Risikomanagement in Softwareprojekten
Dr. Thomas Liedtke
Dr. Thomas Liedtke Thomas Liedtke ist promovierter Informatiker. In großen und kleinen Unternehmen hat er unterschiedliche verantwortungsvolle Rollen übernommen. Insbesondere die Leitung von Projekten, Organisationen und Beratung hat es ihm angetan. Zur Zeit ist er als Berater bei unterschiedlichen Kunden in verschiedenen Branchen unterwegs; vor allem in den Bereichen funktionale Sicherheit, Information Security, Cybersecurity, Privacy und Projektmanagement. Thomas Liedtke engagiert sich in verschiedenen (Standardisierungs-) Gremien wie z.B. der ISO, ZVEI, intacs und andere.
Schwerpunkt ist die Identifikation und Bewertung von Risiken sowie deren Umgang und Behandlung. Auch Methoden zur Gefahren- und Bedrohungsanalyse werden erläutert und anhand praktischen Projektbeispielen eingeübt. Verschiedene Standards (ISO, SPICE, BSI, NIST) werden betrachtet und deren Fokus beschrieben.
Ziel der Weiterbildung
Nach erfolgreichem Besuch dieses Seminars sind Sie in der Lage, die Bedeutung des Risikomanagements für IT- und Softwareprojekte einzuschätzen und kennen die wesentlichen Grundprinzipien und Vorgehensweisen im Risikomanagement. Sie erkennen den Bezug des Risikomanagements zum Projekt- und Qualitätsmanagement und können die wesentlichen Projektrisiken identifizieren und analysieren sowie geeignete risikominimierende Maßnahmen definieren. Darüber hinaus lernen Sie eine Projektbewertungsmethodik für den Projektfortschritt und die monetäre Bewertung von Softwareprojektrisiken sowie Werkzeuge und Methoden für Risikobewertungen kennen.Methodik
Mix aus Theorie, Vorträgen und vielen praxisnahen Beispielen und Übungen. Die Übungen beziehen sich sowohl auf organisatorische, finanzielle und technische Risiken.
Donnerstag, 30. November und Freitag, 1. Dezember 2023
8.30 bis 16.30 Uhr, inkl. Pausen
1. Einführung in den Begriff Risiko-Management
- Definition aus unterschiedlicher Sicht:
generell (z.B. ISO 31000)
Beispiele für "Sicherheit" und “Risiko”
Managementsysteme - Projekt-spezifisch
Software-spezifisch (z.B. nach SPICE)
Risiko der Aufwandsschätzung
Arten unterschiedlicher Risiken
Firmen- und Managementsicht - Zusammenspiel unterschiedlicher Risikoarten und dazugehöriger Risiko-Assessment-Methoden
- Aufbau eines Risikomanagement-Systems
2. Aufgaben – Methoden – Risikoidentifikation und -bewertung
- Wie können Risiken identifiziert werden?
Werte-orientiert, Schadens-orientiert, Bedrohungs-orientiert
Top-Down-Ansatz vs. Bottom-Up-Ansatz
Wie können passende Schutzwerte identifiziert und gefunden werden? - In einer Übung werden die Ansätze erprobt und verglichen
3. Risikoassessment-Methoden
- Definitionen von Risiko
- Risikofaktoren und Schutzwerte
- Methoden zur Risikobewertung verschiedener Modelle. Z.B.: NIST SP 800-30, BSI 200-3; ISO/IEC 27005; HEAVENS
- Frameworks zur Risikobewertung
4. Produktrisiken: Bedrohungsmodellierung
- Methoden z.B. HEAVENS, MS-STRIDE, P.A.S.T.A., TVRA,
- Bedrohungskataloge
- Präventive und analytische Methoden zur Risikominimierung in der Entwicklung von Software
- Top 10 Unzulänglichkeiten in der Softwareentwicklung
- Bedrohungsmodellierung in Sicherheitsrelevanten Projekten
5. Risikobasiertes Projektmanagement und Testen
- risikobasierter Ansatz im Management als -Prozess
Ziele: Identifizierung, Analyse, Behandlung, Überwachung
Praktiken - SW Entwicklung und Architektur
- Beispiel risikobasiertes Vorgehen in sicherheitsgerichteten Projekten (Safety, Security, …)
- risikobasierte Testmethoden für Produkte:
Penetrationstest, Bug Bounty, Vulnerability Scanning - Risikoreduktion in der Aufwandsabschätzung
6. Controls und Maßnahmen
- Identifikation/Auswahl geeigneter organisatorischer und technischer Maßnahmen und Controls zur Risikoverminderung
Vorgaben und Kataloge wie z.B. NIST SP 800-53
Control-Familien - Übung: Aufsatz eines Risikomanagements (initial, kontinuierlich) für ein Beispielprojekt
- Einführung in eine Bedrohungsanalyse und Risikobewertungs-Methode
- Übung: Durchführung einer eigenen Bedrohungs- und Risikobewertung an einem Beispielprojekt
7. Monitoring von Risiken
- Verfolgung und Aktualisierung von Risikoanalysen in Projektwartungsphasen bis Life-End
8. Risikomanagementsysteme
- Bestandteile:
Prinzipien: Integriert, strukturiert, …
Framework: Integration, Design, Implementierung, …
Prozess: Risikobewertung, Monitoring, Kommunikation, ...
9. Beispiele für Risikomanagementsysteme und Risikomanagement in Projekten/Produkten
- Projektbewertung zu Beginn, zur Laufzeit
- Laufzeitüberwachung, Neubewertung
– Produktmanager
– Projektmanager
– Testmanager
– Qualitätsmanager
– Entwicklungsleiter
– System und SW Architekt
Dr. Thomas Liedtke
ONLINE
Die Teilnahme beinhaltet ausführliche Unterlagen.
Preis:
Die Teilnahmegebühr beträgt:
1.240,00 €
(MwSt.-frei)
pro Teilnehmer
Fördermöglichkeiten:
Bei einem Großteil unserer Veranstaltungen profitieren Sie von bis zu 70 % Zuschuss aus der ESF-Fachkursförderung.
Bisher sind diese Mittel für den vorliegenden Kurs nicht bewilligt. Dies kann allerdings auch kurzfristig noch geschehen. Wir empfehlen Ihnen daher Kontakt mit unserer Anmeldung aufzunehmen. Diese gibt Ihnen gerne Auskunft über den aktuellen Beantragungsstatus.
Weitere Bundesland-spezifische Fördermöglichkeiten finden Sie hier.
Inhouse Durchführung:
Sie möchten diese Veranstaltung firmenintern bei Ihnen vor Ort durchführen? Dann fragen Sie jetzt ein
individuelles
Inhouse-Training
an.
Weitere Termine und Orte
Dies könnte Sie auch interessieren:
Fragen zur Veranstaltung?
Ihr Ansprechpartner für die Veranstaltung
