Het Sebyde aanbod
Secure By Design
© AUG 2012 Sebyde BV
Wat bieden wij aan?
1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan
© 2012 Sebyde BV
1. Web Applicatie Security Audit Audit van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken wij gespecialiseerde softwaretools (IBM Rational® Appscan®) waarvoor wij gecertificeerd zijn. Duidelijke rapportage van de zwakke plekken in de applicatie en een advies hoe die te verhelpen zijn. Assistentie bij aanpassen van de broncode
© 2012 Sebyde BV
Onze aanpak: Sebyde Security Cycle Controleer
Realiseer
Evalueer
Analyseer
© 2012 Sebyde BV
Sebyde Web Application Security Audit Controleren: het scannen van de web applicatie. – IBM’s Rational® Appscan® – Simulatie van een serieuze externe aanval.
Evalueren van de scan. – Rapport over kwetsbaarheden – Executive summary - Gedetailleerde informatie
Analyse hoe de gevonden lekken moeten worden gedicht. – Welke maatregelen? Prioriteiten? – Andere factoren? Identification? Authentication?
© 2012 Sebyde BV
Vervolgstap: Aanpassen programmacode
Realiseren: aanpassen van de programmatuur. – Assistentie bij aanpassen van de broncode – Programmeur?
© 2012 Sebyde BV
Voordelen Web Applicatie Vulnerability Audit Governance
Efficiency
– Controle
– Business continuity
– Security awareness
– Minder incidenten – Minder systeemuitval
Risico’s – Secure applicaties
Kosten
– Betere kwaliteit software
– Lagere development kosten – Geen herstelwerkzaamheden
Compliance
– Geen verloren business
– Security audit – Industry standard reports
Reputatie
© 2012 Sebyde BV
Eenmalig / Abonnement Eénmalige Audit – Bespreking van de requirements – Audit van de web applicatie – Uitlevering Rapport / Advies
Abonnementen – Kwartaalabonnementen (4 x per jaar) – Maandabonnementen (12 x per jaar) – Tailor made
© 2012 Sebyde BV
Wat bieden wij aan?
1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan
© 2012 Sebyde BV
2. Secure Development
Voor welke bedrijven? – SaaS service met regelmatige audits door IBM uitgevoerd – Web Application Security audits in eigen beheer – Opname van Application Security testing in ontwikkelomgeving – Multi-user, meerdere applicaties testen met centrale rapportage
Sebyde BV – Advies – Implementatie – Training
© 2012 Sebyde BV
IBM Rational® AppScan® Outsourced Audits
In-House Audits
Development Integratie
Enterprise
Rational® Appscan® OnDemand
Rational® Appscan® Standard Edition
Rational® Appscan® Build Edition
Rational® Appscan® Enterprise Edition
Rational® Appscan® Tester Edition
Rational® Appscan® Source Edition
Rational® Appscan® Reporting Console Een Software as a Service (SAAS) versie van rational appscan. De service wordt gerunned in de cloud door een team van IBM experts die op gezette tijden uw applicatie scannen. Bedoeld voor bedrijven die geen eigen expertise kunnen en willen opbouwen.
Dynamische analyse security testen (DAST) of black-box testen van uw web applicatie vanaf een desktop. Bedoeld voor bedrijven die zelf hun web applicaties willen testen.
Statische analyse security testen (SAST) of white-box testen om kwetsbaarheden in de source code van uw applicatie te ontdekken. Bijvoorbeeld om uw testprocedures uit te breiden.
Een multi user omgeving waarin simultaan meerdere applicaties kunnen worden gescanned. Met een centrale rapportage omgeving.
© 2012 Sebyde BV
Wat bieden wij aan?
1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan
© 2012 Sebyde BV
3. Security Awareness Training Halve dag sessie bij de klant aan huis Awareness op het gebied van security Medewerkers bewust maken van de risico’s en gevaren van het werken met informatiesystemen en vertrouwelijke (bedrijfs)informatie. Uitleg van vele security gerelateerde zaken die het bedrijfsproces kunnen verstoren Herkennen van mogelijke risico’s Weten wat te doen bij een incident Stimuleert risico-verlagend gedrag Meenemen van security aspecten in de dagelijkse activiteiten © 2012 Sebyde BV
Onderwerpen die behandeld worden Inleiding Informatiebeveiliging – Wat is informatie, Gevolgen van verlies van informatie, Beveiligingsbewustzijn, Waarde van informatie, Wie lopen risico, Welke processen zijn kwetsbaar, Wie is verantwoordelijk, 8 stappen proces
Dagelijkse risico’s – Mogelijke bedreigingen en gevolgen, Fysieke toegang, Logische toegang, informatieafval 9Dumpster Diving), Laptop Diefstal, Wachtwoorden (Passwords), Malware (Virussen, Worms, Trojans), Clean Desktop policy, Social Engineering (Phishing, Pharming, Shoulder Surfing)
Internetgebruik – Firewalls, Software, netwerken, E-mail, Veilig Surfen, veilig Chatten
Privacy – Wat is Privacy, Internet en privacy, Wet- en Regelgeving, Compliance
Maatregelen
© 2012 Sebyde BV
Wat bieden wij aan?
1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan
© 2012 Sebyde BV
4. Security Quick Scan
Samen met de klant houden we verschillende aspecten van Security tegen het licht 3 fases – Invullen van Sebyde Security Quick Scan Questionnaire – Gesprek met Security expert van Sebyde – Afleveren van rapport over de status quo
Goede manier om te checken of alle policies die in gebruik zijn nog wel afdoende zijn of bijgewerkt dienen te worden.
© 2012 Sebyde BV
Overview Sebyde services
Mensen •Awareness •Algemeen •Developers
Sebyde Secure by Design
Processen •Security quick scan •Secure Development
Techniek •Audit Cycle •Software services
© 2012 Sebyde BV
Hartelijk dank
Rob Koch (
[email protected]) Derk Yntema (
[email protected])
© AUG 2012 Sebyde BV
