Abstract image of a woman sitting on books and studying on a laptop

OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce

SecuRing, profile picture
SecuRing

Wstępne wyniki badania ankietowego "OWASP CISO Survey 2014" w Polsce. Badanie dotyczy postrzegania problemów bezpieczeństwa aplikacji przez managerów ITsec. Czy są to dla nich problemy ważne? Jak sobie z nimi radzą? Jakie przeszkody stoją na drodze do ograniczenia ryzyka? Wstępne wyniki tegorocznego badania w Polsce i porównanie z wynikami anakiety światowej z 2013. Pełny raport z badania zostanie udostępniony po przetworzeniu wyników zebranych przez OWASP na całym Świecie.

Technology
1 of 23
Downloaded 12 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
OWASP Poland Chapter Leader Wojciech Dworakowski OWASP CISO Survey 2014 Wstępne wyniki polskiego badania
Misja: Poprawa stanu bezpieczeństwa aplikacji 100+ Local Chapters Standardy, przewodniki, narzędzia Lokalne spotkania, konferencje W Polsce od 2007 – Warszawa, Kraków, Poznań
Ankieta dotycząca zarządzania bezpieczeństwem aplikacji Kierowana do CISO Ponad 500 respondentów z całego Świata 64 ankiety z Polski Uwaga: Poniżej wstępne porównanie wyników z Polski z 2014 z wynikami globalnymi z 2013 OWASP CISO Survey 2014
62% - manager ds. bezpieczeństwa IT 18% - manager ds. IT 15% - network/systems administrator 6% - inne Stanowisko
Obowiązki
Polska Świat Organizacje biorące udział w badaniu Administracja państwowa eCommerce Media i rozrywka Nieruchomości Technologia Telekomunikacja Firmy i usługi profesjonalne Inne Bankowość i rynki kapitałowe 0,0% 10,0% 20,0% 30,0% 40,0% 0 10 20 30 Automotive Chemicals Real Estate Transportation Retail & Wholesale Technology Consumer Products Aerospace and Defense Oil & Gas Power & Utilities Media & Entertainment Telecommunications Government & Public Sector… Professional Firms & Services Technology Other (please specify) Banking & Capital Markets
Polska Świat Organizacje biorące udział w badaniu (zasięg działania) Krajowy 56% Regionalny 19% Globalny 25% National; 47 Regional; 26 Global; 74
Zagrożenia - przewidywania 17% 42% 85% 80% 71% 50% 13% 20% 12% 8% 2% Świat Polska Świat Polska Wewnętrzne Zewnętrzne Wzrost Bez zmian Spadek
Jakiego rodzaju osoby mogą zaatakować firmę? Hakerzy amatorzy Grupy przestępcze/ profesjonalni oszuści Osoby wewnątrz firmy/ pracownicy Osoby zaangażowane w szpiegostwo korporacyjne/… Aktywiści / Osoby anonimowe Konkurenci Szpiedzy sponsorowani przez państwo Dostawcy/ partnerzy
Źródła ryzyka dla aplikacji (top 5) Polska Świat 1 Brak świadomości w kwestiach bezpieczeństwa aplikacji w firmie Lack of awareness of application security issues within the organization 2 Tworzenie niebezpiecznego kodu źródłowego Insecure source code development 3 Dostawcy zewnętrzni i outsourcing (np. brak bezpieczeństwa, brak kontroli) Poor/inadequate testing methodologies 4 Brak budżetu na wsparcie inicjatyw z zakresu bezpieczeństwa aplikacji Lack of budget to support application security initiatives 5 Kadry (np. brak kompetencji w zakresie bezpieczeństwa w zespole) Staffing (e.g., lack of security skills within team)
Cel ataków / Obszary ryzyka 51% 51% 25% 36% Polska Świat Aplikacje Infrastruktura Inne
Polska Świat Liczba incydentów związanych z aplikacjami Żadnego; 42,1% 1 2 5 10 20 Ponad 100
1.Przerwanie działania 2.Naruszenie reputacji 3.Bezpośrednia strata finansowa 4.Utrata lub narażenie danych osobowych 5.Utrata danych klienta Główne typy szkód spowodowane atakami (PL)
Inwestycje w bezpieczeństwo IT 43% 47% 36% 38% 50% 40% 55% 52% 7% 13% 10% 10% Polska Świat Polska Świat bezpieczeństwo aplikacji bezpieczeństwo infrastruktury Zwiększają się Na tym samym poziomie Zmniejszają się
