No Digital AppSec Summit compartilhei algumas ideias sobre como criar uma cultura de Segurança de Aplicações em uma organização.
Transcrevi algumas ideias e opiniões nesse texto, mas para ver a palestra completa, acesse o link, começa no tempo de 1h30m: https://www.youtube.com/watch?v=VanVyPnmIAU&t=6156s
Muitas vezes, quando falamos de cultura, não temos uma definição clara do que isso significa. Quando vejo artigos ou textos tratando sobre o tema, sinto que falta um certo embasamento teórico sobre o que é "cultura", o que passa a impressão de uma subestimação.
Nesse sentido, sempre pontuo duas dimensões muito importante que aprendi durante minha formação nas ciências sociais (Relações Internacionais) sobre o que é cultura: o conhecimento e o poder.
A cultura para Iuri Lotman é o conjunto de significados que são produzidos, transmitidos e transformados pelos seres humanos em suas interações sociais. Assim, acaba sendo um sistema que organiza a realidade e orienta o comportamento dos indivíduos e dos grupos. Ela acaba servindo como uma espécie de memória de longo prazo de uma “comunidade”, que guarda as informações e os valores que são compartilhados por seus membros.
Nesse entendimento, a cultura pode ser vista como uma forma de poder que pode influenciar outras pessoas a realizarem determinadas ações. Essa capacidade da cultura de atrair e persuadir outros indivíduos sem recorrer à força ou à coerção é chamado pelo Joseph Nye como o "soft power".
Compreender esses conceitos ajuda a entender, por exemplo, como a força do cinema norte americano (Hollywood) durante o século XX influenciou a cultura de diversos países, divulgando os valores, os vocabulários sociais, as marcas e os comportamentos que são típicos dos estadunidenses pensando nos valores que os EUA propagavam na época como uma democracia liberal.
Um exemplo dessa força cultural estadunidense propagada pelo cinema hollywoodiano é a calça jeans, um produto que se tornou popular em todo o mundo, atravessando as fronteiras ideológicas da Guerra Fria ao encontrar popularidade até mesmo na União Soviética.
Assim como os países, as empresas também podem ter um “soft power” corporativo, que é o efeito que elas têm na cultura organizacional e nos valores dos seus profissionais. E isso pode afetar a forma como eles lidam com a segurança da informação.
A cultura de segurança das aplicações é uma forma de criar uma mentalidade proativa de segurança nos profissionais ligados ao desenvolvimento de aplicações. Acaba sendo um modo de pensar e de agir que considera a segurança como um requisito fundamental e integrado ao processo de desenvolvimento das aplicações.
A segurança das aplicações é um valor que deve ser compartilhado por todos os profissionais envolvidos no desenvolvimento de software. Para criar uma cultura de AppSec na sua empresa, você pode usar o “soft power”, fazendo por exemplo que a segurança seja parte da identidade e da memória dos seus funcionários, desde o momento em que eles entram na empresa.
É preciso também que as lideranças da organização estejam comprometidas e engajadas com a segurança. Elas devem ser as responsáveis por financiar, apoiar e adotar as iniciativas de cultura organizacional, sendo exemplo de comportamento que elas querem ver nos seus liderados. Investindo assim não só no treinamento, mas também no aprendizado contínuo dos seus profissionais.
Somente assim, com o apoio de todos, a cultura de AppSec pode se tornar uma realidade na sua empresa, e contribuir para a proteção das suas aplicações e dos seus clientes.
Top comments (1)
Quer artigo fenomenal, achei muito interessante a introdução sobre o que é a cultura e a transição da cultura com AppSec, quero dar uma olhada na palestra pra ter o deslumbre de aprender mais, muito obrigado por compartilhar seu conhecimento 🦤.