Germany/Projekte/Top 10 fuer Entwickler-2013/Nächste Schritte für Organisationen

• Führen Sie einen Anwendungssicherheits-Leitfaden ein und sorgen Sie für dessen Verbreitung.
• Führen Sie eine Analyse durch, welche Fähigkeiten Ihrem Unternehmen nicht zur Verfügung stehenum wichtige Verbesserungsfelder bestimmen und einen Maßnahmenplan erstellen zu können.
• Führen Sie mit Zustimmung der Geschäftsleitung eine Kampagne zur Sensibilisierung für Fragen der Anwendungssicherheit für Ihre gesamte IT-Organisation durch.

• Erfassen und priorisieren Sie Ihr Anwendungsportfolio aus einer risiko-orientierten Perspektive.
• Entwickeln Sie ein Bewertungsmodell der Anwendungsrisiken, um die Wichtigkeit Ihrer Anwendungen bewerten und eine Rangfolge bilden zu können. Etablieren Sie einen Leitfaden, um den notwendigen Umfang der Maßnahmen zu bestimmen.
• Erstellen Sie ein Risikobewertungsmodell mit einem einheitlichen System von Wahrscheinlichkeiten und Auswirkungen, welches die Bereitschaft Ihrer Organisation berücksichtigt, Risiken einzugehen.

• Erstellen Sie Richtlinien und Standards für Anwendungssicherheit, die als Basis für alle betroffenen Entwicklungsteams dienen.
• Definieren Sie einen allgemeingültigen Satz wiederverwendbarer Sicherheitsmaßnahmen, die diese Richtlinien und Standards umsetzen und stellen Sie Nutzungsanweisungen für Design und Entwicklung bereit.
• Etablieren Sie einen Trainings-Plan für Anwendungssicherheit, das sich an den verschiedenen Entwicklungsaufgaben und Themenkomplexen orientiert.

Integrieren Sie Sicherheit in Ihre bestehenden Prozesse

• Legen Sie Ihre Sicherheitsaktivitäten bzgl. Implementierung und Verifikation fest und integrieren Sie diese in existierende Entwicklungs- und Anwendungsprozesse. Diese umfassen die Modellierung der Bedrohungen, Sicheres Design, Code & Review, Penetrationstests und Mängelbeseitigung.
• Stellen Sie Experten und unterstützende Dienste bereit, die die Entwickler und die Projektteams bei der erfolgreichen Umsetzung unterstützen.

• Arbeiten Sie mit Metriken. Treiben Sie Verbesserungs- und Budget-Entscheidungen voran, die auf diesen Metriken und Analysedaten beruhen. Solche Metriken umfassen die Beachtung von Sicherheitsmaßnahmen und -aktivitäten, neue oder entschärfte Sicherheitslücken, erfasste Anwendungen, Art und Anzahl von Sicherheitsschwachstellen etc.
• Analysieren Sie Ihre Implementations- und Prüfungsaktivitäten hinsichtlich der Hauptursachen und Muster für Sicherheitslücken. Treiben Sie so strategische und systemische Verbesserungen in Ihrer Organisation voran. Setzen Sie dabei positive Anreize.