Strategie en management

Het managen van een effectief applicatieveiligheidsprogramma kan een zware taak lijken, zeker als je nog niet de grootte hebt om een compleet InfoSec departement te bemannen.
Wij kunnen je veiligheidsprogramma helpen opstarten, een CISO voorzien die het implementeert en opvolgt of je huidige programma beoordelen en verbeteren.

Veiligheidsanalyse

Krijg inzicht in je veiligheidspraktijken en wat verbeterd kan worden, dat is de kern van een veiligheidsanalyse. Het helpt je te navigeren door het doolhof dat applicatieveiligheid soms kan zijn. Als je recent geen veiligheidsanalyse hebt uitgevoerd is het nu tijd om dit te doen. Het vertelt je welke veiligheidspraktijken belangrijk zijn voor jou.

Het resultaat is een veiligheidsscore, en nog belangrijker, een lijst van suggesties om deze te verbeteren. Onze veiligheidsanalyse is gebaseerd op OWASP SAMM, een veelgebruikt model om je veiligheidscultuur te analyseren en te verbeteren.

Hoe wij werken

We beginnen met u beter te leren kennen. Zo leren we uw bedrijf kennen, de applicaties die u ontwikkelt en het team dat hieraan werkt. Dit is belangrijk om de doelstellingen van de analyse te kunnen bepalen en het juiste team samen te stellen.

We vragen u naar reeds bestaande documentatie: resultaten van vorige analyses, bestaande veiligheidsprogramma's en -gebruiken, de manier waarop u software ontwikkelt. De inhoud (of de afwezigheid) van deze documenten vertelt ons reeds veel over uw veiligheidscultuur.

We doen persoonlijke interviews met bepaalde medewerkers van het team om meer te leren over de veiligheidsgewoontes en -processen. De vragen in deze interviews zijn gebaseerd op het OWASP Software Assurance Maturity Model (SAMM). Dit vaak gebruikte model is de basis van onze analyse.

Wanneer de interviews gebeurd zijn en de documentatie verwerkt is, stellen we een lijst met verbeteringen op. Dit doen we in samenwerking met u om een optimale selectie te maken van haalbare, impactvolle verbeteringen die ook echt geïmplementeerd kunnen worden. Hierin is onze jarenlange ervaring cruciaal.

Je veiligheidsniveau en de lijst met verbeteringen presenteren we in een gedetailleerd rapport. Het implementeren van de voorstellen zal voor een meetbare verbetering van het veiligheidsniveau zorgen.

Een flexibele Chief Information Security Officer (vCISO)

De Chief Information Security Officer (CISO) is de persoon in het managementteam die leiding geeft aan het InfoSec departement. De verantwoordelijkheden zijn onder andere het opstellen en uitvoeren van een strategisch veiligheidsplan om de data en technologie van het bedrijf te beschermen. Voor bedrijven die zelf software ontwikkelen is applicatieveiligheid een belangrijke taak van de CISO.

Een goede CISO vinden is meestal moeilijk en kostelijk. Zeker als je nog niet de grootte hebt om een eigen InfoSec departement te bemannen. Om het voor kleinere bedrijven toch mogelijk te maken om hun strategische veiligheidsdoelen te behalen kunnen wij de CISO rol flexibel invullen voor u.

Hoe wij werken

Voor we een kandidaat naar voren schuiven will we u eerst wat beter leren kennen. Hoe werkt uw bedrijf, welke uitdagingen hebt u en wat verwacht u van uw nieuwe CISO? Dit stelt ons in staat de juiste persoon voor te stellen.

Onze vCISO dienst is erg flexibel. Vereist uw project veel werk in het begin en daarna eerder periodieke ondersteuning? Geen probleem. Hebt u een vaste wekelijkse hoeveelheid ondersteuning nodig? Allemaal mogelijk. Wij vinden een oplossing die bij u past.

Je nieuwe CISO zal het InfoSec departement leiden en de veiligheid van de software binnen je bedrijf verhogen.