1 Zarządzanie ryzykiem IT / bezpieczeństwa informacji 2 Zapobieganie wyciekowi / utracie danych 3 Wdrażanie standardów bezpieczeństwa 4 Przeglądy kodu 5 Infrastruktura bezpieczeństwa aplikacji (np. WAF) Bezpieczeństwo urządzeń mobilnych Bezpieczeństwo infrastruktury (np. programy antywirusowe, IDS, IPS, wgrywanie poprawek) Technologie i procesy zarządzania podatnościami warstwy aplikacji Umiejętności w zakresie reakcji na incydenty Testy penetracyjne Priorytety w zakresie bezpieczeństwa IT (na nadchodzące 12 miesięcy)
Priorytety w zakresie bezpieczeństwa aplikacji (na nadchodzące 12 miesięcy) Polska Świat 1 Przeglądy kodu Security awareness and training for developers [PL #7] 2 Wdrożenie infrastruktury bezpieczeństwa aplikacji (np. WAF) SDLC - Secure development lifecycle processes (e.g., secure coding, QA) 3 Technologie i procesy zarządzania podatnościami warstwy aplikacji Security testing of applications (dynamic analysis, runtime observation) 4 Testy bezpieczeństwa aplikacji (analizy dynamiczne, na uruchomionej aplikacji) Application layer vulnerability management technologies and processes 5 SDLC – bezpieczeństwo w cyklu wytwarzania oprogramowania (np. bezpieczne kodowanie, procesy QA) Code review
W trakcie realizacji inicjatyw z zakresu bezpieczeństwa aplikacji w Państwa organizacji, jak duże wyzwanie stanowią poniższe kwestie? Polska Świat 1 Odpowiedni budżet Availability of skilled resources 2 Dostępność wykwalifikowanych zasobów Level of security awareness by the developers 3 Świadomość kadry zarządzającej i sponsorowanie Management awareness and sponsorship 4 Poziom świadomości bezpieczeństwa u programistów Adequate budget 5 Sprzeczne wymagania biznesowe Organizational change
Narzędzia wspomagające 61% 48% 22% 19% 21% 27% 33% 15% 18% 24% 44% 65% Skanery podatności aplikacji Web application firewall (WAF) Skanery lub analizatory kodu źródłowego Analizatory „runtime” Obecnie używane Planowane (12-18 miesięcy) Nie planujemy stosowania
Polska Świat OWASP Top-10 Application Security FAQ CISO Guide Testing Guide Zed Attack Proxy (ZAP) Application Security Verification Standard (ASVS) OWASP Top-10 Cheatsheets Development Guide Secure Coding Practices Quick Reference Application Security FAQ Najbardziej przydatne projekty OWASP
Większość trendów pokrywa się Incydenty: Polska 58%, Świat 21% Priorytety w zakresie bezpieczeństwa aplikacji Świat: Szkolenie developerów, SDLC Polska: Przeglądy kodu, infrastruktura zabezpieczeń Największym wyzwaniem w Polsce jest budżet Polska vs Świat
Tłumaczenie wyników lokalnych na angielski Agregacja wyników z wersji zlokalizowanych Analiza wyników globalnych i publikacja raportu z całości badania (Q2 2015) Analiza wyników polskich, porównanie z globalnymi i publikacja raportu (Q2 2015) OWASP CISO Survey 2014 – co dalej?
Informacje o raportach i innych działaniach OWASP Poland: WWW Lista 23 https://www.owasp.org/index.php/Poland https://lists.owasp.org/mailman/listinfo/owasp-poland https://www.linkedin.com/groups/OWASP-Poland-8179731 https://twitter.com/owasppoland https://www.facebook.com/pages/OWASP-Poland-Local-Chapter
Pytania ankietowe: https://www.owasp.org/index.php/CISO_Survey_2014_Questionnaire Informacje o projekcie i raport z 2013: https://www.owasp.org/index.php/OWASP_CISO_Survey_Project OWASP CISO Guide: https://www.owasp.org/index.php/Application_Security_Guide_For_CISOs OWASP OpenSAMM: http://www.opensamm.org/ Pytania i uwagi: wojciech.dworakowski@owasp.org Materiały dodatkowe

More Related Content

PDF
OWASP Appsensor in action
LeszekMis
 
PPTX
OWASP ASVS 3.1 EA PL - YetiForce
Pabiszczak Błażej
 
PPTX
Bezpieczeństwo aplikacji czy musi być aż tak źle
SecuRing
 
PPTX
YetiForce OWASP ASVS
YetiForce Sp. z o.o.
 
