Secure System Acquisition and Development

Deze opleiding wordt in het Engels gegeven.

Over deze cursus

Het integreren van security en privacy in de software acquisitie, ontwikkeling en beheerpraktijken van een organisatie kan een uitdagende opdracht zijn. Er zijn tal van factoren waarmee rekening moet worden gehouden bij het uitstippelen van het verdere traject, waaronder de organisatiestructuur, prioriteiten van stakeholders, technologie stacks, tools en processen, en bestaande technical debt. Hoe past security binnen waterfall, agile en DevOps manieren van werken? Welke frameworks kunnen u hierbij ondersteunen?

Bij het evalueren, aankopen of ontwikkelen van systemen en applicaties, of bij het gebruik van cloud services, hoe zorgt u ervoor dat de juiste en relevante security vereisten worden gedocumenteerd en gevalideerd vóór een applicatie of dienst wordt aangekocht of ontwikkeld?

In moderne cloud gebaseerde infrastructuren zijn CI/CD pipelines de standaard. Maar wat betekent dit concreet? Wat zijn de security voordelen van automatisatie?

Hoe zorgt u ervoor dat de security vereisten die aan het begin van een project worden vastgelegd ook effectief worden geïmplementeerd? Welke mogelijkheden voor security testing bestaan er? Ontdek meer over SAST, DAST en IAST en hoe u deze kunt inzetten om te verifiëren dat security correct is ingebouwd.

Met deze module Secure System Acquisition and Development leren we u hoe u een Secure Software Program (SSP) opzet en verbetert om de identificatie, analyse en specificatie van information security vereisten te beheren. Daarnaast behandelen we het beveiligen van applicatiediensten binnen ontwikkel- en ondersteuningsprocessen, technische review beperkingen bij wijzigingen aan softwarepakketten, secure system engineering principes, een veilige ontwikkelomgeving, uitbestede ontwikkeling, system security testing en de bescherming van testdata.

Waarom deze cursus volgen?

Aan het einde van deze cursus hebt u een grondig inzicht in:

• Het Software Security Program
• Security en privacy by design en by default
• Het definiëren van security vereisten
• Het beveiligen van CI/CD pipelines en automatisatie
• Security testing

Doelgroep

Deze module is bedoeld voor informatie- en cybersecurity officers, managers en security professionals die een software security program willen opstarten of verbeteren. Ook professionals actief in software management halen voordeel uit deze cursus.

Leerdoelen

Wat u concreet leert:

• Inzicht in moderne software development practices
• Het opstarten en verbeteren van een Secure Software Program (SSP)
• Het definiëren en beheren van secure software metrics
• Begrip van het waarom en wat van threat modeling
• Het afstemmen van threat modeling met stakeholders
• Het integreren van security en privacy by design en by default binnen het SSP
• Het beheren van security vereisten via een vierstappenproces
• Het afstemmen van security vereisten met software leveranciers
• Inzicht in de CI/CD pipeline en haar componenten
• Het inbedden van security controls in CI/CD pipelines
• Het begrijpen en integreren van verschillende vormen van security testing binnen het SSP
• Het beheren van software kwetsbaarheden
• Het opstellen van een security testing strategie

Leerbenadering

Bij het opzetten en beheren van een Secure Software Programme bestaan verschillende benaderingen. Een one size fits all aanpak bestaat niet.

Daarom heeft deze cursus een dubbel doel. Enerzijds maakt ze u vertrouwd met de huidige frameworks en best practices. Anderzijds krijgt u de praktische vaardigheden aangereikt om deze correct toe te passen binnen uw organisatie.

De cursus wordt gegeven door ervaren professionals met jarenlange praktijkervaring. Zij delen concrete inzichten en focussen op de essentie. De opleiding combineert theoretische modellen, frameworks en best practices met praktische hands on oefeningen om de opgedane kennis toe te passen in real life situaties.

• Theorie
  Best practices in DevSecOps en AppSec
• Case study
  U treedt op als security advisor voor een development team dat een nieuwe app functionaliteit bouwt en ervoor zorgt dat user stories security criteria bevatten
• Praktische opdracht
  Uitvoeren van een threat model op een specifieke user story of het ontwerpen van een security test strategie
• Feedback
  Presentatie en verfijning van uw model tijdens de online sessie

Eindresultaat

Aan het einde van de cursus ontvangt u een certificaat van deelname. Deze module bevat geen examen en leidt niet tot een officiële certificering.

Bonus trainingspakket

• Trainingsmateriaal in print en PDF
• Handouts van de presentaties met notities
• Extra online leermateriaal
• Een lijst met nuttige links met bijkomende informatie over standaarden en frameworks die tijdens de cursus werden besproken
• De oefeningen en bijhorende oplossingen, waar van toepassing

Hoe bereid je jezelf voor

Dit is een klassikale, niet technische cursus. Breng iets mee om bijkomende notities te nemen, zoals een laptop, notitieboek of tablet.

Voorkennis

• Basiskennis van IT en software development
• Enige ervaring in een corporate omgeving als manager kan nuttig zijn, maar is geen vereiste

Tussen de twee fysieke opleidingsdagen en de online follow up sessie krijgt u huiswerk:

• Het voltooien van de online knowledge assessment
• Het voorbereiden van een opdracht voor bespreking tijdens de online sessie