No artigo anterior falamos sobre o que são os Security Champions, e aqui abordaremos a criação de um modelo de formação destes profissionais dentro do processo de Application Security.
Para entender como podemos formar este grupo de profissionais, temos que nos lembrar quem são e o que fazem os Security Champions. Vimos que temos definições distintas a depender do ponto de vista de cada organização. No entanto, quando o foco é Application Security, é importante entender como este profissional pode fazer diferença no processo de desenvolvimento seguro.
De forma simples, temos que entender que o profissional designado a ser Security Champion não deve receber essa responsabilidade de forma imposta. Isso deve partir do próprio profissional de forma orgânica e alinhada com os objetivos de sua carreira, ou então corre-se o risco do efeito ser oposto ao desejado para o processo de desenvolvimento seguro. Nos próximos tópicos vamos apresentar uma estrutura que pode ajudar na busca e na formação deste profissional.
Por onde começar a formação?
A figura do Security Champion deve ser formada a partir de profissionais que atuam em times de desenvolvimento, assim fica mais fácil desenvolver habilidades e conhecimentos alinhados com Application Security. Desta forma, ele poderá orientar o desenvolvimento neste novo modelo falando a mesma língua de seus colegas e pensando na segurança desde o desenvolvimento.
Conheça seu time
É de se esperar que o primeiro passo para a criação de um Security Champion seja conhecer todos os times, desta forma torna-se possível mapear os desenvolvedores que demonstram um interesse pelo assunto, bem como o cenário onde atuarão os futuros profissionais de segurança em desenvolvimento.
O mapeamento dos times permite identificar vários fatores: a tecnologia usada nos projetos, as linguagens utilizadas e também os serviços ou projetos que estejam em desenvolvimento. Neste processo destacam-se ainda as habilidades dos membros dos times, o que facilitará um possível programa de treinamento.
Ao buscar pelo Security Champion dentro dos times, é importante deixar claro que o objetivo é a mudança cultural necessária para que um processo de desenvolvimento seguro aconteça de dentro para fora nas equipes, de modo que afete toda a empresa.
Esse tipo de mensagem é muito forte e importante para garantir o apoio de todos para o projeto de formação de Security Champions, pois todos se sentirão representados dentro do processo.
Defina as regras
A partir do processo de identificação dos profissionais dos times, juntamente com o mapeamento das habilidades, tecnologias e linguagens existentes, é possível ter uma visão mais clara do cenário como um todo. Agora é hora de começar a planejar ações para a criação de um Security Champion.
É hora de focar na elaboração de um objetivo tangível para o Security Champion.
Como todo projeto que implica mudanças, é necessário partir de um ponto de referência: onde estamos e que etapas devemos seguir para chegar onde queremos?
De forma geral, não queremos aqui falar sobre como medir ou mensurar o status atual do cenário, mas podemos dizer que seguindo o SAMM você será capaz de criar tudo o que é necessário neste momento.
Caso tenha criado o GAP usando o SAMM, é possível perceber como os Security Champions poderão ajudar: se a presença destes profissionais é mais necessária na definição de requisitos, em eventuais identificações de vulnerabilidades ou mesmo na aplicação de melhores práticas de segurança em desenvolvimento.
Ainda dentro dessa etapa, é preciso criar regras claras de atuação dos Security Champions. Estas regras irão balizar a atuação e interação destes profissionais com os times de desenvolvimento e de segurança, bem como o tipo de comunicação mantida e quando eles devem atuar diretamente em uma vulnerabilidade.
Se você ainda tem alguma dúvida sobre como os Security Champions podem ajudar, aqui temos uma pequena lista de possíveis atividades:
- Realizar ou ajudar na realização de revisões de segurança para os times
- Ajudar com a observação de melhores práticas de segurança
- Desenvolver Modelagem de Ameaças para aplicativos novos e em evolução
- Participar de movimentos de P&D – Pesquisa e Desenvolvimento
- Ajudar e orientar na identificação de requisitos de segurança
- Avaliar e estudar bugs em código
- Servir de elo de contato entre as demais equipes da área de segurança.
Entenda que aqui não há uma lista engessada de atividades que estes profissionais devem realizar, vale a experimentação e a evolução de seu processo.
Quem são os Security Champions?
É importante observar que a identificação e escolha dos Security Champions deve ser participativa, de forma que todo o grupo sinta-se contemplado no processo de decisão. Isso traz mais legitimidade para o profissional e mostra que o time é importante neste processo, fortalecendo laços e fazendo com que eles se sintam valorizados enquanto profissionais.
O apoio dos gestores, tanto dos times como das áreas, também é muito importante. Criando este espaço para que eles se manifestem, ficam mais claros os desafios que serão enfrentados com a mudança de postura dos times.
Para identificar os melhores profissionais, comece a fazer pequenas entrevistas com os selecionados, explicando o papel que irão desempenhar e como devem se colocar perante seu time. Ajuste com eles qual é o melhor caminho a se tomar dentro da estrutura de desenvolvimento.
O importante é deixar claro que isso não é uma imposição, isso tem que partir do próprio candidato, deixando que ele se posicione espontaneamente a partir de sua visão.
Se tudo correr bem você terá seus Security Champions, e agora é a hora de apresentá-los e deixar claro aos times que eles serão seus pontos de contato quando o assunto é AppSec.
Para os Security Champions, deixe claro as atribuições, metas e planos para alcançar. Eles devem ser livres para construir seus planos de ação para buscar o objetivo de segurança definido na primeira fase.
Como vão se comunicar?
Agora que todos estão atuando em seus times, temos que pensar em como integrar os Security Champions de forma que mantenham a troca de conhecimento, mantendo o foco no objetivo. Lembre-se: os times de desenvolvimento não podem ser vistos como ilhas.
Para isso, é preciso que sejam desenvolvidos os canais de comunicação.
A criação e escolha destes meios de comunicação depende muito do estilo e da cultura da empresa. Os mais comuns são:
1. Comunicadores como Slack
2. Lista de Emails
3. Canais de IRC
4. Wikis ou mesmo páginas internas.
A questão é que não existe um modelo, a comunicação precisa se adequar a cultura e ao modo como todos já estão acostumados a trabalhar. Não queremos “inventar a roda”, mas sim agilizar o processo.
Temos que ter em mente que estes canais devem ser um meio fácil e rápido de troca de conhecimento e de constante contato entre os Security Champions e as pessoas que serão impactadas por suas atividades. Receber e dar feedbacks são algumas das importantes atividades que devem ser praticadas nos canais.
Para manter tudo alinhado, identifique e crie momentos periódicos de troca de informações e avaliação sobre o progresso dos planos e objetivos criados. Isso manterá os Security Champions atentos e focados em um mesmo caminho.
Como fica o conhecimento?
Não é segredo: quando todos estiverem trabalhando afiados com seus novos processos, gerando conhecimento e mudando uma série de antigas mentalidades, o nível de segurança dos produtos crescerá.
Este conhecimento desenvolvido e aprendido com a experiência é valioso e precisa ser cuidadosamente trabalhado. Para isto, é de extrema importância que exista um processo de gestão de conhecimento, bem como o planejamento da criação de uma base de conhecimento.
O objetivo principal desta base de conhecimento é se tornar a primeira fonte de respostas para as perguntas relacionadas com AppSec.
Esta base de conhecimento também servirá de fonte de consulta para outras pessoas, que não somente os Security Champions e os integrantes dos times de desenvolvimento. Na página que organiza este conhecimento, podem ser disponibilizados planos de segurança para o desenvolvimento, melhores práticas, políticas de desenvolvimento e outros pontos que podem ajudar a fomentar preocupação com segurança relacionada à AppSec.
Temos que motivar!
É inevitável: em algum momento teremos que dar um novo choque de energia para motivar a todos!
O objetivo aqui é criar um sistema de atividades e eventos que possam manter o interesse tanto dos Security Champions, criando ainda o interesse de novos candidatos.
A estruturação de um calendário de eventos pode ser uma ótima forma de criar espaço para a troca de experiências, divulgação de boas mudanças e resultados, além de fatores que podem ser melhorados dentro do processo.
No entanto este período de troca de conhecimento não precisa ser obrigatoriamente um evento: pode ser um pequeno momento de conversa ou mesmo pequenos textos produzidos pelos Security Champions, apresentando sua experiência ou resultado de um teste.
Para aqueles que desejam se candidatar a novos Security Champions, a produção de newsletters pode ser uma grande incentivo à troca de conhecimento. Estas mensagens podem inclusive ser escritas pelos atuais Security Champions, mantendo ativa a busca pelo conhecimento.
Aqui o importante é manter o seu time engajado!
SAIBA MAIS SOBRE NOSSOS SERVIÇOS
O que esperar?
Depois de implementado o processo, é avaliar sua eficácia e questionar: afinal, este foi ou não um bom investimento de tempo e recursos?
Não existem garantias de que, mesmo após todo este esforço, o produto será totalmente seguro ou mesmo de que haverá mudanças substanciais na cultura dos times de desenvolvimento. Afinal, isto depende de incontáveis fatores.
Com base em nossa experiência, o que podemos afirmar é que a presença de Security Champions no time de desenvolvimento trará uma visão completamente diferente sobre o que é desenvolvimento seguro e como pensar produtos com mais segurança.
Um passo à frente e você já não está mais no mesmo lugar… No pior cenário, o aprendizado é garantido!
