Em 2020, a Conviso realizou uma pesquisa com empresas do Brasil inteiro para entender como se encontrava o mercado de AppSec. Os dados levantados nos mostraram que a maior dificuldade, naquele momento, era a de mudar a cultura para construção de aplicações seguras, bem como investimentos no desenvolvimento e capacitações em appsec nos times de desenvolvimento em vez de investir apenas em testes de segurança.
Mas será que ao longo dos últimos anos, o mercado passou a se conscientizar mais em relação à necessidade de realização de treinamentos em desenvolvimento seguro?
E na sua organização - já existe a cultura de desenvolvimento contínuo neste setor? Nesta entrevista, o tech lead do time de Consulting da Conviso, Rodrigo Maués, conta sobre as mudanças que testemunhou ao longo dos seis anos em que trabalha ministrando treinamentos em empresas com a Conviso, com o objetivo de conscientiza-las sobre a cultura de AppSec.
Esta é a primeira de uma série de entrevistas que faremos com nossos especialistas para mostrar a você, leitor do nosso blog, um pouco mais sobre como é o dia a dia de quem trabalha em AppSec.
Em seus quase seis anos na Conviso, sente que houve uma mudança ou amadurecimento do mercado no que diz respeito às capacitações em desenvolvimento seguro?
Temos visto muita coisa mudar, sim. No começo era complicado mostrar a importância das práticas de codificação segura, bem como fazer os times de desenvolvimento entenderem que era - e ainda é - importante olharmos para o processo de desenvolvimento e buscar melhorar como construímos códigos, para que assim se entregue uma aplicação mais segura.
Agora já melhoramos um pouco, até porque fomos “forçados” a isso, de certa forma. As empresas, e principalmente os times de desenvolvimento, começam a entender que é melhor, mais econômico e menos trabalhoso atuar de forma correta no desenvolvimento.
Na Conviso temos notado isso com o aumento da busca por treinamentos e serviços, onde além de mostrar boas práticas de desenvolvimento, ajudamos nossos clientes a construírem um processo de desenvolvimento mais estruturado, ou mesmo, implantar um programa de Security Champions.
Nas capacitações realizadas pela Conviso, qual sente que é o maior desafio enfrentado pelos devs, pelos times de segurança do mercado de AppSec atualmente?
Ainda entendo que o maior desafio é a mudança de cultura para um processo mais robusto e estruturado. Além disso, ainda encontramos equipes de desenvolvimento com entendimento raso acerca de conceitos básicos de segurança. Mas vamos conseguir transformar este cenário!
O que mais te surpreende nestes treinamentos?
Eu vejo as duas coisas acontecendo a cada treinamento. Eu me surpreendo com a ausência de conhecimentos de fontes de estudo que estão no mercado há mais de 15 anos, e continuam sendo desconhecidos para a grande maioria. Mas também me surpreendo positivamente quando fechamos o treinamento vejo que todos ficaram curiosos e começam a fazer perguntas sobre mais conteúdo, pedem mais referências - isso mostra que conseguimos alcançar um de nossos objetivos nos treinamentos: estimular a curiosidade sobre o tema.
Sente que já existe a cultura da capacitação constante por parte dos profissionais de segurança?
Em algumas empresas sim, mas infelizmente muitos deixam para investir nisso em momentos de crise, ou mesmo quando precisam cumprir uma observação de auditoria e ou compliance.
O que falta para que o mercado adquira um pensamento voltado para a capacitação constante em AppSec?
Eu acredito que isso vai acontecer. Quando os treinamentos de hoje começarem a mostrar que o resultado para a aplicação é positivo essa chave muda, e passaremos a ver empresas muito mais focadas em preparar os seus times de desenvolvimento. Capacitação e treinamento já são pontos importantes mas, quando isso se transformar em ganhar financeiros, isso ganha importância e tração.
E o papel do Security Champion - já é bem compreendido/difundido no mercado?
Ainda não. Mas temos claro que essa figura ainda é relativamente recente na estrutura e precisamos ajudar a apresentar cada vez mais o Security Champion para as empresas. O termo já temos visto aparecer em muitos lugares, mas ainda precisamos ajudar no entendimento das suas atuações, responsabilidades e como é formado. De certa forma ainda temos essa dificuldade no mercado, o entendimento equivocado ainda é muito presente, assim como acontece com outros conceitos.
Falando em materiais para os treinamentos - como funciona essa questão nos treinamentos ministrados pela Conviso? Como esse material é desenvolvido?
Bom, primeiro tentamos sempre estar atualizados com os temas, mas eu entendo que a melhor abordagem de ensino ainda é a apresentação e formação de conceitos básicos. Se o aluno entende o conceito básico, ele pode pegar este conceito e estruturar da forma como ele está vendo a necessidade dele no momento. Focar em conceitos, pra mim, é a melhor forma de gerar conhecimento.
Vou dar um exemplo pra mostrar como isso é importante: temos treinamentos básicos de Desenvolvimento Seguro, e é comum que no início do treinamento o pensamento geral seja o de que vamos passar o tempo todo com código - sendo que muitas vezes os alunos ainda não tenham uma boa compreensão acerca do que é um processo de desenvolvimento.
Caso o profissional tenha dificuldades em estabelecer uma rotina de estudos, qual a sua dica para que ele consiga incluir isso, de alguma forma, na rotina dele?
O primeiro ponto é entender que estudar não é só participar de um curso. Estudamos a todo o momento, quando lemos um artigo, quando vemos um vídeo curto ou mesmo quando lemos trechos de livros explicando um ponto que não entendemos. Estudamos sempre que buscamos entender alguma coisa. Mas o que precisamos é também gerar conhecimento, discutir o que aprendemos com outros e compartilhar o que aprendemos - é assim que geramos conhecimento. Quando o profissional perceber isso, ele vai deixar de se preocupar em separar "x" horas para estudo e vai entender que ele esta estudando o tempo todo! Mas sim, ainda é muito importante ter uma estrutura, mas não se limitar a ela.
