Přeskočit na hlavní obsah

Aplikační bezpečnost od A do Z

Jste softwarová firma, ať je předmětem vašeho podnikání cokoli. Data ukládáte v cloudu nebo v informačním systému. Máte systémy vyvinuté na míru, provozujete eshop, SaaS nebo mobilní aplikaci. Veškerá data a vše, co děláte, se ukládá do nějaké databáze. Jak zajišťujete bezpečnost všech těch aplikací?

Tato služba splňuje zákonnou specifikaci pro výkon role Architekt kybernetické bezpečnosti.

Specifikace role architekt kybernetické bezpečnosti

Buďte pro hackery tvrdým oříškem

Během vývoje a provozování aplikace máte nejspíš různé obavy.

  • Je aplikace dostatečně bezpečná?
  • Nezapomněli jsme na nějaký bezpečnostní prvek?
  • Máme dostatečně proškolený vývojový tým?
  • Používáme ty správné nástroje?
  • Máme dostatečné procesy a postupy pro zajištění bezpečnosti a kvality?
  • Implementujeme zabezpečení podle aktuálních best practices?
  • Jsme opravdu compliant s regulacemi, normami nebo oborovými standardy?
  • ...

Zjistím, jak na tom doopravdy jste a pomůžu vám posunout bezpečnost vašeho software na další úroveň.

Říkáte si: „Nám ale všechno funguje skvěle, žádný problém nepozorujeme.“ Výborně! To je nejlepší čas na investici do zabezpečení. Rozvíjejte a zlepšujte svůj software v době, kdy se vám daří. V krizi nebo při řešení incidentu už je poždě - to musíte řešit danou krizi.

Odpovězte na pár otázek a nechte si zdarma automaticky vyhodnotit, jak na tom s bezpečností vašich aplikací doopravdy jste.

Udělám vaše IT oddělení bezpečnějším

Stali jste se obětí hackerů? Máte z nich strach? Chcete být compliant s různými regulacemi? Chcete nechat svůj software certifikovat? Nechcete přijít o data a ztratit důvěru? Chcete mít náskok před konkurencí?

  • Společně nastavíme cíle týkající se aplikační bezpečnosti.
  • Udělám audit současného stavu.
  • Udělám white-box pentest vybraných aplikací.
  • Nastavím strategii pro naplnění vytyčených cílů.
  • Společně implementujeme návrhy ze strategie.
  • Navrhnu metriky pro sledování progresu a efektivity.
  • Proškolím váš tým v oblasti aplikační bezpečnosti.

Zabezpečuju a vylepšuju celý proces vývoje software (SDLC). Nemám však rychlý a snadný postup řešení. Je to i o vás a vašem vývojovém týmu. Budu potřebovat i vaši pomoc, ochotu a zapojení. Jen tak společně docílíme zvýšení kvality a bezpečnosti vašich aplikací.

Jak vypadá spolupráce?

Vzhledem k povaze služby počítám s dlouhodobou spoluprací. Budeme opakovaně vyhodnocovat a zlepšovat zabezpečení, dokud nebudou naplněny naše cíle. Spolupráci můžete kdykoliv ukončit.

Po celou dobu spolupráce s vámi a vaším IT oddělením nebo týmem budu komunikovat na pravidelné bázi. Není to one-man-show, připravte se, že o mně uslyšíte.

Během úvodní konzultace si společně nastavíme očekávání a službu přizpůsobíme vašim potřebám. Službu můžeme více přizpůsobovat a měnit i v průběhu spolupráce.

V rámci spolupráce respektuju vaše security policies, nemám problém podepsat NDA a další typy smluv.

1. Audit / pentest2. Nastavení cílů3. Tvorba strategie4. Implementace5. Školení

Audit / pentest

V závislosti na vašem budgetu a situaci udělám plnohodnotný bezpečnostní audit vaší současné situace podle OWASP SAMM, nebo white-box pentest, který je podmnožinou bezpečnostního auditu.

Výsledkem bude plnohodnotný pentest (který vyžaduje zákon) report a v případě auditu auditní zpráva k tomu. Auditní zpráva vám řekne, jak na tom aktuálně jste z pohledu aplikační bezpečnosti co se týče procesů a postupů v rámci životního cyklu vývoje software (SDLC).

White-box pentesty vám budu zajišťovat pravidelně v rámci spolupráce na základě dohody.

Nastavení cílů

Díky auditu a pentestu známe současný stav vaší aplikační bezpečnosti. V tuto chvíli víme, kde se nacházíme a společně si stanovíme, kam se chceme dostat.

Součástí tohoto kroku bude několik konzultací s různými členy vývojového týmu a případně vedením firmy nebo jinými odpovědnými osobami. Tento krok se prolíná s tvorbou strategie.

Tvorba strategie

Na základě znalosti současného stavu a cílů sestavím strategii, která nás dovede k naplnění stanovených cílů.

Výstupem bude dokument, kde budou popsány jednotlivé kroky a detaily, které nás přiblíží k našim cílům. Strategie vychází z vašich současných procesů a jen je vylepšuje. Pokud odpovídající procesy nemáte, navrhnu je.

Implementace

Poté, co strategii schválíte, nebo schválíte její část, budeme společně implementovat jednotlivé kroky.

Může jít o implementaci procesních záležitostí nebo implementaci bezpečnostních nástrojů a dalších souvisejících věcí. V této fázi bude potřeba součinnost vašeho IT oddělení nebo zaměstnanců, protože ne všechno zvládnu sám.

Během fáze implementace taky nastavujeme metriky a monitoring, díky kterému poznáme, že se k našim cílům přibližujeme.

Školení

Proškolím váš vývojový tým nebo vrcholový management v oblasti vývoje software a aplikační bezpečnosti.

Každá implementace může být změnou pro vaše zaměstnance. V takovém případě je potřeba zaměstnance proškolit, aby všemu rozuměli a byli na stejné vlně.

V závislosti na tom, jak dopadl audit nebo pentest proškolím váš tým v oblastech, kde je prostor pro zlepšení.

Nedělám to poprvé

Mám za sebou nespočet projektů v roli vývojáře pro firmy všech velikostí. Sám jsem několik softwarových projektů řídil nebo vytvořil. Mám tedy zkušenosti jak s vývojem, testováním a zabezpečením, tak s byznysovou a finanční stránkou, řízením projektu a lidí, nebo nastavením cílů a metrik.

Poslechněte si, jak téma aplikační bezpečnosti vnímám v rozhovoru s Martinem Konečným.


Zajímá vás, jak na tom s aplikační bezpečností jste? Vyplňte pár otázek a nechte si poslat report zdarma.

Jsem na to sám a moje kapacita je omezená. Většinu času rezervuju stávajícím klientům, ale občas přijímám nové zajímavé výzvy. Napište mi e-mail na stefan.prokop@owasp.org nebo si pojďme zavolat a zjistit, jak vám můžu pomoct. 👇