TecNoticias, tu portal de información

La próxima semana, esperamos reunir a los increíbles oradores, asistentes y patrocinadores de DevSecCon24 para debatir, debatir y comprender cómo puede funcionar un programa Security Champions. Como CTO de campo de Snyk, lideraré un panel con líderes estelares de DevSecOps de Twilio, Atlassian y Pearson para profundizar en cómo comenzar, los desafíos y los ajustes. A continuación, se muestra una muestra de adónde podría conducir la discusión.

El concepto de un programa Security Champions está ganando terreno rápidamente dentro de DevOps y DevSecOps, a medida que las organizaciones buscan nuevas formas de cerrar la brecha entre Desarrollo, Operaciones y Seguridad, para finalmente crear software que sea seguro por diseño. Pero un programa de Campeones no es algo en lo que se pueda apresurar para lograr el éxito a largo plazo. Debe haber una planificación cuidadosa y un pensamiento estratégico. Es fundamental que los equipos de seguridad establezcan bases sólidas, elijan a los campeones adecuados, definan su función, así como la función del programa, y ​​lo implementen de forma orgánica y tan lenta como sea necesario.

Sentar bases sólidas

El primer paso para crear un programa Security Champions es definir por qué quiere uno en primer lugar. La creación de un programa no se trata de mantenerse al día con otras empresas, o porque lees un artículo que dice que debes hacerlo; se trata de solucionar problemas de seguridad específicos, exclusivos de su organización. Identifique los desafíos de seguridad dentro de su propia organización y haga que solucionarlos sea el objetivo.

Muchas organizaciones abordan un programa Champions desde la perspectiva de la seguridad, pero si desea que sus desarrolladores se involucren y participen, entonces debe mostrarles cómo el programa es valioso para ellos en términos de eliminar los puntos débiles. Encuentro que una pregunta eficaz es preguntar al equipo de desarrolladores "si pudieran cambiar una cosa en su función, ¿cuál sería?". Esto va al corazón de sus problemas y le brinda una base sólida para comenzar a desarrollar su programa Security Champions.

Sin embargo, tanto el apoyo como la estrategia son fundamentales para el éxito del programa Security Champions. El patrocinio ejecutivo es primordial: la mayoría de las organizaciones con las que he hablado que han lanzado programas sin apoyo de nivel ejecutivo, finalmente los vieron fracasar. Ningún programa tendrá éxito a largo plazo si la alta dirección lo ve como una pérdida de tiempo.

Elegir a sus campeones de seguridad

Mucho depende de las personas que elija para ser campeones de seguridad: hágalo bien y sus equipos de desarrollo y seguridad pueden trabajar juntos sin problemas; Hágalo mal y está introduciendo más confusión y frustración. Sus campeones de seguridad deben ser personas que estén naturalmente interesadas en la seguridad y sean desarrolladores que contribuyan activamente a sus equipos.

Por lo general, los programas tendrán un campeón de seguridad por equipo de ingeniería o grupo de equipos, ya que esto le da al departamento de seguridad visibilidad de toda la organización y una comprensión profunda de la forma en que se manifiesta el riesgo dentro de ella. Los campeones de seguridad se asociarán con un mentor o entrenador de seguridad del equipo de seguridad y trabajarán conjuntamente para resolver problemas y aumentar la madurez de seguridad de los equipos de ingeniería.

La opinión está dividida sobre si los desarrolladores deberían ofrecerse como voluntarios para ser campeones de seguridad o si esto debería ser decidido por la dirección. Pero, según mi experiencia, es mejor si el puesto se cubre de forma voluntaria, incluso si se exige un campeón por equipo. De esa manera, encontrará a alguien que sea genuinamente apasionado por la seguridad y que no se sienta resentido por su función ampliada. También puede ser una gran oportunidad profesional para ellos y una oportunidad para perseguir nuevos intereses. Dentro de Snyk, uno de nuestros ingenieros se convirtió en un campeón de seguridad y finalmente se unió a nuestro equipo de seguridad.

