O que faz e como se tornar um Security Champion

O que faz e como se tornar um Security Champion
(1 análise)
Por Julliana Bauer

Maio 13, 2021 em 13:03
Compartilhar

Follow on

Seguidores 0
A presença de Security Champions nas equipes de desenvolvimento pode trazer uma visão mais estruturada acerca da segurança de aplicações. Além disso, ele pode ser um grande influenciador da cultura de segurança dentro da empresa.

Mas você sabe qual é o papel deste profissional?

Conversamos com o Rodrigo Maués, Tech Lead na Conviso Application Security, para entender melhor quem é e qual o papel do Security Champion dentro de um time de segurança.

O que é o Security Champion

De acordo com Maués, dentro de empresas que produzem softwares, é comum existir um atrito ocasional entre duas áreas.

Para a área de desenvolvimento, as equipes de segurança são pontos de gargalo dentro de um processo já bem pressionado e com prazos apertados. Do outro lado, temos as equipes de segurança que, por vezes, entram em conflito ao buscar introduzir mais segurança nos produtos entregues pelos desenvolvedores.

“Este conflito nem sempre é facilmente solucionado, pois vai contra algo que, do ponto de vista comercial, é bem mais forte que a validação de um código: as demandas de um mercado cada vez mais inovador e ágil”, contextualiza o Tech Lead.

É aí que entra o papel do Security Champion. No mundo de Segurança de Aplicações, entendemos os Security Champions como sendo os membros das equipes de desenvolvimento que receberam treinamento específico para atuar como ponto focal de segurança de aplicações dentro do time.

Quando um membro do time de desenvolvimento se torna um Security Champion, ele estabelece uma melhor comunicação com seus pares e muda a cultura do desenvolvimento de dentro para fora, já que acessa a mesma linguagem dos membros envolvidos na produção do software.

“Desta forma, o time de Desenvolvimento consegue compreender muito melhor a informação passada, uma vez que recebe o conhecimento de um dos seus”, esclarece Maués.

Ou seja: o Security Champion trabalha como uma ponte entre as duas áreas, de forma conciliadora, para garantir que a cultura da segurança seja mantida sem desgastar as equipes.

Quais as responsabilidades de um Security Champion?

Entre as principais responsabilidades dos Security Champions está a mudança cultural dos desenvolvedores, que devem passar a ter um olhar mais cuidadoso no trabalho de codificação, aplicando as melhores práticas de desenvolvimento seguro e buscando ter um olhar cada vez mais focado em segurança desde o início da criação de seus produtos.

Um Security Champion, de forma geral, é um transformador cultural para as equipes de desenvolvimento, e atua também como uma ponte de ligação entre as áreas de desenvolvimento e de segurança. “É ele quem consegue manter um entendimento dos dois mundos, amenizando os conflitos e disputas”, esclarece Maués.

Algumas atividades comuns do dia a dia de um Security Champion são:
- Ajudar na realização de revisões de segurança;
- Ajudar com a observação de melhores práticas de segurança;
- Desenvolver Modelagem de Ameaças para aplicativos novos e em evolução;
- Participar de movimentos de P&D – Pesquisa e Desenvolvimento;
- Orientar na identificação de requisitos de segurança;
- Avaliar e estudar bugs em código;
- Servir de elo de contato entre as demais equipes da área de segurança.
No entanto, é muito importante ressaltar que o Security Champion não realiza essas tarefas sozinho. Tudo é feito em colaboração com o time! Afinal, o papel do Security Champion não é o de centralizar o conhecimento - e sim, de disseminá-lo nas equipes.

Como se tornar um Security Champion? Existe um perfil específico?

É comum que Security Champions sejam desenvolvedores treinados e devidamente capacitados para suportar as iniciativas de segurança.

No entanto, isso não é regra - é possível que profissionais egressos de outras áreas, mas com algum conhecimento em desenvolvimento, recebam treinamento para atuar como Security Champions caso cumpram outros requisitos.

