Jump to content
  • O que faz e como se tornar um Security Champion

       (1 review)

    A presença de Security Champions nas equipes de desenvolvimento pode trazer uma visão mais estruturada acerca da segurança de aplicações. Além disso, ele pode ser um grande influenciador da cultura de segurança dentro da empresa.

    Mas você sabe qual é o papel deste profissional?

    Conversamos com o Rodrigo Maués, Tech Lead na Conviso Application Security, para entender melhor quem é e qual o papel do Security Champion dentro de um time de segurança.


    O que é o Security Champion

    De acordo com Maués, dentro de empresas que produzem softwares, é comum existir um atrito ocasional entre duas áreas.

    Para a área de desenvolvimento, as equipes de segurança são pontos de gargalo dentro de um processo já bem pressionado e com prazos apertados. Do outro lado, temos as equipes de segurança que, por vezes, entram em conflito ao buscar introduzir mais segurança nos produtos entregues pelos desenvolvedores.

     “Este conflito nem sempre é facilmente solucionado, pois vai contra algo que, do ponto de vista comercial, é bem mais forte que a validação de um código: as demandas de um mercado cada vez mais inovador e ágil”, contextualiza o Tech Lead. 

    É aí que entra o papel do Security Champion. No mundo de Segurança de Aplicações, entendemos os  Security Champions como sendo os membros das equipes de desenvolvimento que receberam treinamento específico para atuar como ponto focal de segurança de aplicações dentro do time. 

    Quando um membro do time de desenvolvimento se torna um Security Champion, ele estabelece uma melhor comunicação com seus pares e muda a cultura do desenvolvimento de dentro para fora, já que acessa a mesma linguagem dos membros envolvidos na produção do software.

    “Desta forma, o time de Desenvolvimento consegue compreender muito melhor a informação passada, uma vez que recebe o conhecimento de um dos seus”, esclarece Maués. 

    Ou seja: o Security Champion trabalha como uma ponte entre as duas áreas, de forma conciliadora, para garantir que a cultura da segurança seja mantida sem desgastar as equipes.


    Quais as responsabilidades de um Security Champion?

    Entre as principais responsabilidades dos Security Champions está a mudança cultural dos desenvolvedores, que devem passar a ter um olhar mais cuidadoso no trabalho de codificação, aplicando as melhores práticas de desenvolvimento seguro e buscando ter um olhar cada vez mais focado em segurança desde o início da criação de seus produtos.

    Um Security Champion, de forma geral, é um transformador cultural para as equipes de desenvolvimento, e atua também como uma ponte de ligação entre as áreas de desenvolvimento e de segurança. “É ele quem consegue manter um entendimento dos dois mundos, amenizando os conflitos e disputas”, esclarece Maués. 

    Algumas atividades comuns do dia a dia de um Security Champion são:

    • Ajudar na realização de revisões de segurança; 
    • Ajudar com a observação de melhores práticas de segurança;
    • Desenvolver Modelagem de Ameaças para aplicativos novos e em evolução;
    • Participar de movimentos de P&D – Pesquisa e Desenvolvimento;
    • Orientar na identificação de requisitos de segurança;
    • Avaliar e estudar bugs em código;
    • Servir de elo de contato entre as demais equipes da área de segurança.

    No entanto, é muito importante ressaltar que o Security Champion não realiza essas tarefas sozinho. Tudo é feito em colaboração com o time! Afinal, o papel do Security Champion não é o de centralizar o conhecimento - e sim, de disseminá-lo nas equipes. 


    Como se tornar um Security Champion? Existe um perfil específico?

    É comum que Security Champions sejam desenvolvedores treinados e devidamente capacitados para suportar as iniciativas de segurança. 

    No entanto, isso não é regra - é possível que profissionais egressos de outras áreas, mas com algum conhecimento em desenvolvimento, recebam treinamento para atuar como Security Champions caso cumpram outros requisitos.

