Ninguém nega que a preocupação com segurança tem aumentado bastante nas empresas nos últimos anos, não é mesmo? E essa busca por processos mais seguros esbarra em uma coisa: silos de conhecimento. Para disseminar esse conhecimento e boas práticas existe o chamado Programa Security Champions.
Quer saber o que é um Programa Security Champion, como ele funciona e como fazemos aqui na Zup? Então continue lendo.
Aumento da preocupação com Segurança da Informação pelas empresas
Atualmente as empresas se preocupam mais com Segurança da Informação, e há vários motivos para isso, por exemplo:
- Implantação da Lei Geral de Proteção de Dados Pessoais (LGPD);
- Aumento no número de ataques de segurança sofridos pelas empresas no Brasil e no mundo. Segundo levantamento da Accenture, em 2021 os casos aumentaram em 31% em todo mundo, com 11% tendo sido bem-sucedidos.
- O amadurecimento das empresas que antes viam segurança como um time que só “bloqueava” projetos. Hoje, especificamente o time de AppSec, visa não só a segurança, mas a qualidade, o que aumenta a confiança de clientes nos produtos.
Com isso, as empresas estão buscando aumentar a segurança de suas operações. Uma das ações para isso é a criação de times de segurança de aplicações ou Application Security (AppSec). Assim, um mercado que praticamente não existia antes passou a enfrentar escassez de profissionais.
Mas o time de Application Security (AppSec) não é o único responsável pela segurança dos projetos, a empresa precisa da colaboração de todo mundo envolvido nesses projetos, seja diretamente ou indiretamente.
E é aqui que a questão do silo de conhecimento surge. Como ter processos seguros se poucas pessoas sabem o que analisar e como mitigar certos problemas? Assim chegamos na criação de Programas de Security Champions.
Inclusive, segundo a Gartner em 2017 as empresas que contavam com um Programa de Security Champions não chegava a 10% e a expectativa da consultoria era que esse número chegasse a 35% até 2021.
O que é Security Champion?
Security Champion (SC) é uma pessoa que facilita a segurança dentro do time de desenvolvimento, ela fica encarregada de fazer uma ponte com o time de segurança (AppSec).
Vale ressaltar que Security Champions não devem fazer as tarefas de forma independente, mas em colaboração com o time e sua principal tarefa é disseminar o conhecimento adquirido através dos treinamentos.
Como Security Champions sabem se comunicar bem com as pessoas do time de desenvolvimento do projeto em que trabalha, conseguem transmitir pontos de atenção na segurança de maneira que entendam e consigam implementar. E ao realizar code reviews melhoram a qualidade do código no início do Software Development Life Cycle (SDLC).
Responsabilidades de Security Champions
- Participar de todos os treinamentos elaborados pelo time de AppSec;
- Realização de code review com foco em segurança;
- Observar pontos de melhoria em projetos legados e reportar vulnerabilidades encontradas;
- Solicitar e/ou fazer Modelagem de Ameaças para projetos novos e/ou em evolução;
- Disseminar a cultura de desenvolvimento seguro no time e na empresa.
Estrutura de um Programa de Security Champion
A base de um Programa de Security Champions é a disseminação de conhecimento através dos treinamentos elaborados pelo time de AppSec. Fica a critério de cada empresa fazer um programa mais imersivo ou mais convencional.
Depois dos treinamentos é importante adicionar uma etapa de verificação antes de certificar uma pessoa como um Security Champion. Pode ser um teste a cada lição ou somente uma prova no final. O importante é validar se o conhecimento foi, de fato, absorvido, afinal, essa pessoa vai se tornar um ponto focal importante nos times que passar.
Além disso, é preciso reconhecer Security Champions da empresa. Para isso há diversas formas, a dica que damos é escolher ações que são valorizadas pelas pessoas da empresa. Para descobrir isso, você pode conversar com o time de Employee Experience ou até mesmo lançar uma pesquisa.
Esse tipo de reconhecimento é importante para incentivar as pessoas a se dedicar aos estudos e mostrar que o Programa de Security Champions não é apenas mais um treinamento interno corriqueiro.
Importante! Se possível, ofereça uma versão do Programa Security Champions para pessoas que não são dos times de desenvolvimento. Afinal, é importante que a cultura da segurança alcance a organização como um todo.
Programa de Security Champion na Zup
Aqui na Zup implementamos um Programa de Security Champion mais imersivo onde temos lives, exercícios e treinamentos em vídeo frequentemente atualizados.
Atualmente o Programa de Security Champion da Zup possui essas etapas:
- Introdução – Artigos introdutórios para aprender os principais conceitos de Segurança.
- Desenvolvimento Seguro – Boas práticas de desenvolvimento seguro em diversas linguagens de programação.
- SSDLC na prática – Como aplicar Segurança da Informação no processo de planejamento, construção, testes e implementação em programas e aplicativos.
- Regulatórios – As principais práticas para que as aplicações produzidas estejam de acordo com entidades e órgãos reguladores referentes à Segurança da Informação.
- Cloud Sec – As melhores práticas para segurança e otimização de ambientes em nuvem.
E como reconhecimento para o nosso time de Security Champions oferecemos uma certificação, badges para GitHub e brindes para quem completa o curso.
Conclusão
Um programa Security Champion é de suma importância para qualquer empresa, pois traz mais uma camada de segurança disseminando o conhecimento para os times de forma escalável, reduzindo silos de conhecimento.
Além disso, um bom time de Security Champions faz com que o time de AppSec só seja acionado quando realmente for necessário, aumentando a produtividade.
E você, o que achou do programa Security Champion, ficou com alguma dúvida ou tem sugestões? Então deixe um comentário para a gente!