Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Carsten Marmulla Bochum,

Veröffentlicht von:Margarete Raske Geändert vor über 6 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Carsten Marmulla Bochum,"—  Präsentation transkript:

1

2 Carsten Marmulla Bochum, 27.03.2019
DevSecOps & Security Automation: Agile Sicherheit und pragmatische Lösungsansätze Carsten Marmulla Bochum,

3 Agenda Wer sind wir? Was können wir? Status Quo
Digitale Transformation Paradigmenwechsel Agile Security Lösungsansätze Fazit

4 Wer sind wir? Gegründet 2018 Standorte: Essen und Köln
Fokus: Cyber Security Advisory, Consulting und Research Branchenerfahrung: Telekommunikation, Informationstechnologie, Logistik, Finanzdienstleistungen, Gesundheitswesen, Energie, u.a.

5 Wer sind wir? Carsten Marmulla Managing Partner Senior Trusted Advisor
Standort Essen Jan Sudmeyer Managing Partner Senior Trusted Advisor Standort Köln Projekt- und Beratungserfahrung: >20 Jahre Themenschwerpunkte: Information Security Management IT Service Management IT Governance/Risk/Compliance Management Data Privacy und Data Protection Zertifizierungen: Certified Information Security Manager (CISM), ISO Auditor, ITIL v3, COBIT 5 Practitioner, PRINCE2 Practitioner, Professional Scrum Master Projekt- und Beratungserfahrung: >10 Jahre Themenschwerpunkte: Projekt- und Information Security Management Risk Assessments, Security Architecture, Security Engineering Data Privacy und Data Protection Fraud Management, Sicherheits- und Notfallmanagement Zertifizierungen: Certified Information Systems Security Professional (CISSP), ISO Foundation, ITIL v3, COBIT 5 Foundation, PRINCE 2 Practitioner

6 Was können wir? Information Security Management
Wegweisende Konzepte auf Basis langjähriger Expertise und Best-Practise. Governance, Risk, Compliance Beratung des Managements im GRC Kontext auf Basis der spezifischen Anforderungen. Business Continuity Aufrechterhaltung und Wiederherstellung des Geschäftsbetriebs nach Security Incidents. Security Automation Automatisierte Lösungen für das Security Management in agilen Entwicklungsprozessen und im Incident Response. Agile Security Integration des agilen Software Development Lifecycle in das vorhandene Security Management (Secure SDLC). DevSecOps Transformation zu DevSecOps durch geräuschlose Integration von Security Controls in die DevOps und CI/CD Pipeline. Data Privacy Protection Evaluation relevanter Datenschutzvorgaben und Sicherstellung der Compliance (z.B. BDSG und DSGVO). Cyber Resilience Schutz vor Cyber Attacken und Steigerung der Widerstandskraft gegen Angriffe auf die Informationssicherheit. Security Research Evaluation aktueller Security Entwicklungen und neuartiger Angriffsszenarien sowie Ableitung von Abwehrstrategien.

7 „There are only two types of companies: those, that have been hacked, and those, who don’t know, they have been hacked.“ — John T. Chambers

8 Status Quo INNOVATION

9 Status Quo

10 Digitale Transformation
Unternehmen unterliegen globalem Wettbewerbsdruck Innovative Technologieansätze versprechen... Effizienzgewinne, höhere Umsetzungsgeschwindigkeit, Kostenreduktion, neue (datengetriebene) Geschäftsmodelle.

11 Digitale Transformation
In erster Linie: Gesamtheitlicher Veränderungsprozess (Change Management) Primär zu definieren: Zweck (Motivation) und Ziel (Erwartung) Nicht ausschließlich Technologiewandel

12 Paradigmenwechsel Infrastrukturwandel:
„On-Premise“ (Rechenzentrum)  Cloud Services Entwicklungs- und Releasemethodik: Klassische Releaseplanung  Agile Methoden Änderung der „Enterprise Architecture“: Multi-Tier-Architekturen  Microservices / Container / Serverless

13 „Heutezutage ist alles Code.“
Paradigmenwechsel „Heutezutage ist alles Code.“ Software-defined networking (inkl. Switches, Gateways/Firewalls) Software-defined storage ... „Infrastructure as Code“ (e.g. Terraform)

14 Agile Security Was bedeutet das für “Security“?
Geschwindigkeitsanforderung steigt Perimetersicherheit funktioniert nicht mehr (uneingeschränkt) Penetrationstests helfen nicht mehr Prozesse müssen flexibel und dynamisch werden Bewegliche Zielarchitektur (volatile Infrastruktur, „moving target“) Klassisches Patch Management uneffektiv Standardisierung und Automatisierung notwendig

15 Lösungsansätze „Shift Left“-Ansatz Dev(Sec)Ops-Methodik
Statische/Dynamische Code Analyse (SAST/DAST) (Secure) Software Development Lifecycle (SDLC/SSDLC) Continuous Security Monitoring Security Automation