    De todo modo, é preciso ressaltar que Security Champions não são profissionais de segurança de aplicações que são focados exclusivamente em segurança. Essa confusão é muito comum, mas é uma concepção errada. 

    A escolha dos Security Champions dentro de cada time gera uma noção de pertencimento e ajuda no trabalho com os desenvolvedores. É imprescindível um trabalho cauteloso, que começa por um mapeamento de times

    Para isso, é preciso identificar e capacitar membros dos times de desenvolvimento que tenham esse perfil, para que atuem como facilitadores de segurança. E este papel exige características comportamentais, como iniciativa e autogestão.  Mas caso você sinta afinidade com essa carreira, esse já é um ótimo indício!


    Vagas na Conviso

    A Conviso, mantenedora aqui do Mente Binária, está com muitas vagas abertas. São vagas para áreas variadas dentro da empresa - de Desenvolvedor a Analista de Segurança da Informação.

    Caso você sinta afinidade com a especialidade da Conviso - Segurança de Aplicações - não deixe de se inscrever, ou mesmo de se cadastrar em nosso banco de talentos. É só clicar no botão abaixo:

    btn-candidatar-se.png.55144985d82fed5ff6270ba4150888df.png


    • Agradecer 1
    • Curtir 2

    User Feedback

    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.
    Note: Your post will require moderator approval before it will be visible.

    Guest

    • This will not be shown to other users.
    • Add a review...

      ×   Pasted as rich text.   Paste as plain text instead

        Only 75 emoji are allowed.

      ×   Your link has been automatically embedded.   Display as a link instead

      ×   Your previous content has been restored.   Clear editor

      ×   You cannot paste images directly. Upload or insert images from URL.


    Andre Silva

       1 of 1 member found this review helpful 1 / 1 member

    Seria legal entender um pouco melhor os critérios utilizados no mapeamento dos times, além da afinidade e vontade de se tornar um Security Champion. Muito boa a abordagem utilizada, para construir um programa de conscientização desse tipo, cada vez mais necessário nas empresas.