PPTX
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
OWASP
 
PPTX
Application security verification standard
SecuRing
 
PPTX
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
SecuRing
 
PDF
Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania
SecuRing
 
OWASP Appsensor in action
LeszekMis
 
OWASP ASVS 3.1 EA PL - YetiForce
Pabiszczak Błażej
 
Bezpieczeństwo aplikacji czy musi być aż tak źle
SecuRing
 
YetiForce OWASP ASVS
YetiForce Sp. z o.o.
 
[Warsaw 25.04.2018] - ASVS - Błażej Pabiszczak, YetiForce
OWASP
 
Application security verification standard
SecuRing
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
SecuRing
 
Raport z badania - Praktyki wytwarzania bezpiecznego oprogramowania
SecuRing
 

Viewers also liked (20)

PDF
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
SecuRing
 
PDF
Malware vs autoryzacja transakcji
SecuRing
 
PDF
Foros
Raymond Marquina
 
PDF
Bezpieczeństwo rozwiązań Iot/M2M
SecuRing
 
PDF
4developers utrzymanie bezpieczenstwa
SecuRing
 
PDF
Możliwości złośliwego oprogramowania na platformy mobilne
SecuRing
 
PDF
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
SecuRing
 
PDF
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
SecuRing
 
PDF
Big problems with big data – Hadoop interfaces security
SecuRing
 
DOCX
Normas para el uso educativo de chat y foros
lherrera49
 
PPTX
Uso De Foros
Nereyda
 
PPTX
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
SecuRing
 
PPTX
Analiza nowej Rekomendacji D pod kątem metodologii testowania
QualityIn.IT
 
PPTX
Foros y su uso educativo
cris-lili
 
PPTX
Restaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
Cogneesol
 
PPS
BRYULLOV, Karl Pavlovich,Featured Paintings in Detail
guimera
 
PPTX
Insurance Accounting: A Quick Guide for Beginners
Cogneesol
 
PDF
So you want to quit your day job and make a connected product
Alexandra Deschamps-Sonsino
 
PDF
The New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
Lookout
 
PDF
The Automotive Industry Through the lens of social
Brandwatch
 
Automatyzacja testów bezpieczeństwa – ograniczenia, wyzwania, gotowe rozwiązania
SecuRing
 
Malware vs autoryzacja transakcji
SecuRing
 
Foros
Raymond Marquina
 
Bezpieczeństwo rozwiązań Iot/M2M
SecuRing
 
4developers utrzymanie bezpieczenstwa
SecuRing
 
Możliwości złośliwego oprogramowania na platformy mobilne
SecuRing
 
Testowanie bezpieczeństwa aplikacji dedykowanych na platformę Android
SecuRing
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
SecuRing
 
Big problems with big data – Hadoop interfaces security
SecuRing
 
Normas para el uso educativo de chat y foros
lherrera49
 
Uso De Foros
Nereyda
 
Internet banking safeguards vulnerabilities - OWASP AppSec EU 2016
SecuRing
 
Analiza nowej Rekomendacji D pod kątem metodologii testowania
QualityIn.IT
 
Foros y su uso educativo
cris-lili
 
Restaurant Accountants/ Bookkeepers - Different Roles and Responsibilities
Cogneesol
 
BRYULLOV, Karl Pavlovich,Featured Paintings in Detail
guimera
 
Insurance Accounting: A Quick Guide for Beginners
Cogneesol
 
So you want to quit your day job and make a connected product
Alexandra Deschamps-Sonsino
 
The New Assembly Line: 3 Best Practices for Building (Secure) Connected Cars
Lookout
 
The Automotive Industry Through the lens of social
Brandwatch
 
Ad

Similar to OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce (20)

PDF
Kluczowe problemy z bezpieczeństwem aplikacji
Breachcomber by Hostersi
 
PPTX
OWASP Top10 2013
SecuRing
 
PDF
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Antoni Orfin
 
PPTX
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
SecuRing
 
PPTX
Jak tworzyć bezpieczne aplikacje?
SecuRing
 
PPTX
Światowe badanie bezpieczeństwa informacji 2014
EYPoland
 
PPTX
[4developers] Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykładac...
PROIDEA
 
