Czym dzisiaj jest DevSecOps i jakie są zalety tego modelu operacyjnego. Czy DevSecOps jest Agile. Czy wdrożenie DevSecOps to zmiana technologiczna, organizacyjna, a może kulturowa/ Dla kogo jest DevSecOps. Od czego zacząć jeśli zdecydujesz się na wdrożenie DevSecOps w swojej organizacji. W prezentacji podejmię te dylemtaty na bazie własnych doświadczeń.

DevSecOps ma za zadanie usprawnić i „uzwinnić” proces wytwórczy, dlatego jego nieodłącznymi elementami są współpraca i częsta komunikacja między zespołami, współdzielenie narzędzi oraz wspólne podejmowanie decyzji. Model operacyjny DevSecOps promuje otwartość, zaufanie i odpowiedzialność – to jego największa zaleta.

Temat dotyczy realnego podejścia do implementacji kontroli bezpieczeństwa na podstawie informacji o zagrożeniach. Szczególny nacisk będzie na krytyczne elementy takie jak, priorytety zagrożeń na podstawie aktywności oraz obecnej postury, sposób zapisu informacji dotyczących implementacji zagrożeń, płynny przepływ informacji między funkcjami w zależności od roli a także, połączenie relacyjne oraz ścisła zależność między krytycznymi elementami takimi jak zagrożenia, asset, kontrolę, Podatności, ryzyka.

Małe i średnie organizacje borykają się z wyzwaniami wynikającymi z ich wielości – w dodatku znajdują się między ostrzami nożyć – tworzonych z jednej strony przez wymogi prawa i regulacji sektorowych, a z drugiej spektrum coraz to nowych zagrożeń. Nawet tylko minimalne spełnienie wymagań bezpieczeństwa może być wyzwaniem dla organizacji, które często nie mają odpowiedniej wiedzy i zasobów. Tym bardziej więc warto tutaj uniknąć błędów i bazując na praktycznych wskazówkach, które zaproponuję w prezentacji, szybko i efektywnie zaprojektować i wdrożyć odpowiednie procesy organizacji. Przedstawię trzy różne ustandaryzowane podejścia, których selektywne użycie może pomóc danej Organizacji w opracowaniu skrojonego na miarę potrzeb systemu bezpieczeństwa.

Obecnie modna jest supernowoczesność - niewzruszona wiążącym się z nią biurokratyzmem, kosztownym outsourcem, masowymi zwolnieniami i zwinnie zmieniającymi się celami. Automatyzacja często wcale nie pomogła nam zrozumieć, co oznaczają ważne liczby i dokąd zmierzamy. Standardy nie wyjaśniły, co powinniśmy robić, a metody komunikacji nie poprawiły pracy zespołowej. Okazuje się, że nudna technologia, nudne praktyki i nudne prawdy działają. W prezentacji przedstawię wysoce skuteczne zasady odporne na zmieniające się trendy oraz zewnętrzne i wewnętrzne cyberzagrożenia.

Do the commercial products we deploy on your systems provide back doors to attackers? Was the Solar Winds breach an anomaly or a harbinger of things to come?

Commercial software has become extremely complex. We don’t know what it contains, what it runs, what it connects to or, what data it may be exfiltrating. We assume its security integrity but cannot verify it. The problem is one of economic incentives. The market rewards vendors who can quickly launch software with new features. It rewards products that covertly collect and transmit user data. The market does not reward security or privacy. The market does not reward transparency or resiliency. The market prioritizes profit over security. Why do we fail to recognise this?

This presentation explores our significant reliance on vendors and the premise that the products we purchase from them do not provide attack vectors to our systems. It specifically highlights the vendors we purchase security products from to protect our systems from breaches. Should we place our trust in these vendors - or should we place them on our risk registers?

I will try to give some answers to the below:

• Will have a greater awareness of vendors and their products as threat vectors
• Will have a greater appreciation of the current and future challenges from nation-state threat actors
• Will have recommendations for mitigating vendor and product threat vectors
• Will have recommendations for conducting minimal due diligence on vendors and their products
• Will have a greater awareness of the need for more proactive change in our industry