Entrevista com… Carlos Serrão

Entrevista com... Carlos Serrão

Após entrevistas a Peleus Uhley e Robert ‘RSnake’ Hansen calha a vez de um português… Carlos Serrão, líder do capítulo português da OWASP.
Nesta entrevista, Carlos fala da OWASP e do atual estado da segurança da informação em Portugal.

David Sopas: O que é OWASP?
Carlos Serrão: OWASP significa “Open Web Application Security Project” e é uma fundação americana (mas de alcance global e geral) que se encarrega de dinamizar uma comunidade internacional em torno de um princípio comum: a segurança nas aplicações Web (embora ultimamente o foco seja a segurança aplicacional em geral). São muitas as iniciativas da OWASP, que oferece documentação, ferramentas, projetos, eventos e muitos outros. Mais fácil do que estar aqui a enunciar cada um deles, para mais informação sobre a OWASP é só apontar o browser para www.owasp.org.
A OWASP é caracterizada por ser uma comunidade aberta, livre à participação de todos e que se baseia no modelo de que tudo o que é produzido pela comunidade sobre o “chapéu” da OWASP reverte em favor da mesma (e não só).
A OWASP, e em especial o OWASP Top 10, tem vindo a afirmar-se cada vez mais como uma referência a nível internacional, e é muito fácil encontrar hoje este Top 10 em cadernos de encargos de desenvolvimento aplicacional para a Web.

DS: Como chegaste a líder do charter PT da OWASP?
CS: Bem, em primeiro lugar não gosto muito da designação de líder. Parece-me um título exagerado e o qual acho que não mereço. Considero-me mais uma espécie de dinamizador ou de evangelista, que tenta fazer passar para terceiros as principais mensagens da OWASP e promover a sua missão, em especial no que diz respeito à comunidade local.
Como o “chapter” da OWASP PT foi criado prende-se um pouco com uma coincidência feliz. Andava eu a fazer algum trabalho de investigação no âmbito da minha Tese de Doutoramento, quando conheci pela primeira vez a OWASP e o site da organização. Depois de mais algum estudo do mesmo, cheguei à conclusão de que era uma comunidade muito interessante (composta por algumas empresas e profissionais muito reconhecidos no sector) e que o trabalho que desenvolvia era meritório de elevado crédito. Por outro lado, verifiquei que a OWASP adoptava uma organização muito horizontal e descentralizada, como forma de chegar aos quatro cantos do Mundo, permitindo a constituição de diversos “chapters” (delegações) locais e regionais. Verifiquei igualmente, que o nosso “cantinho à beira mar plantado” não fazia ainda parte do“ecossistema” da OWASP.
Resolvi por isso na altura propor à OWASP e a mim mesmo a criação de “chapter” da OWASP nacional, o qual tenho vindo a tentar dinamizar até agora.
Infelizmente, o tempo por vezes não abunda, e umas vezes mais depressa, outras um pouco mais devagar, o “chapter” local tem vindo a crescer, quer em termos de iniciativas ,quer em termos de membros da própria OWASP.
O modelo de liderança do nosso “chapter” é algo sobre o qual já me tenho debruçado, e que precisa de ser repensado, como forma de aumentarmos o dinamismo e o crescimento da própria organização. Penso que o modelo mais adequado para isto, é termos uma estrutura diretiva, não muito formal, mas constituída por entre três a cinco elementos, que durante um determinado período de tempo fixo, assumissem o papel de uma Direção paraa OWASP Portugal. É algo de facto a considerar nos próximos tempos.
Não me considero por isso, de todo um líder, mas antes alguém que tenta dinamizar (quando o tempo abunda), a comunidade portuguesa que possa ter interesse nestes tópicos relacionados com a segurança aplicacional Web.

Enfim, vai-se fazendo o possível… :-)

Para consultar a restante entrevista, cliquem aqui.

Gostaria de agradecer ao Carlos Serrão pela disponibilidade e pela simpatia que sempre mostrou com o projecto WebSegura.net.

Achaste interessante? Partilha!
    Analista de segurança web com vários anos de experiência. Fundador do projeto WebSegura.net. Reconhecido publicamente, por divulgação de vulnerabilidades, por empresas como a Google, Adobe, eBay, Microsoft, Yahoo, Panda Security, AVG, Kaspersky, McAfee, Hootsuite e outros. Colabora regularmente com a comunicação social em temas relacionados com a segurança de informação.

    Que tal participar com o seu comentário?