16 Lösungsansätze Quelle:

17

18 Lösungsansätze Quelle:

19 Lösungsansätze BIZ DEV OPS SEC Functional Requirements User Stories
Infrastructure as Code Continuous Integration Continuous Deployment Agile Development Methods (Scrum, Kanban, Agile, ...) Test Cases, Acceptance Criteria, Test Automation IT Service Operations (see ITIL), Infrastructure Management Logging & Monitoring, Utilization & Capacity Management Patch Management Decommisioning SEC Compliance Requirements Security Measures & Controls Security by design Privacy by design Development Guidelines, Secure Development, Awareness Security Test Cases & AC Security Test Automation (SAST/DAST, Code Audit, ...) Hardening Infrastructure Artifacts Secure Software Development Lifecycle Management Continuous Security Monitoring Periodic Security Testing & Vulnerability Management Infrastructure hardening Security Incident & Event Management

20 Lösungsansätze Verwendung von anerkannten „Best Practices“ und „Blueprints“ Frühzeitiges Aufsetzen einer „Governance“ Nutzung von Kontrollen zur Effizienzmessung Standardisierung und Automatisierung Management von Sicherheit ist ein kontinuierlicher Prozess

21 Lösungsansätze Verwendung von anerkannten „Best Practices“ und „Blueprints“ Frühzeitiges Aufsetzen einer „Governance“ Nutzung von Kontrollen zur Effizienzmessung Standardisierung und Automatisierung Management von Sicherheit ist ein kontinuierlicher Prozess DAS WICHTIGSTE: KEINE ZEIT VERLIEREN UND HEUTE STARTEN

22 „If everything seems under control, you're not going fast enough
„If everything seems under control, you're not going fast enough.” — Mario Andretti

23 carmasec Limited & Co. KG
Ruhrallee 185 45136 Essen Germany Phone: Fax: Web: +49 (0) +49 (0)

Herunterladen ppt "Carsten Marmulla Bochum,"

Ähnliche Präsentationen

<<Presentation Title>>

<<Presentation Title>>
Sicherheit als Geschäftsmodell

Sicherheit als Geschäftsmodell
Informationsmanagement. © Prof. T. Kudraß, HTWK Leipzig Konzepte des Informationsmanagements Problemorientierte Ansätze Aufgabenorientierte Ansätze Prozessorientierte.

Informationsmanagement. © Prof. T. Kudraß, HTWK Leipzig Konzepte des Informationsmanagements Problemorientierte Ansätze Aufgabenorientierte Ansätze Prozessorientierte.
Agenda 13: Begrüßung & Einführung in das Thema

Agenda 13: Begrüßung & Einführung in das Thema
Archival and Discovery

Archival and Discovery
IT – Governance Einführung.

IT – Governance Einführung.
Fünf Gründe, warum Sie noch einmal über UC nachdenken sollten November 2013.

Fünf Gründe, warum Sie noch einmal über UC nachdenken sollten November 2013.
Mobilität im Gesundheitswesen

Mobilität im Gesundheitswesen
Thomas Schissler – artiso solutions GmbH Artur Speth – Microsoft Deutschland GmbH.

Thomas Schissler – artiso solutions GmbH Artur Speth – Microsoft Deutschland GmbH.
Software Architektur für on-premise und die Cloud Lösungen

Software Architektur für on-premise und die Cloud Lösungen
System Center 2012 Automatisierung von IT-Prozessen Sinja Herbertz Education Support Centre Deutschland.

System Center 2012 Automatisierung von IT-Prozessen Sinja Herbertz Education Support Centre Deutschland.
Arbeiten in einem agilen Team mit VS & TFS 11

Arbeiten in einem agilen Team mit VS & TFS 11
Dynamic Threat Protection detect. prevent. respond. Desktop. Server. Netze.

Dynamic Threat Protection detect. prevent. respond. Desktop. Server. Netze.
You need to use your mouse to see this presentation.

You need to use your mouse to see this presentation.
Hadoop-as-a-Service (HDaaS)

Hadoop-as-a-Service (HDaaS)
Praxiserfahrungen aus Projekten

Praxiserfahrungen aus Projekten
Deepening Topics QM in Clinical studies.

Deepening Topics QM in Clinical studies.
© 2015 Unisys Corporation. All rights reserved. 1 Partnerschaft mit Microsoft - Azure.

© 2015 Unisys Corporation. All rights reserved. 1 Partnerschaft mit Microsoft - Azure.
Ready for Digital Business

Ready for Digital Business
Gregor Graf Oracle Portal (Part of the Oracle Application Server 9i) Gregor Graf (2001,2002)

Gregor Graf Oracle Portal (Part of the Oracle Application Server 9i) Gregor Graf (2001,2002)

Ähnliche Präsentationen

Google-Anzeigen