01 - Security Champion
Neste episódio do DevSecOps Podcast, exploramos o processo de criação e implementação de um programa de Security Champions dentro das empresas. Discutimos como identificar os colaboradores ideais para assumir esse papel, as melhores estratégias para engajá-los, e quais benefícios um programa bem estruturado pode trazer para a segurança organizacional. Também abordamos dicas práticas para promover uma cultura de segurança entre os times de desenvolvimento e como alinhar o programa aos objetivos de negócio.
Vídeo
Conteúdo gerado por IA
Resumo
No episódio do podcast, os palestrantes discutiram a implementação de um programa de 'Security Champion', que visa integrar práticas de segurança em equipes de desenvolvimento. O foco foi em como formar e reconhecer esses campeões de segurança, que atuarão como intermediários entre as equipes de desenvolvimento e o time de segurança. A conversa abordou a importância de um suporte executivo, destacando que a iniciativa deve ser uma política da empresa, com apoio do CISO e do CTO. O episódio ocorreu recentemente, e sua relevância reside na crescente necessidade de reduzir riscos no desenvolvimento de software, especialmente em empresas que buscam escalar suas práticas de segurança. Os palestrantes enfatizaram que o papel do Security Champion não deve sobrecarregar as funções principais dos desenvolvedores, mas sim complementar suas atividades. Além disso, a comunicação entre os Security Champions e o time de segurança é crucial para o sucesso do programa. A estruturação adequada desse programa é vista como um passo importante para melhorar a segurança organizacional.
Capítulos / Cortes
- 00:01 - Introdução ao security champion
- 07:20 - Pilares do programa de segurança
- 15:24 - Onboarding e treinamento contínuo
- 22:06 - Comunicação e suporte executivo
- 30:45 - Desafios e estrutura do programa
Lições aprendidas
- Quais são os dois pilares fundamentais para o sucesso de um programa de Security Champion? Os dois pilares fundamentais são a formação do Security Champion e o reconhecimento do seu trabalho, que inclui incentivos como salário melhor e bônus.
- Como o papel de um Security Champion se integra ao time de desenvolvimento? O Security Champion deve continuar suas funções como desenvolvedor, enquanto também assume responsabilidades relacionadas à segurança, como implementar boas práticas e colaborar com o time de segurança.
- Qual é a importância do suporte executivo na implementação de um programa de Security Champion? O suporte executivo, especialmente do CISO e do CTO, é crucial para garantir que a iniciativa tenha peso e seja levada a sério dentro da empresa, tornando-se uma política obrigatória.
- Como a comunicação é abordada no contexto do programa de Security Champion? A comunicação é vista como crítica, pois é essencial para que os Security Champions se conectem com o time de segurança e compartilhem feedbacks sobre o programa e suas dificuldades.
- O que é um ESPM e qual a sua relevância no contexto do Security Champion? Um ESPM (Enterprise Security Program Management) é importante para estruturar o papel do Security Champion, garantindo que ele não sobreponha suas funções principais e que o programa de segurança seja bem gerido.
Show notes
Créditos do Podcast
Elenco
CTO - Cássio B. Pereira.
Application Security Leader - Ben-Hur Santos Ott.
Sales Engineer - Marcos Santos.
Apoio:
Gold Application Security - Gold Application Security.
Nova8 Cyber Security - Nova8.
Digitalwolk - Digital Wolk.
Checkmarx - Checkmarx
Conteúdo:
Idealização - Cássio B. Pereira links.
Trilha sonora - Motel Rock - Hanu Dixit link
