Formar capacidades de Seguridad en equipos de desarrollo (Security Champions)

Es recomendable contar con un Security Champion en cada equipo (squad) de desarrollo, que sea el punto focal de contacto con el equipo de seguridad y que sea capacitado periódicamente sobre prácticas de desarrollo seguro.

¿ Como debe ser el Security Champion ?

  • Debe ser un entusiasta de la seguridad de la información
  • Debe ser una persona que le gusta enseñar
  • Honesta / confiable, que reporte los problemas encontrados para el análisis de riesgo y provea toda la información necesaria para tomar las decisiones ante un bug (Aceptar el riesgo, Detener el paso a producción, Mitigar el riesgo)

¿ Que se espera de un Security Champion ?

  • Que sea quien está en el día a dia en el equipo de desarrollo, que nos aporte la visión desde adentro
  • Que aprenda de seguridad y cree los casos de prueba para verificar que no existan riesgos críticos.
  • Que enseñe a su equipo
  • Que ayude en la construcción del modelado de amenazas , conociendo bien a la aplicación.
  • Que sea el guardian de las buenas prácticas de seguridad en su equipo.
  • Gestor de vulnerabilidades relacionadas al código producido por su equipo.

Beneficios

Es importante generar beneficios para estos Security Champions ya que es una labor adicional que están tomando, tales como:

  • Premios por participar de sesiones de entrenamiento
  • Premios por alcanzar los objetivos de calidad de código en materia de seguridad
  • Sesiones de preguntas abiertas sobre seguridad (Office hours)
  • Capacitaciones exclusivas

Gamification

Se recomienda también darle un aspecto lúdico (Gamification) para incentivar la competencia entre los equipos. Ejemplos:

  • Equipo que más defectos de seguridad arregla
  • Equipo que produce código con menos defectos detectados por el equipo de seguridad
  • Participación en AWS Security Game Days , Se realizan periódicamente, contacte a su Account Manager para identificar la próximas fechas disponibles.
Ver Webinar relacionado al tema: Seguridad efectiva para aplicaciones modernas

Workshops

Workshop de modelado de amenazas para constructores/desarrolladores: