jakości $16,000/błąd (QA) Podczas kompilacji $450/błąd Podczas $100/błąd kodowania $25/błąd Wzrastający koszt naprawy błędu oprogramowania
  • 10.
    Rezultat stosowania SDLCw procesie wytwórczym SDLC = Secure Development Life-Cycle Podstawowe cele bezpieczeństwa aplikacji webowych 1. Zarządzanie ryzykiem za pomocą audytów bezpieczeństwa 2. Poprawa efektywności poprzez testowanie Nowa najwcześniej w procesie wytwórczym jakość Wyzwanie dla audytorów bezpieczeństwa – Odpowiedzialni za zarządzanie ryzykiem organizacji wynikającym z udostępnienia aplikacji on-line – Ograniczenie zasobów (przez budżet i kompetencje) pomocnych w zapewnieniu ochrony na czas – Wynik ogranicza ilość cykli procesu wytwórczego Rozwiązanie – Zaangażować więcej testerów im wcześniej w procesie wytwórczym tym lepiej Copyright © 2009 Premium Technology Sp. z o.o. All rights reserved.
  • 11.
    Wprowadzanie SDLC doprocesu wytwórczego SDLC = Secure Development Life-Cycle SDLC Bezpieczeń- Kodowanie Kompilacja Jakość (QA) Produkcja -stwo Pozwala na efektywne Deweloperzy wprowadzenie napraw kwestii bezpieczeństwa do procesu wytwórczego Deweloperzy Zapewnia wykrycie i załatwienie problemu zagrożeń przed skierowaniem Deweloperzy Dostarcza deweloperom i testerom aplikacji do wiedzy, wykrywa podatności produkcji i sugeruje możliwości naprawy
  • 12.
    Podsumowanie Zarządcze •Bezpieczeństwo aplikacji pozostaje nadal na szczycie piramidy zagrożeń • Wymagania prawne (np. PCI), potrzeby użytkowników (Web 2.0) oraz modernizacja architektury organizacyjnej (SOA) uświadamiają oraz wzmacniają potrzebę testowania zabezpieczeń • Wysoki koszt i niskie pokrycie ochrony reaktywnej (infrastruktura) kierują firmy ku innym rozwiązaniom – zabezpieczanie aplikacji na ich poziomie i od wewnątrz w procesie bezpiecznego rozwoju oprogramowania (SDLC) • Tradycyjne podejście nie wystarcza by zapewnić bezpieczeństwo podczas rozwoju oprogramowania ze względu na ryzyko projektowe i niebezpieczeństwo porażki projektu SDLC wprowadza nowe innowacyjne Zespół Security podejście polegające na integrację Koszt / testowania bezpieczeństwa w Trudnośd procesie rozwoju oprogramowania, Operacje / dostarcza najdokładniejsze oraz Infrastruktura łatwe w użyciu rozwiązanie Czas
  • 13.
    Jak funkcjonuje TechnologiaWebApp SEC? Prywatność Jakość Bezpieczeństwo Standardy Zgodność 1 2 3 Skanowanie Analiza Raportowanie szczegółowe, gotowe do prowadzenia naprawy
  • 14.
    Dziękuję za uwagę Szymon Dowgwiłłowicz-Nowicki sdow@premiumtechnology.pl 601.890.080 Copyright © 2011 Premium Technology Sp. z o.o. All rights reserved.