Security Champions
Atualmente as empresas aumentaram sua preocupação em criar sistemas mais seguros, melhores processos na criação de produtos e sistemas confiáveis, superando os desafios de conscientizar seus times e democratizar o acesso ao conhecimento.
O processo de DevSecOps permitiu a inserção de passos de segurança durante a esteira de desenvolvimento de software, passando de uma “área que bloqueava” todas as entregas, para a área que apoia as empresas na busca de sistemas mais maduros, adequados as leis e normas, sem perder a agilidade em suas entregas.
Apesar desses novos passos inseridos na esteira, ainda temos um problema para escalar a inserção da disciplina de segurança nos times de desenvolvimento, pois deixar essa responsabilidade somente com os profissionais voltados para esse campo de atuação, não é suficiente para atingir a capilaridade necessária.
Para tentar resolver esse problema, pensou-se na criação de um programa que leve o conhecimento e os treinamentos necessários para os profissionais que estão atuando nos papéis de desenvolvimento, sejam os próprios devs ou QAs, que desejam adquirir esses conhecimentos ou já tenham aptidão para desenvolver atividades de segurança junto de suas demais responsabilidades.
“Security Champions, é o programa que ajuda as empresas escalarem seus processos e conhecimentos de segurança, diminuindo os silos, aumentando a conscientização, além de apoiar as empresas na busca por sistemas e produtos mais confiáveis.”
E como fazemos para criar um programa desse tipo?
Essa pergunta não possui uma receita de bolo ou caminho certo à seguir, ou seja, vai ser moldado de acordo com as necessidades da empresa e provavelmente com muitos erros e acertos durante a jornada.
Ainda assim, é possível elencar alguns itens que podem ser utilizados para auxiliar e facilitar esse processo:
- criar um time de treinamento e conscientização;
- utilizar os profissionais de segurança de aplicações para transmitir conhecimento;
- elencar os problemas mais recorrentes dentro da empresa e começar os treinamentos por estes assuntos;
- utilizar guidelines como base para determinar os assuntos, OWASP Top10, por exemplo;
- Criar uma forma de medir a frequência nos treinamentos e como eles auxiliaram na redução de vulnerabilidades nos produtos;
- Ter uma forma de engajar a participação, com premiações, treinamentos, eventos, entre outros;
Enfim, como se trata de um programa de evolução profissional e mudança de culturas, os desafios serão grandes e o caminho bem longo. Não é um programa de retorno imediato, mas que se tiver consistência e uma recorrência que permita o assunto de segurança estar cada vez mais comum dentro dos times de Engenharia, colheremos bons frutos e teremos cada vez mais, profissionais de diversas áreas criando produtos mais confiáveis.
Obrigado pela leitura e até a próxima!
