Mentionsy

Już mam sygnały, że nawet ktoś z zespołu Legala chciałby być Security Championem, tak?

Mi szczególnie, bo jak już wspomniałem, nie jestem deweloperem, być może takie rzeczy były już znane od początku, natomiast gdzieś ta idea, szczególnie Security Championów,

I gdy usłyszałem o idei Security Championu właśnie na prezentacji BNP, no to wtedy zrozumiałem, że to jest ta droga tak naprawdę, gdzie moglibyśmy sobie wyskalować to bezpieczeństwo, jednocześnie mieć to observability, co się dzieje podczas tworzenia oprogramowania, no i czy jest ono bezpiecznie tworzone.

Odnośnie funduszy i Security Championów, powiedz mi, czy na początku spotkałeś się z pewnym oporem, tłumacząc to gdzieś do góry, czy nie?

Łukasz faktycznie kupuje twoją ideę, idziesz w to, masz tutaj budżet, możesz budować Security Championów.

Więc, jeżeli chodzi o samą ideę, to nie było problemu, natomiast trzeba było dać argumenty, jak taką transformację, czy taki program, na przykład Security Championów, jak on będzie prowadzony, jakie my mamy pomysły, bo to też nie może być tak, że

Zrobimy program Security Champions, a potem pomyślimy co dalej.

Możemy mieć dedykowane szkolenie dla security championów, dla nas, no i dla menadżerów, tak?

I do tego jeszcze może zaraz przejdziemy, ale mi się podoba to, co powiedziałeś, że tego programu security championów

Miałem okazję gdzieś być w organizacji, gdzie były przebieżki z Security Championami.

Tak, dzielenie wiedzą jest super ważne, Łukaszu, i powiedziałeś o tym buy-in od managementu, o tym świadomym managemencie, o tym jasnym planie, który trzeba było przedstawić, a ja odbiję piłeczkę i przedstawię to troszeczkę z innej perspektywy, albo chciałbym się zapytać o inną perspektywę, bo buy-in od managementu to jest jedno, a jak zdobyłeś ten buy-in od deweloperów, od tych ludzi, którzy mieli zostać tymi security championami, czy byłeś jak taki Scrum Master Oskarek, który przychodzi i mówi, dobra, chodź teraz na daily, porozmawiamy sobie o tym?

I właśnie tak jak już mówiłem, te kropki się wszystkie połączyły jak usłyszałem o idei Security Championów.

Czy jest jeszcze jakaś rola, która uczestniczyła w tym programie Security Champions, oprócz typowego programisty i inżyniera QA?

Na razie testerzy i deweloperzy, natomiast już mam sygnały, że nawet ktoś z zespołu Legala chciałby być Security Championem.

Bo powiedziałeś, że w zasadzie podchodząc do transformacji DevSecOps, nie bójmy się tego, do transformacji DevSecOps, do budowania Programu Security Champions i też wspomniałeś właśnie o ważnej kwestii tego, że ci ludzie najczęściej mają inne obowiązki, bo są zatrudnieni do wykonywania konkretnej roli, przykładowo testera czy programisty.

I tak naprawdę zdałem też sobie sprawę, że Security Championi to jest taki rodzaj społeczeństwa czy grupy osób, które też trzeba stale stymulować, tak?

I ja jako team leader obecnego zespołu, no coraz ciężej było mi to tak naprawdę robić i dlatego właśnie pomysł, żeby stworzyć zespół upsecowy, który między innymi też by stymulował i działał, współpracował z security championami właśnie.

Jakie Łukaszu, mimo wszystko, jakich technik, jakich rzeczy próbowałeś, aby dorzucać do pieca i żeby ten żar, żeby ten ogień w tych Security Championach nie zgasł?

