Wie steigere ich systematisch die Security-Kompetenz meines Teams?

Vielen Entwicklungsteams fehlt die notwendige Security-Kompetenz. Sie sind vom Umfang des Themas überfordert und wissen nicht, wie sie es sinnvoll angehen können, und welche Maßnahmen sie alle durchführen sollten.

Unser neues Reifegradmodell Security Belts richtet sich an solche Teams und deren Produkte. Wir unterstützen sie bei der Frage, welchen Reifegrad das Team derzeit hat, welchen es benötigt und wie die Teams selbstständig ihren notwendigen Reifegrad Schritt für Schritt erreichen können.

In diesem Vortrag präsentieren wir, warum bisherige Reifegradmodelle nicht genügen, und stellen das Konzept der Security Belts sowie unsere ersten Evaluierungsergebnisse und Erfahrungen hierzu vor.

Vorkenntnisse

Die Besucher:innen benötigen nur allgemeine Kenntnisse in der Softwareentwicklung. Weiterführende Kenntnisse bzgl. der sicheren Softwareentwicklung unterstützen, sind jedoch keine Voraussetzung.

Lernziele


  • Herausforderungen von Teams bzgl. der sicheren Softwareentwicklung kennenlernen.
  • Probleme der bisherigen Reifegradmodelle verstehen
  • Idee und das Konzept der Security Belts kennenlernen
  • Vorteile für Entwicklerteams, Product Owner und Führungskräfte verstehen
  • Evaluierungsergebnisse und Erfahrungen kennenlernen
  • Verstehen, wie man selbst aktiv werden kann (das Reifegradmodell nutzen, Feedback geben, an den Konzepten mitwirken)

Speaker

 

Stefan Dziwok
Stefan Dziwok ist Seniorexperte beim Fraunhofer IEM in der Abteilung Softwaretechnik und IT-Sicherheit und forscht daran, die Entwicklung sicherer Software-intensiver Systeme zu verbessern und zu erleichtern. Hierfür entwickelt er mit seinen Kolleg:innen Methoden, Werkzeuge und Schulungen. Derzeit leitet Dr. Dziwok das Forschungsprojekt AppSecure.nrw.

Lars Hermerschmidt
Lars Hermerschmidt ist Security Champion Gildenältester bei der AXA Konzern AG. Er coacht die Security Champions und schafft die Rahmenbedingungen, damit Teams Security Belts machen, auch wenn dies bedeutet, die DevOps-Transformation mit Erkenntnissen der Organisationssoziologie anzutreiben statt viele Tools in CI/CD-Pipelines einzubauen.

heise-devSec-Newsletter

Ihr möchtet über die heise devSec
auf dem Laufenden gehalten werden?

 

Anmelden