El papel de un campeón

Seamos claros: el papel de un campeón de seguridad es actuar como un conducto entre el desarrollador y los equipos de seguridad, no ser un experto en seguridad. Aunque deberían tener curiosidad por la seguridad, no se espera que solucionen mágicamente todos los problemas. En cambio, su trabajo es proporcionar visibilidad y mantener a ambas partes enfocadas en lograr los objetivos de seguridad, dentro de un período de tiempo, y elaborar los pasos prácticos necesarios para lograrlo.

Sin embargo, las características específicas del rol de un campeón de seguridad aún deben definirse claramente dentro de su organización. Cuando un desarrollador ve a un campeón de seguridad, debe tener muy claro cuál es el rol y qué hacen esas personas.

Los campeones pueden recibir apoyo en su función con reuniones periódicas con otros campeones y con el equipo de seguridad, lo que les permite discutir cualquier problema, ayudarles en su desarrollo y animarlos en su función. El estímulo también puede, y debe, proporcionarse en forma de reconocimiento y recompensas, que también ayudan a impulsar una mayor contratación de campeones de seguridad.

Implementando el programa

Aunque el objetivo general es la cobertura de toda la empresa, la implementación de un programa Security Champions debería comenzar poco a poco. Haga que un programa funcione sin problemas y con éxito con algunos equipos y luego podrá comenzar a expandirse. Comience con equipos que estén trabajando en áreas de mayor prioridad, que experimenten el mayor riesgo, y equipos que tengan una madurez en las prácticas de seguridad y, por lo tanto, tengan una base sólida para construir.

La clave para una implementación exitosa es hacerlo de manera orgánica y lenta. Pero, ¿cómo saber cuándo expandir el programa a más equipos? La respuesta a esto es si el equipo de seguridad está en condiciones de apoyar a más equipos y si el programa está funcionando con éxito. Pero esto lleva a otra pregunta: ¿cómo se ve el éxito? Medir el éxito es difícil, pero es posible, y los equipos de seguridad deben considerar datos tanto cualitativos como cuantitativos. ¿Qué tan bien están adoptando el programa los equipos de ingeniería y qué tan bien se están implementando las recomendaciones de los campeones? ¿Están los campeones activos, llenando sus cuadros de mando y cumpliendo los objetivos que se fijaron?

Hable con los equipos de desarrolladores y vea si pueden informarle sobre cualquier cambio en sus procesos; por ejemplo, desde una fecha determinada, siempre han realizado un modelado de amenazas, han reducido la acumulación o han agregado pruebas automatizadas de una función en particular a lo largo de su canalización. Por supuesto, los números también son útiles (puede ver si la acumulación de vulnerabilidades se está reduciendo o, si su organización trabaja con hojas de tiempo, puede verificar si un campeón está dedicando la cantidad de tiempo acordada a tareas de seguridad), pero debe tener cuidado con los números. sin contexto. Un equipo con un número bajo de vulnerabilidades puede no ser necesariamente más seguro que uno con un número más alto; es posible que solo estén ejecutando menos controles de seguridad o menos estrictos.

Un programa Security Champions es una forma importante en que las organizaciones pueden crecer en madurez de seguridad, reducir vulnerabilidades e integrar la seguridad en todos los niveles de su trabajo. Pero se necesita trabajo y tiempo. Si una organización quiere lanzar un programa que dure, necesita paciencia para lograr el crecimiento orgánico y lento que subyace al éxito. Para obtener más información sobre las mejores prácticas y los peligros de ejecutar programas Security Champions, regístrese gratis para asistir a la DevSecCon24, que se llevará a cabo el 23 de febrero. 24 de junio.

Nota del editor: este artículo está asociado con Snyk.

(Foto de Nik Shuliahin en Unsplash)
Etiquetas: ciberseguridad, devseccon24, devsecops, destacado, seguridad, snyk