Naszą taką, jeżeli chodzi o bezpieczeństwo, była to powiedzmy taka baza, która jest bardziej publiczna dla organizacji i taka bardziej nasza, wewnętrzna dla Security Championów, gdzie ja i część zespołu dzieliła się ciekawymi szkoleniami, prezentacjami, artykułami i tak, no bo to

Organizowanie szkoleń to jest druga kwestia, czyli tak jakby, żeby Security Championi cały czas mieli dostęp do tej wiedzy.

Powiedz mi, jak to wyglądało z punktu widzenia właśnie gildii czy właśnie security championów?

My jesteśmy od tego, my i security championi, żeby

Okej, ale jakieś globalne visibility mieliście, chodzi mi o kwestie potem raportowania postępów pracy i nie gubienia tego przepływu pracy, tego budowania takiej rozliczalności, co faktycznie w tym programie Security Champions zostało wykonane, a co gdzieś tam może nam uciekło pomiędzy tymi spotkaniami, niezapisane gdzieś.

Wiesz co, myślę, że też inni Security Championi w ogóle się, wydaje mi się, chwalili się, jak do tego podeszliśmy, no bo...

Jeden z Security Championów utworzył board w Miro, gdzie właśnie wizualnie każdy mógł, że tak powiem, łatwiej przyswoić sobie to, o czym rozmawiamy, to, co trzeba będzie zrobić dalej.

Mi się przede wszystkim tu podoba w całym tym koncepcie podejścia ta współpraca, to co potem wynika z tej współpracy, taka burza mózgów, bo jeśli założymy, że zespół Security Championów jest zbudowany z kilku ról, że to są

I Security Championi, jak i ja również.

Podeszliśmy do tego tak, że security championi określają tak naprawdę, czy coś rzeczywiście ma dany priorytet, czy nie, a nie narzędzia.

Czyli też aktywnie, aktywne utylizowanie Security Championów w takiej pracy pomocy ocenie problemów, które są znajdowane przez, no właśnie.

No to jest dobre pytanie, które być może powinienem zadać swoim kolegom, którzy próbują takie czary-mary robić, bo ja niestety spotkałem się z takimi sytuacjami właśnie, gdzie albo nie ma zespołu security championów, albo jest, ale nie jest do końca utylizowany.

A wydaje mi się, że Security Champion gdzieś już ma ten background, gdzieś już siedzi w zespołach.

Tak, wydaje mi się, że ja jestem pewien, że w przypadku typowych bezpieczników mamy tutaj do czynienia z takim myśleniem binarnym, zero-jedynkowym, a jest podatność albo nie ma podatności i nie ma żadnej wartości pomiędzy zero a jednym, więc utylizacja Security Championów jako

Myślę, że najłatwiejszą rzeczą to byłoby wykazanie, że to łatanie czy nawet taki triaż podatności idzie szybciej w zespołach, gdzie taki Security Champion jest.

Natomiast łatwo jest wykazać, że tam gdzie jest Security Champion,

Security Championi mogą być wiadomo od początku we wszystkich zespołach, ale my podeszliśmy do tego tak, że

No bo jeżeli będzie osoba, która chce być security championem, żeby mieć logo security championa, badge i chwalić się gdzieś tam w kuchni, że jest security championem, a nie za bardzo dawać coś od siebie, to nie zadziała i też ciężko będzie wykazać później komuś wyżej, że na przykład w tym zespole to idzie.

Jako całość Security Championi oni wszyscy muszą być zaangażowani i to musi działać.

I oni się spisują, ale też świadomie nie chcieliście, nie chciałeś, nie chcieliście wybrać ze wszystkich po to, żeby też móc właśnie zmierzyć, jaka będzie efektywność w tych zespołach, w których jest Security Champion versus tych zespołach, w których nie ma Security Championa.

I moglibyśmy powiedzieć, OK, mamy już wszystkich Security Championów, mamy program, wystartowaliśmy, lecimy.

Czy ten program Security Champions przełożył się jakoś na usprawnienie właśnie pracy z legalnym compliance'em, a może jeszcze z jakimś innym działem firmy?