PDF
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EYPoland
 
PPTX
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PROIDEA
 
PDF
Zarządzanie oprogramowaniem a bezpieczeństwo danych
Qba No-sky
 
PPTX
10 przykazań bezpiecznego programowania
SecuRing
 
PPTX
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
PROIDEA
 
PPTX
Owasp top 10 2010 final PL Beta
Think Secure
 
PPTX
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Pawel Krawczyk
 
PDF
Badanie „Cyberbezpieczeństwo Firm”
EYPoland
 
PPTX
Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach
SecuRing
 
PPTX
EXATEL InTECH Day PwC
Jerzy Łabuda
 
PDF
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
PROIDEA
 
PDF
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Rafal
 
PDF
Bezpieczeństwo w polskim Internecie 2009
Wojciech Boczoń
 
Kluczowe problemy z bezpieczeństwem aplikacji
Breachcomber by Hostersi
 
OWASP Top10 2013
SecuRing
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Antoni Orfin
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
SecuRing
 
Jak tworzyć bezpieczne aplikacje?
SecuRing
 
Światowe badanie bezpieczeństwa informacji 2014
EYPoland
 
[4developers] Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykładac...
PROIDEA
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
EYPoland
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PROIDEA
 
Zarządzanie oprogramowaniem a bezpieczeństwo danych
Qba No-sky
 
10 przykazań bezpiecznego programowania
SecuRing
 
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
PROIDEA
 
Owasp top 10 2010 final PL Beta
Think Secure
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Pawel Krawczyk
 
Badanie „Cyberbezpieczeństwo Firm”
EYPoland
 
Utrzymanie bezpieczeństwa aplikacji produkcyjnych na przykłdach
SecuRing
 
EXATEL InTECH Day PwC
Jerzy Łabuda
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
PROIDEA
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Rafal
 
Bezpieczeństwo w polskim Internecie 2009
Wojciech Boczoń
 
Ad

More from SecuRing (20)

PDF
Developer in a digital crosshair, 2023 edition - 4Developers
SecuRing
 
PDF
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
SecuRing
 
PDF
Developer in a digital crosshair, 2022 edition - No cON Name
SecuRing
 
PPTX
Is persistency on serverless even possible?!
SecuRing
 
PDF
What happens on your Mac, stays on Apple’s iCloud?!
SecuRing
 
PDF
0-Day Up Your Sleeve - Attacking macOS Environments
SecuRing
 
PDF
Developer in a digital crosshair, 2022 edition
SecuRing
 
PDF
20+ Ways To Bypass Your Macos Privacy Mechanisms
SecuRing
 
PDF
How secure are webinar platforms?
SecuRing
 
PDF
20+ Ways to Bypass Your macOS Privacy Mechanisms
SecuRing
 
PDF
Serverless security: attack & defense
SecuRing
 
PDF
Abusing & Securing XPC in macOS apps
SecuRing
 
PDF
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
SecuRing
 
PDF
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
SecuRing
 
PDF
Let's get evil - threat modeling at scale
SecuRing
 
PDF
Attacking AWS: the full cyber kill chain
SecuRing
 
PDF
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
SecuRing
 
PDF
Budowanie i hakowanie nowoczesnych aplikacji iOS
SecuRing
 
PDF
We need t go deeper - Testing inception apps.
SecuRing
 
PDF
Building & Hacking Modern iOS Apps
SecuRing
 
Developer in a digital crosshair, 2023 edition - 4Developers
SecuRing
 
Developer in a digital crosshair, 2022 edition - Oh My H@ck!
SecuRing
 
Developer in a digital crosshair, 2022 edition - No cON Name
SecuRing
 
Is persistency on serverless even possible?!
SecuRing
 
What happens on your Mac, stays on Apple’s iCloud?!
SecuRing
 
0-Day Up Your Sleeve - Attacking macOS Environments
SecuRing
 
Developer in a digital crosshair, 2022 edition
SecuRing
 
20+ Ways To Bypass Your Macos Privacy Mechanisms
SecuRing
 
How secure are webinar platforms?
SecuRing
 
20+ Ways to Bypass Your macOS Privacy Mechanisms
SecuRing
 
Serverless security: attack & defense
SecuRing
 
Abusing & Securing XPC in macOS apps
SecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
SecuRing
 
