Security Champions e a necessidade de criar uma cultura organizacional com foco em segurança
*Por Wagner Elias
Se
o primeiro erro de um programador é não se preocupar com a segurança, o
principal equívoco dos líderes de segurança cibernética nas empresas é não
incentivar uma cultura com foco em segurança. O processo de capacitar toda a
equipe de desenvolvedores para avaliar e tratar as vulnerabilidades é longo e
complexo, pois ainda falta maturidade técnica para lidar com esse
desafio.
Atualmente,
vemos diversas empresas que já destinam um orçamento para segurança de
aplicações, só que esse investimento é voltado para contratação de ferramentas
automatizadas, na maior parte dos casos. A criação de aplicações seguras
precisa ser tratada como uma mudança cultural forte, envolvendo toda a
companhia, principalmente os setores diretamente ligados ao desenvolvimento de
software.
Entendo
que AppSec é uma responsabilidade compartilhada entre todos os envolvidos e,
não necessariamente, entregue para apenas uma área. Para garantir que essa
mentalidade seja implementada corretamente, é aconselhável a adoção de um
programa de Security Champion, no qual todo o time é treinado para lidar com o
desafio de segurança de aplicações, garantindo que a agenda da equipe de
software esteja dedicada à não criar vulnerabilidades ao invés de corrigi-las
nas fases de teste.
Mas,
por que capacitar? Diversas vezes, os profissionais envolvidos com
desenvolvimento não têm conhecimento sobre todos os riscos. É neste ponto que a
conscientização se faz importante, apresentando os impactos negativos que a
exploração de vulnerabilidade traz aos negócios e prepará-los para lidar com
isso no dia a dia.
Security
Champions têm a responsabilidade de levar essa cultura para a empresa, focando
sempre em ajudar e pedir ajuda aos times de especialistas em segurança, quando
necessário. Pensando na prática de AppSec, o Security Champion tem o principal
objetivo de verificar se o produto final está seguindo os requisitos antes de
chegar à fase de testes, sendo grandes parceiros durante todo o desenvolvimento.
O profissional que assume este papel consegue, de forma extremamente efetiva,
estabelecer uma comunicação entre as equipes de segurança e desenvolvimento,
garantindo a qualidade dos softwares de dentro para fora.
Em
2021, o Gartner revelou que cerca de 35% das empresas estão empenhadas em
construir seus programas de Security Champions. Este aumento é interessante,
mas é fato que as empresas ainda não enxergam de que forma a criação de times
de Security Champions pode impactar positivamente todo o processo de criação de
aplicações.
Ainda
falta maturidade técnica e estruturação das empresas para lidar com esse
desafio. Vemos diversas empresas que já destinam um orçamento para segurança de
aplicação, só que esse orçamento é voltado para contratação de ferramentas
automatizadas, na maior parte dos casos.
O
conhecimento dos requisitos básicos de arquitetura de software e nuvem é apenas
o primeiro passo em um longo caminho de capacitação e treinamento para mudar a
cultura dentro da empresa e, finalmente, desenvolver pensando primeiro em
segurança e depois em funcionalidade.
*Wagner
Elias é CEO da Conviso
Sobre
a Conviso
Pioneira em Segurança de Aplicações e com mais de 14 anos de experiência em projetos e produtos especializados no setor, a Conviso é uma empresa SaaS de DNA brasileiro, mas com clientes no mundo todo. Criadora da Conviso Platform - uma plataforma de devs para devs que apoia todo o ciclo de desenvolvimento seguro. Em sua carteira de clientes constam os principais bancos nacionais, bem como os grandes sites de comércio eletrônico e os maiores players do setor de pagamentos de todo o mundo.
Nenhum comentário