Difference between revisions of "Germany/Projekte/Top 10 fuer Entwickler-2013/Nächste Schritte für Organisationen"

• Führen Sie einen Anwendungssicherheits-Leitfaden ein und sorgen Sie für dessen Verbreitung.
• Führen Sie eine Analyse durch, welche Fähigkeiten Ihrem Unternehmen nicht zur Verfügung stehen, um wichtige Verbesserungsfelder bestimmen und einen Maßnahmenplan erstellen zu können.
• Führen Sie mit Zustimmung der Geschäftsleitung eine Kampagne zur Sensibilisierung bezüglich Fragen der Anwendungssicherheit für Ihre gesamte IT-Organisation durch.

• Erfassen und priorisieren Sie Ihr Anwendungsportfolio aus einer risiko-orientierten Perspektive.
• Entwickeln Sie ein Modell der Anwendungsrisiken, um die Bedeutung Ihrer Anwendungen zu bestimmen und eine Rangfolge zu bilden. Etablieren Sie einen Leitfaden, um den notwendigen Umfang der Maßnahmen zu bestimmen.
• Erstellen Sie ein Risikobewertungsmodell mit einem einheitlichen System von Wahrscheinlichkeiten und Auswirkungen, welches die Besonderheiten Ihrer Organisation berücksichtigt.

• Erstellen Sie Richtlinien und Standards, die als Basis für alle betroffenen Entwicklungsteams dienen.
• Definieren Sie einen allgemeingültigen Satz wiederverwendbarer Sicherheitsmaßnahmen, die diese Richtlinien und Standards umsetzen und stellen Sie Nutzungsanweisungen für Design und Entwicklung bereit .
• Etablieren Sie ein Trainings-Curriculum für Anwendungssicherheit, das sich an den verschiedenen Entwicklungsaufgaben und Themenkomplexen orientiert.

sicherer Software-Entwicklungsprozess: Integrieren Sie Sicherheit in Ihre bestehenden Prozesse

• Legen Sie Ihre Sicherheitsaktivitäten bzgl. Implementierung und Verifikation fest und integrieren Sie diese in existierende Entwicklungs- und Anwendungsprozesse. Diese Aktivitäten umfassen die Modellierung der Bedrohungen, Absicherung von Design, Code & Review, Pentests, Mängelbeseitigung etc.
• Stellen Sie Experten und unterstützende Dienste bereit, die die Entwickler und die Projektteams bei der erfolgreichen Umsetzung unterstützen.

• Arbeiten Sie mit Metriken. Treiben Sie Verbesserungs- und Grundlagenentscheidungen voran, die auf Metriken und Analysedaten beruhen. Solche Metriken umfassen die Beachtung von Sicherheits-umsetzungen und -aktivitäten, neue oder entschärfte Sicherheitslücken, erfasste Anwendungen etc.
• Analysieren Sie Ihre Implementations- und Prüfungsaktivitäten hinsichtlich der Hauptursachen und Muster für Sicherheitslücken. Treiben Sie so strategische und systemische Verbesserungen in Ihrer Organisation voran.