Wystarczy po prostu rzucić w społeczność Security Championów.

No i to jest właśnie jeden z takich głównych założeń i całych inicjatyw Security Champion, że to jest satelita i rolą Security Championów jest ten pierwszy punkt kontaktu z bezpieczeństwem, przez co tak naprawdę offloaduje się tą pracę samego działu bezpieczeństwa, co jak już wspomnieliśmy zawsze jest za małe, no bo bezpieczników zawsze będzie mniej niż inżynierów.

Aczkolwiek dodałbym, że to też nie jest tak, że powiedzmy wystarczy taki utarty Blue Team, Red Team i powiedzmy Security Championi.

Chciałem się ciebie zapytać, jaką najważniejszą lekcję według ciebie wyciągnąłeś po przeprowadzeniu takiej transformacji, po wprowadzeniu tego programu Security Champions?

I to niekoniecznie wiadomo, musi być jakiś program Security Championów, tylko te osoby są w całej organizacji gdzieś rozsiane i gdzieś ich głos powinien być usłyszany, moim zdaniem.

Nie wszystko na hura, że lecimy, blokujemy i wszyscy będą zadowoleni, bo wtedy to program Security Champions i DevSecOps to by się bardzo szybko skończył.

Bo często, wiecie, jest tak, że wszystko jest, wiecie, co do dnia, będzie wtedy, będzie... Wtedy skończymy POC, wtedy wdrożymy narzędzie, wtedy zrobimy security championów, program i tak dalej, i tak dalej.

Dostajesz najlepszych Security Championów.

Cały czas pomoże stymulować właśnie tych Security Championów, bo ja byłem inicjatorem, tak jakby, całego programu.

Natomiast nie tylko Security Championami się zajmuję.

Bardzo jasne zasady tego, co ci Security Championi będą robić.

No i kolejne pomysły na to, jak bardziej angażować Security Championów, czy generalnie budować taką kulturę bezpieczeństwa, takie miejsce, gdzie powiedzmy każdy z firmy może zajrzeć, czy to jest spotkanie, czy to jest jakiś konfluens, czy to jest...

Gdzie każdy może wejść, zapytać, dowiedzieć się czegoś i wtedy frontem są i Security Championowie, jeżeli chodzi o Development, Core, taki typowy Security, to jesteśmy taki typowy Blue Team, Red Team.

I myślę, że właśnie jeżeli chodzi o Security Championów, no to to jest mocna karta, żeby rozszerzyć ten obszar właśnie developmentu w tą sferę dostępności, bezpieczeństwa ogólnie.

Szukamy do zespołu AppSec inżyniera bezpieczeństwa, który między innymi będzie się zajmował prowadzeniem całego programu Security Championu, będzie dla nich takim głównym stykiem kontaktowym, jeżeli chodzi o bezpieczeństwo.

Menadżerskie, że tak powiem, informacje o tym, natomiast to będzie bardzo samodzielne stanowisko, które będzie wymagało rzeczywiście umiejętności zarządzania czasem też innych, no bo właśnie security championów, więc powiedzmy, że trochę podchodząca rzeczywiście pod taką rolę liderską.

Generalnie przelać ją na inne organizacje i myślę, że to też jest jakiś taki stymulant dla Security Champion.

Być może jakiś Security Champion by chciałby wystąpić w takiej prezentacji, jak wygląda jego praca, czy jak taki program był budowany, bo to nie musze być koniecznie.

Jest w pewnym sensie takim perpetuum mobile, które jeszcze bardziej napędza czy to security championów, czy to liderów takich jak ty, czy całe organizacje.

Przede wszystkim wydaje mi się, że jest sporo wartości dla innych firm, które myślą o programie Security Championów, o budowywaniu bezpieczeństwa w proces wytwórczy, o jakiejś transformacji DevSecOps.