BT

Campeonato de Segurança com Marisa Fagen

| por Rafiq Gemmail Seguir 6 Seguidores , traduzido por Mayra Michels Seguir 1 Seguidores em 14 jun 2018. Tempo estimado de leitura: 5 minutos |

Marisa Fagen, especialista em segurança, comentou que a proporção de profissionais de segurança para desenvolvedores é, na melhor das hipóteses, na faixa de 3 a cada 100. Tal restrição pode forçar os profissionais de segurança a uma posição de alta contenção, onde é fácil ter um gargalo. Esses riscos são agravados nos ambientes em que o feedback de segurança ocorre no final do ciclo de desenvolvimento, nesse ponto o custo do retrabalho é muito maior. Para resolver isso, Fagen falou recentemente no QCon London 2018 sobre a promoção dos membros da equipe de engenharia interessados em segurança. Defendendo um programa formal dentro das organizações para capacitar indivíduos e construir pontes com as equipes de segurança organizacional.

Fagen, líder em segurança de produtos na Synopsis, ministrou uma palestra intitulada Security Champions: Only You Can Prevent File Forgery, propondo uma estratégia para lidar com a disputa por especialistas em segurança. Ela propôs um campeonato de segurança transparente, focado em engenheiros de segurança que constroem pontes com indivíduos dentro de equipes, e apoiando-os para se qualificarem como campeões de segurança.

Fagen definiu um defensor da segurança como uma pessoa que é um "defensor de códigos mais fortes e processos de segurança dentro de uma equipe ou organização". Dependendo do tamanho da organização, este campeonato pode ser direcionado para uma equipe, um grupo de equipes ou até mesmo a organização como um todo. Fagen explicou que os indivíduos poderiam começar a defender a segurança por meios práticos como:

  • Buscar treinamento adicional de segurança.
  • Observar relevantes CVEs.
  • Criar bugs de segurança.
  • Evangelizar sobre segurança.
  • Alcançar e construir pontes com equipes de segurança.
  • Buscar oportunidades para mostrar e patrocinar ferramentas.
  • Integrar o feedback de segurança em pipelines de CI/CD.

Fagen também recomenda que os campeões comecem a criar modelos de ameaças de seus aplicativos, que destaquem o risco e ajudem as equipes de segurança a se tornarem mais versadas nos aplicativos de uma equipe. Fagen recomendou começar com uma lista de dicas de ataque do OWASP para modelagem de ameaças de aplicativos. "Comece com as ameaças comuns e combine isso com um modelo de risco, como a escala DREAD". Fagen também explicou que, ao apresentar uma medida de gravidade, isso pode ajudar a priorizar onde o esforço é colocado.

Fagen discutiu a necessidade de adesão organizacional para que o valor do campeonato de segurança, o tempo que consome e os riscos subjacentes sejam todos transparentes e medidos. Indo além do campeonato individual, ela falou sobre o endgame final sendo que uma das organizações que investem em programas de campeonatos de segurança em toda a empresa com proprietários de programas dedicados. Fagen falou sobre a necessidade de as empresas apoiarem de 10 a 20% do tempo de um campeão, investindo em habilidades de segurança.

Ela aconselhou as organizações a começarem com uma iniciativa piloto que pode evoluir para um programa que estará embutido na cultura da empresa e promovida através de esquemas de incentivo. Falando sobre a importância da construção de pontes e da comunicação com as pessoas, Fagen lembrou o público que "parte do processo exigirá tempo de uso". Destacando que o campeonato é um papel de gerenciamento de relacionamento, envolvendo a criação de confiança com os negócios e as equipes de segurança existentes. Também explicou que o dono do programa precisaria trabalhar com equipes de segurança e campeões, diretamente ou criando uma pirâmide de campeões com papéis claros. Fagen aconselhou a segmentação de um limite superior de um dono de segurança para 15 campeões, potencialmente quebrando isso ainda mais em "grupos menores de especialistas em segurança e campeões".

Voltando ao problema da disputa por um número limitado de especialistas em segurança, Fagen acabou lembrando ao público que "as equipes de segurança precisam de sua ajuda. Aceite o chamado e torne-se um defensor da segurança".

O InfoQ conversou com Fagen para falar sobre alguns dos temas de sua palestra.

InfoQ: Sua palestra enfatiza a necessidade de comprometimento organizacional. Que abordagens você achou eficaz para destacar o valor de melhorar a capacidade de segurança?

Marisa Fagen: O ROI é bem alto. Em termos de liderança, o custo do treinamento e do gerenciamento do programa é compensado pelas capacidades aprimoradas da equipe e maior velocidade para o negócio. Além disso, um programa de títulos de segurança pode ajudar a atender aos requisitos do cliente. Conseguir uma entrada em organização geralmente é mais uma questão de encontrar a pessoa certa para conduzi-lo até ela.

InfoQ: Você tem uma boa anedota sobre uma situação em que você viu um programa de campeonato de segurança ter sucesso?

Fagen: Eu já vi esse programa ser bem-sucedido várias vezes, mas nunca recebo o devido crédito por promover conversas críticas entre as equipes de segurança e desenvolvimento que resulta em lançamentos pontuais em vez de um bloqueio de segurança após o congelamento de recursos.

InfoQ: Qual foi sua primeira experiência com o campeonato de segurança?

Fagen: Minha primeira chance de criar um programa Security Champions foi na Salesforce em 2015. Sentimos a dor das lacunas de cobertura em uma grande empresa e ouvimos sobre um programa de treinamento na Adobe na qual os funcionários estavam ganhando faixas de diferentes cores para níveis extras de treinamento de segurança. Criamos uma nova função que deu aos desenvolvedores treinamento extra e novas habilidades em testes de segurança. Foi muito bem recebido.

InfoQ: Existem tipos de campeonatos de segurança mais adequados para membros de equipes menos técnicos, como aqueles em UX e funções de gerenciamento de produtos?

Fagen: Embora este programa seja voltado para engenheiros, outros papéis também devem perceber que a segurança também é de sua responsabilidade. Mantenha-se atualizado sobre as últimas tendências e novidades. Às vezes, apenas fazer uma pergunta no momento certo pode ser extremamente útil para trazer a segurança a mente.

Os slides e o vídeo da palestra de Fagen devem ser disponibilizados na InfoQ nos proximos meses.

Avalie esse artigo

Relevância
Estilo/Redação

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

Dê sua opinião

Faça seu login para melhorar sua experiência com o InfoQ e ter acesso a funcionalidades exclusivas


Esqueci minha senha

Follow

Siga seus tópicos e editores favoritos

Acompanhe e seja notificados sobre as mais importantes novidades do mundo do desenvolvimento de software.

Like

Mais interação, mais personalização

Crie seu próprio feed de novidades escolhendo os tópicos e pessoas que você gostaria de acompanhar.

Notifications

Fique por dentro das novidades!

Configure as notificações e acompanhe as novidades relacionada a tópicos, conteúdos e pessoas de seu interesse

BT