Como criar um programa de security champions eficiente?🏅
Quando falamos sobre segurança, entendemos que o elo mais fraco são as pessoas. Dessa forma, é possível entender porque existem tantos programas de conscientização e implementação de cultura nas empresas. Um desses programas é o que chamamos de Security Champions! Então, a segurança dentro de uma empresa precisa passar por todos os profissionais como por exemplo, desenvolvedores, testers, arquitetos, gerentes e profissionais de segurança.
Quem é o guardião da segurança (Security Champion)?
São profissionais voluntários que dentro de suas atividades se preocupam com a segurança durante o ciclo de desenvolvimento de um software. Não necessita ser apenas os desenvolvedores, mas qualquer profissional que se interesse pela segurança. Eles são considerados a primeira linha de defesa. Isso ocorre pois dentro das suas atividades, identificam potenciais riscos de segurança, vulnerabilidades e ajudam a levar a cultura de segurança, principalmente de desenvolvimento seguro, para as equipes. Ao identificar potenciais riscos, eles reportam aos profissionais de segurança para que esses já possam atuar e mitigar qualquer risco.
Como tornar esse programa eficiente?
Algumas vezes, vemos que dentro das empresas, as pessoas tendem a acreditar que a segurança está no ciclo de desenvolvimento do produto para "tardar" o produto de ir para produção. Assim, ao adicionar mais um papel as pessoas, como guardiões de segurança, tendem a pensar que irão atrapalhar o papel principal desse guardião dentro da equipe. No entanto, para isso não ocorrer, é necessário que haja transparência e apoio dos papeis executivos para colaborar com a ideia de que segurança é importante, está ali para apoiar e principalmente, impedir que novas falhas de segurança ocorram. Isso é muito importante pois a segurança precisa ser tratada como princípio de um software, usando a abordagem do Security Left, trazendo a segurança para desde o início de desenvolvimento do software.
Outro ponto importante a ser mencionado é a motivação dos guardiões de segurança. Para manter a motivação dessas pessoas, precisamos adicionar dois fatores: comunicação e engajamento. Para a comunicação, precisamos que seja criado um grupo onde os profissionais possam falar diretamente com os analistas de segurança. Nesse grupo, podem falar sobre possíveis falhas identificadas, como também, notícias de segurança, trechos de códigos, metodologias para manter a motivação do grupo e a constância. Além do engajamento do grupo, é necessário novos treinamentos e recompensas para tornar esse programa produtivo e com mais aderência dos profissionais, pois pessoas motivadas trabalham cada vez melhores.
Para os treinamentos, sugiro como abordagem inicial explicar a OWASP TOP 10 para os profissionais de maneira lúdica. Isso pode ocorrer com aplicações Web vulneráveis, por exemplo. Após isso, identificar as principais vulnerabilidades na empresa e ir ampliando esse escopo. Lembre-se de sempre reciclar esses treinamentos devido a rotatividade dos profissionais.
Outro ponto é através de premiações. Pode ser brindes como livros, outros treinamentos e gift cards ou mesmo, bagdes para dentro da empresa. Assim, por meio dessas badges, será possível identificar os profissionais mais aderentes à cultura e consequentemente, possuem as aplicações mais seguras. 🥇
Deixo como sugestão esse playbook da OWASP, como as principais práticas e um resumo sobre os pontos abordados anteriormente 😊
Espero que tenham gostado 👩💻💜
