Los expertos en seguridad son escasos y están desbordados. Por su parte, los desarrolladores quieren hacerlo bien (no se oponen a ello), pero carecen de tiempo, herramientas y claridad sobre lo que se espera de ellos. El resultado: la seguridad suele quedar relegada a «un tema de esfuerzo máximo», hasta que una vulnerabilidad (o una auditoría) viene a recordarnos su importancia.
Entonces, ¿cómo se pasa de un deseo piadoso a una verdadera dinámica de equipo? Spoiler: se evitan las grandes declaraciones grandilocuentes y se recurre a dos palancas concretas. Un marco (OWASP SAMM) y unos intermediarios (los Security Champions).
Organizarse sin limitar a los equipos: cómo OWASP SAMM te ayuda a avanzar al ritmo adecuado
Es muy tentador querer «garantizar la seguridad» acumulando medidas sobre la marcha: un análisis SAST por aquí, un taller de modelización de amenazas por allá, una auditoría puntual para tranquilizar a todos. Pero sin una coordinación real, eso agota a todo el mundo y dispersa los esfuerzos.
El OWASP SAMM (Software Assurance Maturity Model) no es una fórmula mágica. Es una brújula. Te permite saber dónde te encuentras (sin engañarte), definir hacia dónde quieres ir y, sobre todo, trazar un camino progresivo y realista.
¿Cuál es la ventaja? SAMM se basa en tus flujos de valor. Son tus productos, tus proyectos y tus equipos los que marcan las prioridades. No una lista de verificación ajena a la realidad. Estructuras tus prácticas de forma adecuada, con una visión clara de los beneficios. Pero para que este enfoque no se quede en teoría, se necesitan personas de enlace sobre el terreno. Gente que sepa cómo se desarrollan las cosas en el fragor de la acción. En resumen: artesanos.
Los «Security Champions», artífices de la seguridad en el día a día
Un «Security Champion» no es un superhéroe ni un gurú de la seguridad. Es un miembro del equipo (a menudo un desarrollador o un responsable técnico) que acepta asumir el papel de «responsable de seguridad» en el día a día, sin perder de vista los objetivos de entrega.
¿Cuál es su función? Traducir los requisitos de seguridad al lenguaje del equipo. Proponer prácticas adecuadas. Apoyar a sus compañeros sin frenarlos.
(No está ahí para hacer de policía, sino para facilitar las cosas. Una diferencia fundamental.)
Por ejemplo, puede organizar una revisión de código orientada a la seguridad sobre un tema delicado, poner en marcha un taller sencillo y rápido de modelado de amenazas, o incluso ayudar a integrar una herramienta de linting de seguridad en los flujos de trabajo existentes (sin que ello se convierta en un proyecto de un año).
Son esos pequeños detalles, añadidos con delicadeza, los que hacen que las prácticas evolucionen de forma sostenible. Y para que esto funcione, es necesario contar con un marco en el que apoyarse. Ahí es donde SAMM se convierte en su mejor aliado.
Acompañar al dúo SAMM & Champions: experiencia sobre el terreno, que no siempre es fácil
En una organización a la que he asesorado recientemente, la situación era clara: varios equipos autónomos, prácticas de seguridad dispares y un equipo central de seguridad incapaz de hacer frente a todas las solicitudes. Nada nuevo, pero sigue siendo un obstáculo.
El primer paso fue simplificar el enfoque SAMM. No se trataba de una auditoría exhaustiva, sino de un rápido mapeo de las prácticas existentes. El objetivo: identificar los flujos de valor críticos y centrarse en ellos.
A continuación, se designaron «Security Champions» en cada equipo implicado. No necesariamente los más expertos en seguridad, sino personas motivadas, respetadas por sus compañeros y dispuestas a desempeñar ese papel de impulsores.
El trabajo con ellos se llevó a cabo de forma conjunta. Juntos definimos una serie de medidas sencillas para incorporar a la rutina diaria: añadir una comprobación en los PR sensibles, automatizar ciertos controles repetitivos y organizar talleres prácticos.
Cada avance era visible: los Champions alimentaban un cuadro de mando que recogía las líneas de progreso de SAMM, pero con indicadores significativos para los equipos. Nada de métricas vanidosas, sino datos concretos: lo que se ha mejorado, lo que se ha estabilizado y lo que se prevé.
OWASP realiza un excelente trabajo en el ámbito de los «Security Champions» a través de un proyecto específico que os recomiendo encarecidamente que consultéis. A continuación os muestro algunos ejemplos de paneles de control que podéis implementar.
¿Qué fue lo que realmente marcó la diferencia? Un patrocinio activo (tanto en el ámbito tecnológico como en el de los productos), una dinamización constante de la comunidad de Champions (intercambios, intercambio de buenas prácticas, mejora de las competencias) y, sobre todo, una sincronización permanente con la hoja de ruta de SAMM (sin desconexión entre la visión global y la realidad sobre el terreno).
Los errores típicos (y cómo evitarlos para que realmente funcione)
Como es lógico, en este tipo de iniciativas hay algunas trampas. La más habitual: nombrar «por principio» a unos «campeones» sin darles los medios para actuar. Esa es la mejor forma de quemarlos en tres meses.
Otro error frecuente: definir KPI de SAMM que no se ajustan a la realidad diaria de los equipos. Si tus indicadores no les dicen nada, la aceptación será prácticamente nula (y la culpa será tuya, no de ellos).5620
Además, está la trampa del aislamiento. Un «campeón» que se queda solo en su rincón, sin reconocimiento ni interacción, acaba por desmotivarse. De ahí la importancia de fomentar una verdadera dinámica colectiva, de valorar sus acciones y de integrarlas en las decisiones que se toman.
Por último, intentar imponer los requisitos de SAMM sin tener en cuenta las realidades locales es una forma segura de dar con un muro. La alineación entre la hoja de ruta de SAMM y las prioridades de cada equipo es innegociable (de lo contrario, seguirá siendo un proyecto de seguridad más entre tantos otros).
La seguridad es, sobre todo, una cuestión de equipos bien equipados, no de expertos aislados
Se habla mucho de la seguridad «por diseño». Pero eso no se impone por decreto. Se construye, paso a paso, contando con la participación de los propios equipos.
Con SAMM para marcar el rumbo y los Security Champions para poner en práctica las buenas prácticas en el día a día, tienes una combinación ganadora. No es una solución mágica, sino un método que funciona, porque se adapta a la realidad sobre el terreno.
Eso es lo que significa la verdadera industrialización de la seguridad de las aplicaciones: un avance continuo, impulsado por los equipos, estructurado pero flexible.
Así pues, la pregunta es sencilla: ¿tienen tus «Security Champions» margen para actuar? ¿O sigues esperando que un equipo central se encargue de todo?
(Si te encuentras en el segundo caso, quizá sea hora de replantearte tu estrategia.)
