KONTEXT:

Fokus liegt in diesem Bereich auf Themen rund um die Security Kultur - agile Security, Awareness, Shared Responsibility, sichere Softwareentwicklung, CI/CD, DevSecOps, Cloud nativ vs. agnostic, eigene Security Frameworks auf Basis von OWASP/NIST/ISO, Prozessthemen, Tool Evaluation



TOOL EVALUATION:

Ich begleite den gesamten Prozess der Tool-Evaluation, von der Anforderungsanalyse über die Gewichtungsmatrix bis hin zur Integration und Schulung für die spätere Einführung.

TALKS:

Planen Sie ein Event im Bereich IT-Security und suchen nach Vorträgen oder Referenten? Hier stehe ich zur Verfügung.

TRAININGS:

Rollenbasierte Schulungen in den Bereichen Security-Awareness, Security/Privacy By Design, Risikoanalyse und Threat Modelling, Monitoring sowie Umgang mit Sicherheitsvorfällen. Ich kann auch Mitglieder in ihren Rollen begleiten und bei spezifischen Fragestellungen unterstützen, auf dem Weg zum Security Champion.

WORKSHOPS:

Bei der Vermittlung zwischen verschiedenen Parteien oder Teams kann der Einsatz einer externen, neutralen Person sinnvoll sein. Alternativ biete ich Workshops zum Thema Threat-Modelling an und bringe meine langjährige Erfahrung in diesem Bereich ein, um erfolgreich Security By Design zu implementieren.

KONTEXT:

Die Verlagerung von Verantwortung auf Teams wie Entwicklung, Betrieb, Plattform oder Support kann anfangs überwältigend wirken, ist jedoch oft die Lösung für Probleme in klassischen Silo-Organisationen. Eine Voraussetzung dafür ist, dass die Teams die Freiheit, das Vertrauen und die Unterstützung erhalten, um ihre Aufgaben selbstständig zu erledigen. Die Definition und Umsetzung von Qualität bleibt jedoch Aufgabe des Managements.

ZIEL:

Unser Ziel ist es, Teams zu befähigen, alle relevanten Sicherheits- und Datenschutzaspekte zu identifizieren, zu bewerten und entsprechende Maßnahmen zu ergreifen. Der Spielraum und Support der Teams hängen stark von der Sicherheitskultur und dem Buy-In des Managements ab. Zudem sind autonome Teams von Prozessen und Tools abhängig, die optimiert werden müssen.

ANSÄTZE:

• Vermittlung und Anwendung von Security- & Privacy-by-Design-Ansätzen, einschließlich Krypto- und Schlüsselverwaltung
• Durchführung von Risikoanalysen, Threat-Modelling und Abuse-Stories mit Bewertung und Dokumentation der Ergebnisse
• Umsetzung, Überprüfung und Verfolgung von Maßnahmen, idealerweise zentralisiert im ISMS
• Integration von Sicherheitswerkzeugen und -methoden in DevOps- oder BizDevOps-Modelle, einschließlich CI/CD-Themen und Tests
• Identifizierung und Implementierung von IAM in Übereinstimmung mit der IAG sowie Authentifizierungsverfahren
• Behandlung von Patch- und Schwachstellenmanagement
• Entwicklung von Überwachungs- und Alarmierungssystemen sowie Runbooks für Incident-Response
• Umgang mit Supply-Chain-Themen
• Sicherung der Entwicklung und Absicherung des Entwicklungsprozesses, einschließlich signierter Commits und GitFlow, IAM und Audit-Logs
• Unterstützung verschiedener Teamrollen wie PO, Scrum-Master, Entwickler, DevOps, UX-Designer usw.
• Begleitung von Pentests

UNTERSTÜTZUNG:

Ich würde als Teammitglied aktiv mitarbeiten, sei es im Pairing, als Reviewer, Architekt, Scrum Master oder Sicherheitsexperte. Zusätzlich würde ich bei der Kommunikation mit anderen Teams und Abteilungen unterstützen, um eine durchgängige Sicherheit zu gewährleisten. Mein Ziel ist es, übergreifende Herausforderungen zu identifizieren und nachhaltige Lösungen wie Blueprints, Standards und Automatisierung zu etablieren und in die Organisation zu integrieren.