Certificatie

Certificatie bewijst aan klanten dat het bedrijf bepaalde veiligheidspraktijken naleeft. Er bestaan verschillende soorten. Sommige zijn eerder algemeen, zoals ISO 27000, terwijl andere specifiek voor een industrietak bedoeld zijn, zoals PCI DSS voor de kredietkaartindustrie. Wat ze allemaal gemeen hebben is dat je een goed veiligheidsprogramma moet hebben om ze te behalen.

Wij kunnen je helpen met certificatie door je huidige veiligheidsniveau te bepalen en een stappenplan op te stellen met wat nog beter moet. Onze ervaring zorgt ervoor dat je de juiste processen en tools gebruikt zodat je niet alleen je certificatie behaalt, maar ook je veiligheid meetbaar verbetert.

Hoe wij werken

We doen een doorlichting van je huidige veiligheidsgebruiken en -processen. Deze vergelijken we dan met wat je hoort te doen om je certificatie te behalen. We stellen een stappenplan op met de tools en processes die je nog hoort te implementeren of verbeteren.

De auditeurs zijn aangekomen om je bedrijf door te lichten. Uiteraard zijn wij ook van de partij om je bij te staan. Wij zorgen dat de juiste documentatie beschikbaar is, we beantwoorden vragen en zorgen dat het auditproces zo vlot mogelijk verloopt.

Zo goed als elke certificatie vereist dat je blijvende inspanningen doet om gecertificeerd te blijven. Certificatievereisten veranderen mee met de nieuwste technologie- en praktijkoplossingen. Wij zorgen dat uw bedrijf mee is met deze veranderingen zodat je de volgende audit met een gerust hart tegemoet kan zien.

Risicobeheer

Risicobeheer is het managementproces waarbij we zoeken naar gebeurtenissen die negatief kunnen zijn voor het bedrijf en de bedrijfsvoering. We kunnen dan kostenefficiënte maatregelen nemen om deze negatieve effecten te verminderen of zelfs te vermijden. Dit risicobeheer is de basis van het hele veiligheidsprogramma van het bedrijf.

Tijdens een risicoanalyse zoeken we bij het bedrijf en de omgeving waarin het werkt naar bedreigingen. We schatten de kans in dat deze bedreigingen een negatieve impact kunnen hebben op de bedrijfsvoering. Daarna stellen we maatregelen voor die het negatieve risico verminderen tot een acceptabel niveau of soms zelfs volledig elimineren. Deze maatregelen komen vaak terecht in het veiligheidsprogramma.

Hoe wij werken

Tijdens een risicoanalyse zoeken we bij het bedrijf en de omgeving waarin het werkt naar bedreigingen. We schatten de kans in dat deze bedreigingen een negatieve impact kunnen hebben op de bedrijfsvoering. Deze risicoanalyse kan zowel kwalitatief als kwantitatief uitgevoerd worden.

Nadat we bedreigingen hebben gevonden en het risico kennen dat deze vormen, stellen we maatregelen voor om dit risico te verminderen tot een acceptabel niveau. Deze maatregelen komen meestal terecht in het strategisch veiligheidsplan.

Vroeg of laat zal er zich altijd een calamiteit voordoen (we zijn gehackt!). Als u aan risicobeheer doet zal een deel van de negatieve effecten reeds opgevangen worden (verzekeringspolis, backups,...), maar om zo snel mogelijk terug operationeel te zijn is het cruciaal om een calamiteitenplan (disaster recovery plan) te hebben. Wij kunnen dit samen met u opstellen zodat u het hoofd koel kunt houden als het ergste zich voordoet. Ook kunnen we helpen dit up to date te houden of in te oefenen.
Onze missie

Secuma helpt softwarebedrijven om veiligere applicaties te ontwikkelen. We moedigen het gebruik aan en helpen met de integratie van innovatieve oplossingen en processen uit de DevSecOps industrie. Hierdoor verbeteren we de veiligheid van uw applicaties en voorkomen we dat problemen uitgroeien tot incidenten.

Bedrijf

infosecuma.be
Sels Software & Security BV
Hoogputstraat 22B
3690 Zutendaal
België
BE0748911858

Bedankt voor je bezoek aan Secuma |
Afbeeldingen met dank aan Unsplash