    Link to comment

  • Similar Content

    • By Bruna Chieco
      Pesquisadores da NordPass analisaram dados de violações públicas que afetaram empresas da Fortune 500 – lista que contém as 500 maiores corporações dos Estados Unidos – e descobriram que o maior facilitador dessas invasões é o uso de senhas fracas. Os dados analisados incluíram 15.603.438 violações e em 17 setores diferentes, e a lista de senhas foi compilada em parceria com uma empresa terceirizada, especializada em pesquisa de violação de dados.
      Entre as descobertas da empresa estão a frequência com que as senhas dessas empresas aparecem em violações de dados; qual o percentual de senhas exclusivas no setor; e quais são as principais senhas. 
      Os pesquisadores apontam que 20% das senhas eram o nome exato da empresa ou sua variação, sendo que o setor de hospitalidade – hospedagem, serviço de alimentação e bebidas – detém a maioria desse tipo de senhas. “Password” ("senha", em inglês) também é uma das senhas mais populares em todas as indústrias mapeadas pela NordPass na pesquisa.
      Senhas com números sequenciais, como "123456", também são bem comuns em todos os setores, aponta a pesquisa. "As empresas e seus funcionários têm o dever de proteger os dados de seus clientes. Uma senha fraca de um funcionário poderia colocar em risco toda a empresa se um invasor usasse a senha violada para obter acesso a dados confidenciais”, disse Chad Hammond, especialista em segurança da NordPass, em comunicado à imprensa.
      A pesquisa também mostra o número de número de violações de dados que afetam cada setor, sendo que bens e consumo é a categoria com maior número de invasões, totalizado 942.289 violações. Os setores de finanças, telecomunicações, automotivo, aeroespacial, transporte e logística e hospitalidade também figuram entre os mais invadidos.
    • By Bruna Chieco
      Os computadores quânticos, se amadurecerem o suficiente, serão capazes de quebrar grande parte da criptografia atual, revelando comunicações privadas, dados de empresas e segredos militares. Segundo reportagem do CNet, os computadores quânticos atuais são muito primitivos para isso, mas os dados recolhidos agora ainda podem ser sensíveis quando eles se tornarem mais poderosos.
      Os computadores quânticos do futuro também poderão quebrar as assinaturas digitais que garantem a integridade das atualizações de aplicativos, navegadores, sistemas operacionais e outros softwares, abrindo um caminho para ataques de malware.
      Para o algoritmo de criptografia RSA de hoje, um computador convencional precisaria de cerca de 300 trilhões de anos para quebrar as comunicações protegidas com uma chave digital de 2.048 bits. Mas um computador quântico alimentado por 4.099 qubits precisaria de apenas 10 segundos.
      Essa é uma vulnerabilidade potencial da qual a indústria de computação está ciente, afirma a reportagem, sendo que algumas empresas estão em uma força-tarefa para criar, testar e adotar novos algoritmos de criptografia impermeáveis aos computadores quânticos. Algumas dessas empresas, incluindo IBM e Thales, já começaram a oferecer produtos protegidos pela chamada criptografia pós-quântica, diz o CNet.
      A criptografia quantum-safe será utilizada em laptops, telefones, navegadores da web e outros produtos atualizados, mas o problema mesmo será aplicá-la em empresas, governos e serviços de computação em nuvem, que devem projetar e instalar a tecnologia, promovendo uma mudança muito complexa. 
      Empresas estão desenvolvendo computadores quânticos – Na Google I/O, conferência de programadores organizada anualmente pelo Google, realizada este mês, a empresa informou que um novo centro de computação quântica será criado com o objetivo de construir um computador quântico até 2029. Outras empresas de tecnologia, como Honeywell, IBM, Intel e a Microsoft também estão na corrida para construir os primeiros computadores quânticos. 
      Enquanto isso, o Instituto Nacional de Padrões e Tecnologia dos Estados Unidos está liderando o esforço global para encontrar algoritmos de criptografia pós-quântica que sejam rápidos e confiáveis. Até o momento, o trabalho se concentra em duas tarefas de criptografia: troca de chaves digitais e adição de assinaturas digitais.
      Os algoritmos de criptografia exigem um exame minucioso antes que possam ser confiáveis para proteger senhas, números de cartão de crédito, registros financeiros e outras informações confidenciais. 
      A transição quântica é mais difícil do que algumas atualizações de criptografia anteriores. Um dos problemas é os tamanhos das chaves digitais, que provavelmente serão maiores, exigindo mais memória para processá-los. Alterar algoritmos não será uma troca simples. Especialistas recomendam que seja feita uma abordagem híbrida que protege duplamente os dados com criptografia de segurança convencional e pós-quântica. 
      (Imagem: IBM Q System One, primeiro computador quântico comercial de 20 qubits. Crédito da imagem: IBM)
    • By Bruna Chieco
      Depois de examinar 23 aplicativos Android, a Check Point Research (CPR) percebeu que mais de 100 milhões de usuários foram expostos. Isso ocorreu por conta de uma variedade de configurações incorretas deitas em serviços em nuvem de terceiros. Os dados pessoais expostos incluem e-mails, mensagens de bate-papo, localização, senhas e fotos.
      A Check Point descobriu os dados confidenciais disponíveis publicamente em bancos de dados em tempo real de 13 aplicativos Android, com o número de downloads de cada aplicativo variando de 10 mil a 10 milhões. Os bancos de dados em tempo real permitem que os desenvolvedores de aplicativos armazenem dados na nuvem, garantindo que sejam sincronizados em tempo real para todos os clientes conectados. 
      O problema é que muitos desenvolvedores de aplicativos deixam seus dados e milhões de informações privadas de usuários expostos por não seguir as melhores práticas ao configurar e integrar serviços de nuvem de terceiros em seus aplicativos, diz a empresa de segurança. Essa configuração incorreta coloca em risco os dados pessoais dos usuários e os recursos internos dos desenvolvedores, como acesso a mecanismos de atualização, armazenamento e outros.
      Infelizmente, é comum que aplicativos altamente populares não imponham práticas básicas de segurança para proteger seus usuários e dados. A publicação completa da Check Point dá exemplos de alguns aplicativos com essa falha em sua configuração.
    • By Bruna Chieco
      O Google está lançando um novo recurso do Chrome no Android para ajudar os usuários a alterar as senhas comprometidas em violações de dados. Já faz algum tempo que o Chrome está verificando a segurança das senhas de usuários, e a partir do novo recurso, sempre que ele detectar uma violação, também poderá corrigir qualquer senha comprometida.
      Segundo publicação de Patrick Nepper, gerente de produto sênior, Google Chrome, sempre que o usuário verificar suas senhas e o Chrome encontrar uma que ela possa ter sido comprometida, um botão "Alterar senha" aparecerá no Assistente Google. Ao tocar no botão, o Chrome navegará até o site e passará por todo o processo de alteração da senha.
       
