Treinar recursos de segurança em equipes de desenvolvimento (Security Champions)
Recomenda-se ter um Security Champion em cada equipe de desenvolvimento (esquadrão), que é o ponto focal de contato com a equipe de segurança e que é treinado periodicamente nas práticas de desenvolvimento seguro.
Como o Security Champion deve ser?
- Você deve ser um entusiasta da segurança da informação
- Deve ser uma pessoa que goste de ensinar
- Honesto / confiável, que reporta os problemas encontrados para a análise de risco e fornece todas as informações necessárias para a tomada de decisões em caso de bug (Aceitar o risco, Parar a transição para a produção, Mitigar o risco)
O que se espera de um Security Champion ?
- Que sea quien está en el día a dia en el equipo de desarrollo, que nos aporte la visión desde adentro
- Que aprenda de seguridad y cree los casos de prueba para verificar que no existan riesgos críticos.
- Que enseñe a su equipo
- Que ayude en la construcción de modelos de amenazas, conociendo bien a la aplicación.
- Que sea el guardian de las buenas prácticas de seguridad en su equipo.
- Gestor de vulnerabilidades relacionadas al código producido por su equipo.
Benefícios
É importante gerar benefícios para esses Security Champion, pois é uma tarefa adicional que eles estão realizando, como:
- Prêmios por participação em sessões de treinamento
- Prêmios por alcançar objetivos de qualidade de código em termos de segurança
- Sessões de perguntas abertas sobre segurança (* Horário comercial *)
- Treinamentos exclusivos
Gamificação
Recomenda-se também dar um aspecto lúdico (Gamificação) para estimular a competição entre as equipes. Exemplos:
- Equipe que corrige a maioria das falhas de segurança
- Equipamento que produz código com menos defeitos detectados pela equipe de segurança
- Participação em AWS Security Game Days
. Game Days são feitos periodicamente, entre em contato com seu Gerente de Conta para identificar as próximas datas disponíveis.