ERGEBNIS:

Die Teams erlernen Werkzeuge und Methoden, um ihre Services sicherer zu gestalten und das Gesamtsystem widerstandsfähiger zu machen - Verfügbarkeit ist ein wichtiges Schutzziel. Dadurch verringern sich die Risiken für das gesamte Unternehmen, und es entstehen Blaupausen für Graswurzelbewegungen, um das Management zu überzeugen. Viele betrachten Sicherheit oft als hinderlich, aber richtig angewendet beschleunigen Sicherheitsfähigkeiten die Entwicklung, da Automatisierung zu höherer Qualität führt und Entwicklungsprozesse angstfrei gestaltet werden können.

KONTEXT:

Die Sicherheitskultur einer Organisation hängt stark von ihrer grundlegenden Kultur ab. Die Migration zur Cloud bietet eine Gelegenheit zur Transformation und Anpassung der Sicherheitskultur. Da jede Organisation einen individuellen Ausgangspunkt hat, gestaltet sich dieser Weg einzigartig.

ITIL-Reifegrad kann als Referenz für grundlegende Prozesse dienen, jedoch sind oft wichtige Prozesse wie Asset- und Konfigurationsmanagement, Change- und Incident-Management nur rudimentär implementiert.



ZIEL:

Unterstützung bei der Transformation zu einem widerstandsfähigen Organismus, der kontinuierliche Verbesserung fördert. Dies erfordert Fähigkeiten in Breite und Tiefe.

ANSÄTZE:

• Klare Vision und Bereitschaft zur Veränderung
• Vermessung des Ausgangspunkts für bessere Entscheidungsgrundlagen
• Top-Down- und Bottom-Up-Ansatz für Veränderungen
• Nutzung von Cloud-Adoptions-Frameworks und modernen Sicherheitskonzepten wie DevSecOps
• Enge Zusammenarbeit mit Management, HR, Organisationsentwicklung und anderen Stakeholdern
• Rollenorientierte Schulungen und individuelle Unterstützung auf dem Weg zum Security Champion

UNTERSTÜTZUNG:

• Definition der Mission, Analyse, Planung, Umsetzung
• Communities, Events und Trainings als Multiplikatoren für Awareness und Wissenstransfer

ERGEBNIS:

Proaktives und eigenverantwortliches Handeln wird in der DNA der Organisation verankert. Mitarbeiterzufriedenheit steigt durch Selbstwirksamkeit und effektive Handlungsmöglichkeiten. Neue Ideen und Prozesse entstehen durch verbesserte Kommunikation und intrinsische Weiterentwicklung der Kultur.

Insgesamt schaffen Sie eine dynamische Kultur, die sich den Markt- und regulatorischen Anforderungen anpasst und komplexe Projekte zur Ausnahme macht, da viele Anforderungen bereits im Tagesgeschäft erfüllt sind.

KONTEXT:

Die Schirmherrschaft von Governance, Risk und Compliance (GRC) bildet das Rückgrat der Sicherheitskultur. Ihr Ziel ist es, Sicherheit zu realisieren, statt nur Absichtserklärungen auf Papier zu manifestieren. Eine gute Sicherheitskultur fördert die Kommunikation zwischen den Parteien und erleichtert die Umsetzung von Policies und Richtlinien.

ZIEL:

Das Ziel ist die Etablierung einer starken Sicherheitskultur, die den Austausch zwischen GRC und den umsetzenden Teams erleichtert und entsprechende Tools und Prozesse bereitstellt.

ANSÄTZE:

• Einrichtung von Begegnungsräumen mit moderierter Diskussion
• Unterstützung durch spezialisierte Teams mit Engineering-Power für die umsetzenden Teams
• Etablierung von Methoden und Verfahren in den Teams, um den Rückfluss von Assets und Risiken zu gewährleisten
• Schaffung von Transparenz statt Geheimhaltung für schnellere Reaktionen

UNTERSTÜTZUNG:

Ich unterstütze Sie dabei, eine Security-Kultur zu etablieren und die Kommunikation zwischen den verschiedenen Parteien zu verbessern. Ich helfe Ihnen beim Wissenstransfer und beim Aufbau geeigneter Strukturen. Zudem unterstütze ich bei der Erstellung und Verbreitung von Policies und betrachte gemeinsam mit Ihnen Ihren Toolstack für eventuelle Anpassungen. Mein Ziel ist es, Sie zu befähigen, transparent und schnell zu handeln.



ERGEBNIS:

Security wird zu einem Business-Treiber und zu einer normalen Qualitätsfunktion. Die Entwicklung wird stetiger und weniger unterbrochen, und die Ausfallzeiten werden reduziert. Zudem verbessert sich das Verhältnis zur restlichen Firma, sodass Sie sich auch anderen Themen wie KI und neuen Angriffsvektoren widmen können.