Security Champions e o seu campo de batalha
Existe uma antiga batalha acontecendo dentro da sua empresa: duas das áreas mais importantes estão em conflito e podemos ajudar com esta situação.
Prefere ouvir a versão em áudio deste blog post? Clique no player abaixo:
Dentro de empresas que produzem softwares é comum existir uma disputa entre duas áreas. Para a área de desenvolvimento, as equipes de segurança são pontos de gargalo de um processo de desenvolvimento já bem espremido por incontáveis exigências de novas funcionalidades e novos produtos, que devem ser lançados cada vez mais rápido.
Do outro lado temos as equipes de segurança que travam uma batalha com seus próprios colegas, buscando introduzir mais segurança nos produtos entregues pelos desenvolvedores. Este conflito nem sempre é facilmente solucionado, pois vai contra algo que, do ponto de vista comercial, é bem mais forte que a validação de um código: as demandas de um mercado cada vez mais inovador e ágil.
Porém, algumas mudanças estão acontecendo: novas legislações, normas e regulamentos estão exigindo das empresas uma visão mais aguçada sobre a segurança dos produtos entregues ao mercado. Além disso, os próprios usuários estão começando a buscar entender mais sobre como as empresas protegem seus dados, e é aí que entra a importância da atuação consciente dos desenvolvedores e das equipes de segurança.
Enquanto especialistas em Segurança de Aplicações (AppSec), sentimos a necessidade de criar uma ponte entre as áreas em disputa e acreditamos que a figura do Security Champion pode ajudar a pavimentar este caminho.
O que são Security Champions?
Segundo um artigo do Gartner, em 2021 cerca de 35% das empresas estarão empenhadas em construir seus programas de Security Champions.
No entanto, mesmo notando um aumento de interesse por este assunto, ainda percebemos que grande parte das empresas não têm uma percepção do quanto a criação de times de Security Champions pode impactar positivamente a sua estrutura.
Sobre este tema, ainda temos alguns pontos conflitantes, mesmo entre aqueles que o defendem. Para o Gartner, a figura do Security Champion não se limita às equipes de desenvolvimento – para eles o Security Champion é uma figura intersetorial da empresa, que atua com o objetivo de difundir a cultura de segurança nos mais diferentes níveis.
“Security champions are members of the business, IT or delivery team who receive additional training on pertinent security issues. They act as local gurus who can answer questions, recommend training, and interface with security experts to find answers to deeper questions or escalate issues. These champions are an extension of the security awareness program and may not get into the technical aspects of security issues. They focus on driving the messaging, training and awareness initiatives at a local level.”
Em tradução livre: “Security champions são membros do negócio, TI ou delivery team que recebem um treinamento adicional em questões de segurança pertinentes. Eles atuam como gurus locais que podem responder questões, recomendar treinamentos e interagir com especialistas em segurança para encontrar respostas para questões específicas ou problemas crescentes. Esses champions são uma extensão do programa de conscientização de segurança, e podem não chegar ao nível técnico das questões de segurança. Eles focam em direcionar a mensagem, o treinamento e a conscientização em níveis locais.”
A Visão da OWASP
Já na visão da OWASP, os Security Champions seriam membros de times que têm como finalidade a ligação entre as equipes de segurança com outros times, ajudando no entendimento de questões de segurança e na tomada de decisões.
“According to OWASP definition, Security Champions are “active members of a team that may help to make decisions about when to engage the Security Team”. They act as a core element of security assurance process within the product or service, and hold the role of the Single Point of Contact (SPOC) within the team.”
Em tradução livre: “De acordo com a definição da OWASP, Security Champions são membros ativos de um time que podem ajudar na tomada de decisões sobre quando chamar o Time de Segurança’. Eles agem como o elemento central de do processo de assurance process, seja em relação ao produto ou ao serviço, e cumprem o papel de Ponto Único de Contato (Single Point of Contact – SPOC) com o time.”
O Security Champion dentro da visão de AppSec
Nosso entendimento é que os Security Champions têm uma função mais específica, com foco no produto final das empresas que produzem software internamente ou mesmo para terceiros. No mundo de AppSec, os Security Champions são membros atuantes das equipes de desenvolvimento que receberam treinamento específico para se apresentar como um ponto focal de segurança dentro do time.
Temos esta visão porque acreditamos que quando um membro do time de desenvolvimento se torna um Security Champion, este consegue estabelecer uma melhor comunicação com seus pares e mudar a cultura do desenvolvimento de dentro para fora, já que acessam a mesma linguagem dos membros envolvidos na produção do software.
Desta forma, o time de Desenvolvimento consegue compreender muito melhor a informação passada uma vez que recebe o conhecimento de um dos seus.
O que faz um Security Champion?
Isso depende do ponto de entendimento de quem cria o programa de Security Champions. Como comentamos anteriormente, existem diferentes visões sobre o papel destes facilitadores de segurança dentro das empresas.
Para o mundo de Application Security, quando falamos sobre as responsabilidades de um Security Champion imaginamos um perfil técnico atuando diretamente com o time de desenvolvimento: alguém que codifique e transmita seu conhecimento em segurança de código a seus colegas.
Esse perfil funciona bem na maioria das equipes de desenvolvimento, já que as mudanças e os pensamentos compartilhados partem de um dos membros do grupo, tornando-se, com isso, mais próximos da realidade do dia dia do time.
Entre as principais responsabilidades dos Security Champions está a mudança cultural dos desenvolvedores, que devem passar a ter um olhar mais cuidadoso no trabalho de codificação, aplicando as melhores práticas de desenvolvimento seguro e buscando ter um olhar cada vez mais focado em segurança desde o início da criação de seus produtos.
Um Security Champion, de forma geral, é um transformador cultural para as equipes de desenvolvimento, e também um elo de ligação entre as áreas de desenvolvimento e de segurança. É ele quem consegue, de forma confortável, manter um entendimento dos dois mundos, amenizando os conflitos e disputas.
O que diz nossa experiência?
Após todos estes anos observando e ajudando as empresas a melhorar o seu processo de desenvolvimento, atuando diretamente na avaliação de códigos e na criação de estruturas de Continuous Application Security, entendemos a importância dos Security Champions. Por meio da experiência obtida com a criação destes profissionais podemos perceber que existe uma mudança cultural significativa dentro das equipes de desenvolvimento, e que há também ganhos expressivos de segurança para os sistemas e aplicativos criados.
Para as empresas, a presença destes profissionais pode trazer mais equilíbrio entre duas áreas que, embora tenham razão dentro de seus pontos de vista, tradicionalmente experimentam bastante conflito. O Security Champion surge como uma maneira de facilitar o diálogo e auxiliar na busca pelo equilíbrio e entendimento.
Em nosso próximo artigo vamos falar mais sobre os Security Champions e como podemos montar um programa de formação. Acreditamos que, ao ajudar a formar novos Security Champions, contribuímos para evangelizar o mercado sobre Application Security, além de difundir seus benefícios para a segurança geral dos softwares produzidos por estas equipes.
2 Comments