Existem alguns pontos que, na Conviso, entendemos ser bem importantes quando falamos em continuidade de um programa de Security Champions. Isso vale para tanto param que está com seu programa operacional, quanto para quem está desenhando o seu programa.
Você pode ouvir a nossa versão em áudio desse artigo:
Ao falarmos de Security Champions, sempre temos o cuidado de destacar nosso entendimento relacionado à AppSec. Esse cuidado é fundamentado porque temos alguns entendimentos distintos quanto à figura do Security Champion, e isso não quer dizer que nós estejamos certos e outros estejam errados, apenas é como posicionamos este profissional.
Conhecimento é fundamental
Quando buscamos criar nosso time de Security Champions, tentamos criar uma equipe que já tenha algum conhecimento sobre desenvolvimento seguro e as melhores práticas de desenvolvimento. Isso é importante, mas não fundamental.
Portanto, o que procuramos inicialmente em um profissional que deseja atuar como Security Champion é a vontade de aprender e a adquirir mais conhecimento.
Proporcionar a estes profissionais meios e recursos que possam entregar conhecimento é um dos principais objetivos que um gestor de desenvolvimento e ou segurança deve ter.
E apos criar o time?
Assim que tiver o seu time criado e organizado, é preciso que você forneça a eles os melhores recursos possíveis. Estes podem ser relacionados a treinamentos, ferramentas, grupos de estudo e tudo mais que possa auxiliar na construção de um conhecimento robusto.
Criar a cultura da aquisição de conhecimento é um fator fundamental para a criação de um programa de Security Champions, isso garantirá que seu time se mantenha atualizado e entregando para suas equipes de desenvolvedores as melhores oportunidades de construção de um código seguro.
Seu time tem que ter um objetivo claro
Não adianta nada montarmos um grupo de profissionais que atuarão como Security Champions se não definirmos claramente quais serão seus objetivos.
A definição clara dos objetivos é que vai proporcionar ao time de Security Champions buscar por meios que possam ajudar a alcançar o objetivo. Sem essa definição, o que veremos é um grupo de pessoas sem muita sinergia e alinhamento.
LEIA TAMBÉM: Como formar seu time de security champions
A importância de definir objetivos
Como em qualquer processo e estruturação, a definição dos objetivos é a base sobre a qual serão desenvolvidos os trabalhos.
Ainda, é com base nos objetivos que será possível identificar qual o melhor perfil a ser buscado para atuar como Security Champion, ou mesmo em qual área será a atuação deste grupo.
Um bom ponto a ser observado quando temos a definição de objetivos é que estes devem ser medidos e acompanhados.
Sendo assim, sempre que você criar um objetivo, crie também um conjunto de métricas que darão suporte para que sua equipe saiba que está evoluindo e como pode ajustar algum ponto caso algo não esteja seguindo na direção desejada.
Seus Security Champions sabem sobre suas funções?
Mesmo que você tenha definido os objetivos do time, também é necessário que sejam definidos os limites de atuação do Security Champion.
Definir estes limites e como eles podem desenvolver melhor as suas funções auxilia ao time de Security Champions a aumentar o suporte aos demais times de desenvolvimento e segurança.
Um exemplo de funções que podem ser definidas é quem será o Security Champion encarregado de realizar palestras e pequenos workshops para times não técnicos.
Essa percepção de funções é importante para que você possa buscar dentro do time o perfil correto e ideal para as funções desenhadas, uma vez que de nada adianta colocar um profissional como o realizador de palestras se ele não tem a habilidade necessária para a tarefa.
Aproveitando: é neste momento que serão identificados os gaps de conhecimento e habilidades dos membros do time de Security Champions.
Com estes gaps identificados, é possível a construção de um programa de treinamentos que pode ajudar a reduzir a falta de conhecimento e habilidades.
Seu processo de desenvolvimento seguro está estabelecido?
Este ponto bem que pode ser o primeiro a ser observado.
Não adianta termos um programa de formação e atuação de Security Champions se não temos um Processo de Desenvolvimento Seguro estabelecido.
Um processo de Desenvolvimento Seguro será a base sobre a qual o time de Security Champions irá atuar, e sem ele, dificilmente sua empresa terá um resultado positivo quando o assunto é desenvolvimento seguro.
Sobre o processo de desenvolvimento seguro, muitos acreditam que este tipo de solução só é possível quando temos um processo de desenvolvimento ágil.
É possível mesmo que com um modelo mais tradicional de desenvolvimento termos um pensamento de segurança sendo usado e implementado.
Um processo de desenvolvimento seguro está fortemente baseado em melhores práticas e em processos de automação de etapas do processo, no entanto, muito mais forte que estes pontos é o aspecto cultural do desenvolvimento seguro.
A mudança de pensamento das equipes de desenvolvimento é o que dá sentido ao processo de desenvolvimento seguro e o restante são recursos de suporte.
Sendo assim, é importante que o processo seja culturalmente aceito dentro das equipes de desenvolvimento e que está cultura possa ser reforçada pelos times de Security Champions.
Dê tempo aos seus Security Champions
Um dos aspectos que sempre encontramos é a participação de membros de um time de desenvolvimento nos times de Security Champions.
Isso é positivo e realmente muito saudável, pois sempre será mais fácil a este profissional tratar diretamente com os times de desenvolvimento por falarem a mesma “língua”.
No entanto, o que podemos perceber é que muitas vezes este profissional que realiza um dupla função termina não agendado um tempo para atuar como Security Champion, pois sempre entende que sua atuação primária é o de desenvolvedor e que ele não pode comprometer este tempo.
Isso é um problema, pois a função do Security Champion acima de tudo é a mudança cultural e de pensamento de seus colegas desenvolvedores, mas sem este tempo dedicado a isso, este objetivo fica totalmente comprometido.
LEIA TAMBÉM: Security Champions – você precisa pensar sobre isso
Tempo para o conhecimento
“Os participantes do nosso programa Security Champions dedicam cerca de 25% de seu tempo ao programa, o que é importante para permitir que eles aprendam e pratiquem totalmente as técnicas de segurança. Como esse tempo é retirado de sua carga de trabalho típica, é essencial ter a adesão do gerente de um Security Champion desde o início.” — Jim Hamilton
É importante que os gestores entendam que é importante que estes profissionais atuem em seus papéis de Security Champions, e eles devem ser encorajados a usar seu tempo para expor seu conhecimento ou mesmo participar de treinamentos que proporcionem mais conhecimento ao time.
Finalmente, temos que perceber que se desejamos um time de Security Champions atuante e que realmente traga resultados positivos para nosso processo de desenvolvimento seguro, precisamos estrutura este time e todos os recursos necessários para que isso aconteça.
Há oportunidades para que todos ganhem com o processo de introdução de Security Champions nas empresas, e precisamos entender que, ao disponibilizar este tipo de oportunidade aos nossos colaboradores, estamos ganhando mais conhecimento e mais força dentro da cultura de desenvolvimento seguro.
