Security Champions: Você precisa pensar sobre isso

Security Champions

Security Champions e o seu campo de batalha

Existe uma eterna batalha acontecendo dentro da sua empresa: duas das áreas mais importantes estão em conflito há muito tempo e precisamos acabar com esta situação.

Dentro de empresas que produzem softwares é comum existir uma disputa entre duas áreas. As áreas de desenvolvimento e de segurança mantém um conflito que no final afeta ambas. Para a área de desenvolvimento, as equipes de segurança são pontos de gargalo de um processo de desenvolvimento já bem espremido por incontáveis exigências de novas funcionalidades e novos produtos, que devem ser lançados cada vez mais rápido.

Do outro lado temos as equipes de segurança que travam uma batalha com seus próprios colegas, buscando introduzir, nos produtos entregues pelos desenvolvedores mais segurança. Esta batalha nem sempre é fácil de ser travada, pois vai de encontro a algo que, do ponto de vista comercial, é bem mais forte que a validação de um código: faz-se necessário lutar contra as demandas de um mercado cada vez mais inovador e ágil.

Porém, algumas mudanças têm ocorrido. Novas legislações, normas e regulamentos estão exigindo das empresas uma visão mais aguçada sobre a segurança dos produtos entregues ao mercado. Além disso, os próprios usuários estão começando a buscar entender mais sobre como as empresas estão tratando seus dados e como os estão protegendo, e é aí que entra a importância da atuação consciente dos desenvolvedores e das equipes de segurança.

Enquanto especialistas em Segurança de Aplicações(AppSec), sentimos a necessidade de criar uma ponte entre eles para que esta disputa entre as áreas fosse resolvida: acreditamos que esta ponte é o Security Champion.

O que são Security Champions?

Segundo um artigo do Gartner, em 2021 cerca de 35% das empresas estarão empenhadas em construir seus programas de Security Champions. 

No entanto, mesmo notando um aumento de interesse por este assunto, ainda percebemos que grande parte das empresas não tem uma percepção do quanto a criação de times de Security Champions pode impactar positivamente as suas estruturas.

Sobre este tema ainda temos alguns pontos conflitantes, mesmo entre aqueles que o defendem. Para o Gartner, a figura do Security Champion não se limita às equipes de desenvolvimento, para eles o Security Champion é uma figura intersetorial da empresa, e que atua com o objetivo de espalhar a cultura de segurança nos mais diferentes níveis.

Security champions are members of the business, IT or delivery team who receive additional training on pertinent security issues. They act as local gurus who can answer questions, recommend training, and interface with security experts to find answers to deeper questions or escalate issues. These champions are an extension of the security awareness program and may not get into the technical aspects of security issues. They focus on driving the messaging, training and awareness initiatives at a local level.

Em tradução livre: “Security champions são membros do negócio, TI ou delivery team que recebem um treinamento adicional em questões de segurança pertinentes. Eles atuam como gurus locais que podem responder questões, recomendar treinamentos e interagir com especialistas em segurança para encontrar respostas para questões específicas ou problemas crescentes. Esses champions são uma extensão do programa de conscientização de segurança, e podem não chegar ao nível técnico das questões de segurança. Eles focam em direcionar a mensagem, o treinamento e a conscientização em níveis locais.”

A Visão da OWASP

Uma outra visão é a da OWASP, que entende que os Security Champions são membros de times que tem como finalidade a ligação entre as equipes de segurança com outros times, ajudando no entendimento de questões de segurança e na tomada de decisões.

According to OWASP definition, Security Champions are “active members of a team that may help to make decisions about when to engage the Security Team”. They act as a core element of security assurance process within the product or service, and hold the role of the Single Point of Contact (SPOC) within the team.

Em tradução livre: “De acordo com a definição da OWASP, Security Champions são membros ativos de um time que podem ajudar na tomada de decisões sobre quando chamar o Time de Segurança’. Eles agem como o elemento central de do processo de assurance process, seja em relação ao produto ou ao serviço, e cumprem o papel de Ponto Único de Contato (Single Point of Contact – SPOC) com o time.”

O Security Champion dentro da visão de AppSec

Nosso entendimento é que os Security Champions têm uma função mais específica, com foco no produto final das empresas que produzem software internamente ou para terceiros. Entendemos que no mundo de AppSec os Security Champions são membros atuantes das equipes de desenvolvimento, que receberam treinamento específico para se apresentar com os pontos focais de segurança dentro dos times.

Temos esta visão porque acreditamos que quando um membro do time de desenvolvimento se torna um Security Champion, este consegue estabelecer uma melhor comunicação com seus colegas, mudar a cultura do desenvolvimento falando a mesma língua que todos aqueles envolvidos com a produção do software poderão compreender e perceber que o que está sendo passado vem de um dos seus.

O que faz um Security Champion?

Isso depende do ponto de entendimento de quem cria o programa de Security Champions. Como mostramos existem diferentes entendimentos sobre o papel destes facilitadores de segurança dentro das empresas. 

Para o mundo de Application Security, quando falamos sobre as responsabilidades de um Security Champion imaginamos um perfil técnico atuando diretamente com o time de desenvolvimento, alguém que codifique e transmita seu conhecimento em segurança de código a seus colegas. 

Esse perfil funciona bem na maioria das equipes de desenvolvimento, já que  as mudanças e os pensamentos compartilhados partem de um dos membros do grupo, tornando-se, com isso, mais próximos da realidade do dia dia do time.

Entre as principais responsabilidades dos Security Champions está a mudança cultural dos desenvolvedores, que devem passar a ter um olhar mais cuidadoso no trabalho de codificação, aplicando as melhores práticas de desenvolvimento seguro e buscando cada vez mais pensar em segurança no início da criação de seus produtos. 

Um Security Champion, de forma geral, é um transformador cultural para as equipes de desenvolvimento, e também um elo de ligação entre as áreas de desenvolvimento e de segurança, pois consegue, de forma confortável, manter um entendimento dos dois mundos, amenizando os conflitos e disputas.

O que diz nossa experiência?

Após todos estes anos observando e ajudando as empresas a melhorar o seu processo de desenvolvimento, atuando diretamente na avaliação de códigos e na criação de estruturas de Continuous Application Security, entendemos a importância dos Security Champions. Por meio da experiência obtida com a criação destes  profissionais podemos perceber que há sim uma mudança cultural dentro das equipes de desenvolvimento, e que há também ganhos expressivos de segurança para os sistemas e aplicativos criados. 

Para as empresas, a presença deles pode trazer mais equilíbrio entre duas áreas que, embora tenham razão dentro de seus pontos de vista, tradicionalmente experimentam bastante conflito. O Security Champion surge como uma maneira de facilitar o diálogo de forma a atingir ponto central de entendimento..  

Em um próximo artigo vamos falar mais sobre os Security Champions e como podemos montar um programa de formação. Acreditamos que ao ajudar a formar novos Security Champions contribuímos para evangelizar o mercado sobre Application Security e seus benefícios para a segurança geral dos softwares produzidos por estas equipes.

Referências

ThreatPost
HackEdu
OWASP
Gartner

Deixe um comentário

topo
%d blogueiros gostam disto: