Sicherheitslückenprüfung

Wem empfehlen wir die Software-Sicherheitsaudits?

  • Dem IT-Risikomanagement (z. B. CISO), das für die Prävention und Minderung der operationellen Risiken im Zusammenhang mit den Anwendungen verantwortlich ist, die Geschäftsprozesse implementieren.
  • Dem Management, welches verantwortlich für die Einhaltung der DSGVO ist, da der Schutz personenbezogener Daten zu einem großen Teil von der ordnungsgemäßen Software-Sicherheit abhängt.
  • Den Projektabteilungen der Produktion oder Bereitstellung von Software: die Entwicklungsteams oder die Geschäftseinheiten, die die Software verwenden.
  • Den internen Sicherheitsteams. Wenn keine internen Fähigkeiten zur Durchführung von Schwachstellenbewertungen vorhanden sind. Und selbst wenn es solche Fähigkeiten und internen Praktiken gibt, dass externe Penetrationstester normalerweise besser qualifiziert sind und über eine breitere Erfahrung verfügen.

Wozu ist das nötig?

  • Moderne Software ist zu komplex, um sicher zu sein, während sich die an der Softwareproduktion Beteiligten in der Regel auf die rechtzeitige Bereitstellung der Funktionen konzentrieren.
  • Sogar Software, die unter Berücksichtigung der Sicherheit erstellt wurde und in die CI / CD integrierte Sicherheitstests sollten vor Produktionsbeginn kontrolliert werden. Jede Hauptversion sollte getestet werden.
  • Die Diagnose von Sicherheitsproblemen muss frühzeitig erfolgen. Je früher ein Problem erkannt wird, desto einfacher kann es behoben werden und desto einfacher ist es, alle Auswirkungen der Architekturprobleme zu verbessern.
  • Es ist nötig, die Sicherheitsüberprüfungsteams zu wechseln, da erfahrungsgemäss die Art der Schwachstellen so ist, dass verschiedene Teams unterschiedliche Probleme finden / weglassen.

Was machen wir?

  • Softwareentwickler haben eine positive Einstellung, sie konzentrieren sich auf die gewünschte Funktionalität und deren beste Implementierung. In der Zwischenzeit haben Hacker eine Sicherheitsmentalität, die dazu neigt, herauszufinden, welche Programme ein hohes Missbrauchpotential haben (siehe B. Schneier). Sicherheitsprüfer helfen Ingenieuren, Management und Benutzern, ihre Assets unter dem Aspekt möglicher Schwachstellen zu betrachten.
  • Neben der Disposition und den Fähigkeiten, Sicherheitsprobleme zu entdecken, die wir in der Funktionsweise der Entwicklung von Unternehmenssoftware erfahren, sprechen wir die Fachsprache der Entwickler und schließen die Lücke zwischen Sicherheit und Entwicklung.
  • Unsere Prüfer sind Fachleute mit Autorität und langjähriger Erfahrung in der Produktion von Unternehmenssoftware: z. B. Sicherheitstester, die sich gut mit Codierung auskennen, oder leitende Entwickler, die Sicherheitstests und S-SDLC, eine Methode zur sicheren Produktion, gelernt haben.

Ihre Kontaktperson:

Ferenc Smohay

Dipl Ökonom, Dipl. IT und Internal Auditor Divisionsleiter Risikomanagement

Kontaktiere uns