WebApps vs Blockchain dApps (SmartContracts): tools, vulns and standards
SecuRing
 
Let's get evil - threat modeling at scale
SecuRing
 
Attacking AWS: the full cyber kill chain
SecuRing
 
Web Apps vs Blockchain dApps (Smart Contracts): tools, vulns and standards
SecuRing
 
Budowanie i hakowanie nowoczesnych aplikacji iOS
SecuRing
 
We need t go deeper - Testing inception apps.
SecuRing
 
Building & Hacking Modern iOS Apps
SecuRing
 

OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce

  • 1. OWASP Poland Chapter Leader Wojciech Dworakowski OWASP CISO Survey 2014 Wstępne wyniki polskiego badania
  • 2. Misja: Poprawa stanu bezpieczeństwa aplikacji 100+ Local Chapters Standardy, przewodniki, narzędzia Lokalne spotkania, konferencje W Polsce od 2007 – Warszawa, Kraków, Poznań
  • 3. Ankieta dotycząca zarządzania bezpieczeństwem aplikacji Kierowana do CISO Ponad 500 respondentów z całego Świata 64 ankiety z Polski Uwaga: Poniżej wstępne porównanie wyników z Polski z 2014 z wynikami globalnymi z 2013 OWASP CISO Survey 2014
  • 4. 62% - manager ds. bezpieczeństwa IT 18% - manager ds. IT 15% - network/systems administrator 6% - inne Stanowisko
  • 6. Polska Świat Organizacje biorące udział w badaniu Administracja państwowa eCommerce Media i rozrywka Nieruchomości Technologia Telekomunikacja Firmy i usługi profesjonalne Inne Bankowość i rynki kapitałowe 0,0% 10,0% 20,0% 30,0% 40,0% 0 10 20 30 Automotive Chemicals Real Estate Transportation Retail & Wholesale Technology Consumer Products Aerospace and Defense Oil & Gas Power & Utilities Media & Entertainment Telecommunications Government & Public Sector… Professional Firms & Services Technology Other (please specify) Banking & Capital Markets
  • 7. Polska Świat Organizacje biorące udział w badaniu (zasięg działania) Krajowy 56% Regionalny 19% Globalny 25% National; 47 Regional; 26 Global; 74
  • 8. Zagrożenia - przewidywania 17% 42% 85% 80% 71% 50% 13% 20% 12% 8% 2% Świat Polska Świat Polska Wewnętrzne Zewnętrzne Wzrost Bez zmian Spadek
  • 9. Jakiego rodzaju osoby mogą zaatakować firmę? Hakerzy amatorzy Grupy przestępcze/ profesjonalni oszuści Osoby wewnątrz firmy/ pracownicy Osoby zaangażowane w szpiegostwo korporacyjne/… Aktywiści / Osoby anonimowe Konkurenci Szpiedzy sponsorowani przez państwo Dostawcy/ partnerzy
  • 10. Źródła ryzyka dla aplikacji (top 5) Polska Świat 1 Brak świadomości w kwestiach bezpieczeństwa aplikacji w firmie Lack of awareness of application security issues within the organization 2 Tworzenie niebezpiecznego kodu źródłowego Insecure source code development 3 Dostawcy zewnętrzni i outsourcing (np. brak bezpieczeństwa, brak kontroli) Poor/inadequate testing methodologies 4 Brak budżetu na wsparcie inicjatyw z zakresu bezpieczeństwa aplikacji Lack of budget to support application security initiatives 5 Kadry (np. brak kompetencji w zakresie bezpieczeństwa w zespole) Staffing (e.g., lack of security skills within team)
  • 11. Cel ataków / Obszary ryzyka 51% 51% 25% 36% Polska Świat Aplikacje Infrastruktura Inne
  • 12. Polska Świat Liczba incydentów związanych z aplikacjami Żadnego; 42,1% 1 2 5 10 20 Ponad 100
  • 13. 1.Przerwanie działania 2.Naruszenie reputacji 3.Bezpośrednia strata finansowa 4.Utrata lub narażenie danych osobowych 5.Utrata danych klienta Główne typy szkód spowodowane atakami (PL)
  • 14. Inwestycje w bezpieczeństwo IT 43% 47% 36% 38% 50% 40% 55% 52% 7% 13% 10% 10% Polska Świat Polska Świat bezpieczeństwo aplikacji bezpieczeństwo infrastruktury Zwiększają się Na tym samym poziomie Zmniejszają się