De todo modo, é preciso ressaltar que Security Champions não são profissionais de segurança de aplicações que são focados exclusivamente em segurança. Essa confusão é muito comum, mas é uma concepção errada.

A escolha dos Security Champions dentro de cada time gera uma noção de pertencimento e ajuda no trabalho com os desenvolvedores. É imprescindível um trabalho cauteloso, que começa por um mapeamento de times.

Para isso, é preciso identificar e capacitar membros dos times de desenvolvimento que tenham esse perfil, para que atuem como facilitadores de segurança. E este papel exige características comportamentais, como iniciativa e autogestão. Mas caso você sinta afinidade com essa carreira, esse já é um ótimo indício!

Vagas na Conviso

A Conviso, mantenedora aqui do Mente Binária, está com muitas vagas abertas. São vagas para áreas variadas dentro da empresa - de Desenvolvedor a Analista de Segurança da Informação.

Caso você sinta afinidade com a especialidade da Conviso - Segurança de Aplicações - não deixe de se inscrever, ou mesmo de se cadastrar em nosso banco de talentos. É só clicar no botão abaixo:
2

2
Compartilhar
Follow on

Seguidores 0
Ir para lista de artigos

Feedback do Usuário
- 1 Análise
Participe da conversa

Você pode postar agora e se cadastrar mais tarde. Se você tem uma conta, faça o login para postar com sua conta.
Nota: Sua postagem exigirá aprovação do moderador antes de ficar visível.

Seu endereço de email Obrigatório

Isso não será mostrado para outros usuários.

Sua avaliação Obrigatório

1 2 3 4 5

Sua análise Obrigatório

Adicionar um análise...

× Você colou conteúdo com formatação.   Remover formatação

Apenas 75 emojis são permitidos.

× Seu link foi automaticamente incorporado.   Mostrar como link

× Seu conteúdo anterior foi restaurado.   Limpar o editor

× Não é possível colar imagens diretamente. Carregar ou inserir imagens do URL.

×

Computador

Tablet

Smartphone

MAIS ÚTEIS

Mais Recentes

Andre Silva 12

Junho 1, 2021 em 12:08

   2 de 2 membros acharam esta análise útil 2 / 2 membros

Compartilhar esta análise

Seria legal entender um pouco melhor os critérios utilizados no mapeamento dos times, além da afinidade e vontade de se tornar um Security Champion. Muito boa a abordagem utilizada, para construir um programa de conscientização desse tipo, cada vez mais necessário nas empresas.

Link para a análise

Compartilhar em outros sites
Conteúdo Similar
- As minas de infosec
  
  Por Aline Mayra, Março 31, 2024 em 14:03
  - carreira
  - segurança
  - (e 2 mais)
    
    Tags:
    
    carreira
    
    segurança
    
    pentest
    
    mulheres em ti
  - 1 comentário
  - 1.093 visualizações
- Prontos para 2024?
  
  Por Aline Mayra, Janeiro 22, 2024 em 20:01
  - segura
  - carreira
  - 2 comentários
  - 1.389 visualizações
- Por dentro da carreira - e da cabeça - do analista de malware
  
  Por Aline Mayra, Outubro 23, 2023 em 15:47
  - engenharia reversa
  - análise de malware
  - (e 1 mais)
    
    Tags:
    
    engenharia reversa
    
    análise de malware
    
    carreira
  - 0 comentários
  - 2.534 visualizações
- Tempest Talks: conheça um dos maiores eventos brasileiros dedicados à Cibersegurança e prepare-se para a próxima edição
  
  Por Tempest Security Intelligence, Setembro 26, 2023 em 12:30
  - evento
  - segurança
  - 0 comentários
  - 1.607 visualizações
- Temos iniciantes em segurança para você contratar
  
  Por Fernando Mercês, Setembro 19, 2023 em 02:23
  - carreira
  - segurança
  - (e 1 mais)
    
    Tags:
    
    carreira
    
    segurança
    
    do zero ao um
  - 0 comentários
  - 1.844 visualizações