Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Transcriptie

1 Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV

2 Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan

3 1. Web Applicatie Security Audit Audit van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken wij gespecialiseerde softwaretools (IBM Rational Appscan ) waarvoor wij gecertificeerd zijn. Duidelijke rapportage van de zwakke plekken in de applicatie en een advies hoe die te verhelpen zijn. Assistentie bij aanpassen van de broncode

4 Onze aanpak: Sebyde Security Cycle Controleer Realiseer Evalueer Analyseer

5 Sebyde Web Application Security Audit Controleren: het scannen van de web applicatie. IBM s Rational Appscan Simulatie van een serieuze externe aanval. Evalueren van de scan. Rapport over kwetsbaarheden Executive summary - Gedetailleerde informatie Analyse hoe de gevonden lekken moeten worden gedicht. Welke maatregelen? Prioriteiten? Andere factoren? Identification? Authentication?

6 Vervolgstap: Aanpassen programmacode Realiseren: aanpassen van de programmatuur. Assistentie bij aanpassen van de broncode Programmeur?

7 Voordelen Web Applicatie Vulnerability Audit Governance Controle Security awareness Risico s Secure applicaties Betere kwaliteit software Compliance Security audit Industry standard reports Efficiency Business continuity Minder incidenten Minder systeemuitval Kosten Lagere development kosten Geen herstelwerkzaamheden Geen verloren business Reputatie

8 Eenmalig / Abonnement Eénmalige Audit Bespreking van de requirements Audit van de web applicatie Uitlevering Rapport / Advies Abonnementen Kwartaalabonnementen (4 x per jaar) Maandabonnementen (12 x per jaar) Tailor made

9 Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan

10 2. Secure Development Voor welke bedrijven? SaaS service met regelmatige audits door IBM uitgevoerd Web Application Security audits in eigen beheer Opname van Application Security testing in ontwikkelomgeving Multi-user, meerdere applicaties testen met centrale rapportage Sebyde BV Advies Implementatie Training

11 IBM Rational AppScan Outsourced Audits In-House Audits Development Integratie Enterprise Rational Appscan OnDemand Rational Appscan Standard Edition Rational Appscan Build Edition Rational Appscan Enterprise Edition Rational Appscan Tester Edition Rational Appscan Source Edition Rational Appscan Reporting Console Een Software as a Service (SAAS) versie van rational appscan. De service wordt gerunned in de cloud door een team van IBM experts die op gezette tijden uw applicatie scannen. Bedoeld voor bedrijven die geen eigen expertise kunnen en willen opbouwen. Dynamische analyse security testen (DAST) of black-box testen van uw web applicatie vanaf een desktop. Bedoeld voor bedrijven die zelf hun web applicaties willen testen. Statische analyse security testen (SAST) of white-box testen om kwetsbaarheden in de source code van uw applicatie te ontdekken. Bijvoorbeeld om uw testprocedures uit te breiden. Een multi user omgeving waarin simultaan meerdere applicaties kunnen worden gescanned. Met een centrale rapportage omgeving.

12 Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan

13 3. Security Awareness Training Halve dag sessie bij de klant aan huis Awareness op het gebied van security Medewerkers bewust maken van de risico s en gevaren van het werken met informatiesystemen en vertrouwelijke (bedrijfs)informatie. Uitleg van vele security gerelateerde zaken die het bedrijfsproces kunnen verstoren Herkennen van mogelijke risico s Weten wat te doen bij een incident Stimuleert risico-verlagend gedrag Meenemen van security aspecten in de dagelijkse activiteiten

14 Onderwerpen die behandeld worden Inleiding Informatiebeveiliging Wat is informatie, Gevolgen van verlies van informatie, Beveiligingsbewustzijn, Waarde van informatie, Wie lopen risico, Welke processen zijn kwetsbaar, Wie is verantwoordelijk, 8 stappen proces Dagelijkse risico s Mogelijke bedreigingen en gevolgen, Fysieke toegang, Logische toegang, informatieafval 9Dumpster Diving), Laptop Diefstal, Wachtwoorden (Passwords), Malware (Virussen, Worms, Trojans), Clean Desktop policy, Social Engineering (Phishing, Pharming, Shoulder Surfing) Internetgebruik Firewalls, Software, netwerken, , Veilig Surfen, veilig Chatten Privacy Wat is Privacy, Internet en privacy, Wet- en Regelgeving, Compliance Maatregelen

15 Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan

16 4. Security Quick Scan Samen met de klant houden we verschillende aspecten van Security tegen het licht 3 fases Invullen van Sebyde Security Quick Scan Questionnaire Gesprek met Security expert van Sebyde Afleveren van rapport over de status quo Goede manier om te checken of alle policies die in gebruik zijn nog wel afdoende zijn of bijgewerkt dienen te worden.

17 Overview Sebyde services Mensen Awareness Algemeen Developers Sebyde Secure by Design Processen Security quick scan Secure Development Techniek Audit Cycle Software services

18 Hartelijk dank Rob Koch Derk Yntema AUG 2012 Sebyde BV