  • 15. 1 Zarządzanie ryzykiem IT / bezpieczeństwa informacji 2 Zapobieganie wyciekowi / utracie danych 3 Wdrażanie standardów bezpieczeństwa 4 Przeglądy kodu 5 Infrastruktura bezpieczeństwa aplikacji (np. WAF) Bezpieczeństwo urządzeń mobilnych Bezpieczeństwo infrastruktury (np. programy antywirusowe, IDS, IPS, wgrywanie poprawek) Technologie i procesy zarządzania podatnościami warstwy aplikacji Umiejętności w zakresie reakcji na incydenty Testy penetracyjne Priorytety w zakresie bezpieczeństwa IT (na nadchodzące 12 miesięcy)
  • 16. Priorytety w zakresie bezpieczeństwa aplikacji (na nadchodzące 12 miesięcy) Polska Świat 1 Przeglądy kodu Security awareness and training for developers [PL #7] 2 Wdrożenie infrastruktury bezpieczeństwa aplikacji (np. WAF) SDLC - Secure development lifecycle processes (e.g., secure coding, QA) 3 Technologie i procesy zarządzania podatnościami warstwy aplikacji Security testing of applications (dynamic analysis, runtime observation) 4 Testy bezpieczeństwa aplikacji (analizy dynamiczne, na uruchomionej aplikacji) Application layer vulnerability management technologies and processes 5 SDLC – bezpieczeństwo w cyklu wytwarzania oprogramowania (np. bezpieczne kodowanie, procesy QA) Code review
  • 17. W trakcie realizacji inicjatyw z zakresu bezpieczeństwa aplikacji w Państwa organizacji, jak duże wyzwanie stanowią poniższe kwestie? Polska Świat 1 Odpowiedni budżet Availability of skilled resources 2 Dostępność wykwalifikowanych zasobów Level of security awareness by the developers 3 Świadomość kadry zarządzającej i sponsorowanie Management awareness and sponsorship 4 Poziom świadomości bezpieczeństwa u programistów Adequate budget 5 Sprzeczne wymagania biznesowe Organizational change
  • 18. Narzędzia wspomagające 61% 48% 22% 19% 21% 27% 33% 15% 18% 24% 44% 65% Skanery podatności aplikacji Web application firewall (WAF) Skanery lub analizatory kodu źródłowego Analizatory „runtime” Obecnie używane Planowane (12-18 miesięcy) Nie planujemy stosowania
  • 19. Polska Świat OWASP Top-10 Application Security FAQ CISO Guide Testing Guide Zed Attack Proxy (ZAP) Application Security Verification Standard (ASVS) OWASP Top-10 Cheatsheets Development Guide Secure Coding Practices Quick Reference Application Security FAQ Najbardziej przydatne projekty OWASP
  • 20. Większość trendów pokrywa się Incydenty: Polska 58%, Świat 21% Priorytety w zakresie bezpieczeństwa aplikacji Świat: Szkolenie developerów, SDLC Polska: Przeglądy kodu, infrastruktura zabezpieczeń Największym wyzwaniem w Polsce jest budżet Polska vs Świat
  • 21. Tłumaczenie wyników lokalnych na angielski Agregacja wyników z wersji zlokalizowanych Analiza wyników globalnych i publikacja raportu z całości badania (Q2 2015) Analiza wyników polskich, porównanie z globalnymi i publikacja raportu (Q2 2015) OWASP CISO Survey 2014 – co dalej?
  • 22. Informacje o raportach i innych działaniach OWASP Poland: WWW Lista 23 https://www.owasp.org/index.php/Poland https://lists.owasp.org/mailman/listinfo/owasp-poland https://www.linkedin.com/groups/OWASP-Poland-8179731 https://twitter.com/owasppoland https://www.facebook.com/pages/OWASP-Poland-Local-Chapter
  • 23. Pytania ankietowe: https://www.owasp.org/index.php/CISO_Survey_2014_Questionnaire Informacje o projekcie i raport z 2013: https://www.owasp.org/index.php/OWASP_CISO_Survey_Project OWASP CISO Guide: https://www.owasp.org/index.php/Application_Security_Guide_For_CISOs OWASP OpenSAMM: http://www.opensamm.org/ Pytania i uwagi: [email protected] Materiały dodatkowe