Security Champions e a necessidade de criar uma cultura organizacional com foco em segurança

*Por Wagner Elias

 

Se o primeiro erro de um programador é não se preocupar com a segurança, o principal equívoco dos líderes de segurança cibernética nas empresas é não incentivar uma cultura com foco em segurança. O processo de capacitar toda a equipe de desenvolvedores para avaliar e tratar as vulnerabilidades é longo e complexo, pois ainda falta maturidade técnica para lidar com esse desafio. 

 

Atualmente, vemos diversas empresas que já destinam um orçamento para segurança de aplicações, só que esse investimento é voltado para contratação de ferramentas automatizadas, na maior parte dos casos. A criação de aplicações seguras precisa ser tratada como uma mudança cultural forte, envolvendo toda a companhia, principalmente os setores diretamente ligados ao desenvolvimento de software. 

 

Entendo que AppSec é uma responsabilidade compartilhada entre todos os envolvidos e, não necessariamente, entregue para apenas uma área. Para garantir que essa mentalidade seja implementada corretamente, é aconselhável a adoção de um programa de Security Champion, no qual todo o time é treinado para lidar com o desafio de segurança de aplicações, garantindo que a agenda da equipe de software esteja dedicada à não criar vulnerabilidades ao invés de corrigi-las nas fases de teste. 

 

Mas, por que capacitar? Diversas vezes, os profissionais envolvidos com desenvolvimento não têm conhecimento sobre todos os riscos. É neste ponto que a conscientização se faz importante, apresentando os impactos negativos que a exploração de vulnerabilidade traz aos negócios e prepará-los para lidar com isso no dia a dia. 

 

Security Champions têm a responsabilidade de levar essa cultura para a empresa, focando sempre em ajudar e pedir ajuda aos times de especialistas em segurança, quando necessário. Pensando na prática de AppSec, o Security Champion tem o principal objetivo de verificar se o produto final está seguindo os requisitos antes de chegar à fase de testes, sendo grandes parceiros durante todo o desenvolvimento. O profissional que assume este papel consegue, de forma extremamente efetiva, estabelecer uma comunicação entre as equipes de segurança e desenvolvimento, garantindo a qualidade dos softwares de dentro para fora.

 

Em 2021, o Gartner revelou que cerca de 35% das empresas estão empenhadas em construir seus programas de Security Champions. Este aumento é interessante, mas é fato que as empresas ainda não enxergam de que forma a criação de times de Security Champions pode impactar positivamente todo o processo de criação de aplicações. 

 

Ainda falta maturidade técnica e estruturação das empresas para lidar com esse desafio. Vemos diversas empresas que já destinam um orçamento para segurança de aplicação, só que esse orçamento é voltado para contratação de ferramentas automatizadas, na maior parte dos casos. 

 

O conhecimento dos requisitos básicos de arquitetura de software e nuvem é apenas o primeiro passo em um longo caminho de capacitação e treinamento para mudar a cultura dentro da empresa e, finalmente, desenvolver pensando primeiro em segurança e depois em funcionalidade. 

 

*Wagner Elias é CEO da Conviso 

 

Sobre a Conviso

 

Pioneira em Segurança de Aplicações e com mais de 14 anos de experiência em projetos e produtos especializados no setor, a Conviso é uma empresa SaaS de DNA brasileiro, mas com clientes no mundo todo. Criadora da Conviso Platform - uma plataforma de devs para devs que apoia todo o ciclo de desenvolvimento seguro. Em sua carteira de clientes constam os principais bancos nacionais, bem como os grandes sites de comércio eletrônico e os maiores players do setor de pagamentos de todo o mundo.