       

      Demonstração: Chrome ajuda na alteração de senhas comprometidas automaticamente (Fonte: Google)
       
      O usuário pode controlar toda a experiência e optar por passar pelo processo de alteração de senha manualmente desde o início ou a qualquer momento durante o processo. E mesmo se um site ainda não for compatível, o gerenciador de senhas do Chrome pode ajudar a criar senhas fortes para várias contas.
      O Chrome está usando uma tecnologia chamada Duplex na Web para potencializar esse recurso. Ela foi apresentada em 2019 para que o Google Assistente pudesse ajudar o usuário a realizar tarefas na Web. 
      As alterações automatizadas de senha estão sendo implementadas gradualmente no Chrome no Android, para usuários que sincronizam suas senhas, começando nos Estados Unidos, sendo disponibilizada em mais sites e mais países nos próximos meses.
       
    • By Bruna Chieco
      No mês passado, a Apple lançou o AirTag, localizador que tem como objetivo ajudar os usuários a encontrarem objetos do dia a dia, como chaves ou mochila. E pesquisadores já saíram hackeando o novo device para encontrar possíveis falhas de segurança.
      Segundo reportagem da Vice, os AirTags usam beacons Bluetooth para compartilhar sua posição com qualquer iPhones próximo, transmitindo a posição AirTag para seu proprietário por meio do aplicativo Find My, da Apple.
      As desmontagens detalhadas foram publicadas pelo pesquisador de hardware Colin O'Flynn e por um pesquisador da empresa de reparos iFixIt. Um dos pesquisadores da Stacksmashing também publicou um vídeo no YouTube onde analisa as entranhas da AirTag. No vídeo, ele explica como ele encontrou uma maneira de modificar o firmware no AirTag – essencialmente desbloqueando-o – para enviá-lo a um URL malicioso para um iPhone que faz a varredura com NFC (comunicação por campo de proximidade, ou near-field communication). 
      Esse pode ser o primeiro passo para permitir que as pessoas façam pesquisas de segurança no AirTag e no chip U1, segundo o pesquisador. 
      Um pesquisador de segurança da Positive Security também descobriu que é possível transmitir dados arbitrários para dispositivos Apple próximos por meio do protocolo Find My. Segundo o pesquisador, ele fez isso "falsificando muitos AirTags e codificando dados nos quais o AirTag está ativo". Em seguida, ele fez o dispositivo carregar os dados como parte do relatório da localização do AirTag.
      A Vice informa que as descobertas não mostram nenhum risco imediato, mas é interessante ver o trabalho de pesquisadores de segurança, que têm como objetivo ajudar os fabricantes a manterem seus dispositivos seguros!
×
×
  • Create New...