A construção de uma cultura saudável de DevSecOps não é fácil. Por isso, vale a pena ver como companhias gigantes colocam essa estratégia em ação.

Um exemplo interessante é o da Target, a gigante varejista, conhecida em todo o mundo. A companhia utilizou a psicologia organizacional para alinhar as equipes de desenvolvimento e segurança de aplicativos.

Vamos entender o que foi executado e quais resultados foram alcançados? Acompanhe!

A importância do comprometimento organizacional no esforço da Target de impulsionar a cultura DevSecOps

A diretoria de cibersegurança da Target descobriu a importância do comprometimento organizacional para impulsionar a cultura de DevSecOps. Este comprometimento, em síntese, refere-se ao nível de envolvimento que os indivíduos sentem em relação aos seus empregos ou empregadores. Pode ser motivado por um senso de obrigação, necessidade ou desejo.

Para a diretora Jennifer Czaplewski, se os desenvolvedores se envolvem com a segurança apenas por obrigação ou por medo de perder seus empregos, seu trabalho não será o melhor possível.

O objetivo era incentivar o comprometimento afetivo, o tipo mais poderoso de envolvimento organizacional. Dessa forma, os desenvolvedores não se sentiriam obrigados a aderir à cultura de DevSecOps da Target — eles iriam querer fazer isso.

→ Leia também: Quais são as diferenças entre DevSecOps e DevOps?

“Contratos psicológicos”

Para conquistar a confiança e a adesão dos desenvolvedores, Czaplewski considerou os chamados “contratos psicológicos”. Ou seja, as crenças dos profissionais de desenvolvimento sobre como deveria ser o relacionamento com a área de segurança.

→ É interessante ter em mente que esses “contratos” podem ser formais, como uma política de segurança empresarial, ou informais e subconscientes.

No caso da Target, o time de segurança da informação buscou entender as expectativas dos desenvolvedores em relação ou tema — de maneira formal, informal e até subconsciente.

→ Quando essas expectativas são atendidas ou superadas, o comprometimento afetivo dos profissionais aumenta, o que resulta em uma cultura de DevSecOps mais forte e eficaz.

Os “valores de segurança” do produto

Para cumprir esses contratos psicológicos, a equipe de segurança de aplicativos da Target estabeleceu alguns princípios-chave que formam a base da cultura de DevSecOps da empresa.

São eles:

1. Impacto no cotidiano. Incorporar a segurança diretamente nas ferramentas e fluxos de trabalho dos desenvolvedores, visando minimizar o incômodo e maximizar a eficiência.
2. Suporte de ponta a ponta. Considerando que é mais fácil encontrar falhas de segurança do que corrigi-las, o time de segurança da Target está se capacitando em práticas de codificação para ser uma parceira melhor dos desenvolvedores. Em vez de apenas apontar as vulnerabilidades, eles ajudam a corrigir essas falhas, trabalhando em conjunto com os desenvolvedores para resolver os problemas identificados.
3. O caminho certo como o mais fácil. Deve sempre ser mais fácil para um desenvolvedor realizar uma tarefa de forma segura do que de forma insegura. O departamento de segurança da Target busca simplificar e facilitar as práticas de segurança, para que os desenvolvedores possam incorporá-las de maneira natural em seu trabalho diário.

Para a Target, esses valores são o ponto de partida para a construção de uma cultura de DevSecOps sólida e bem-sucedida. No entanto, Czaplewski ressalta que a jornada nunca está concluída. A empresa considera esses valores como seu “norte” e se esforça para comunicá-los de forma clara e constante para toda a comunidade de desenvolvedores.

→ Leia também: Quais são as melhores práticas para evoluir em DevSecOps?

A cultura de DevSecOps em ação

Para cumprir os contratos psicológicos estabelecidos, a equipe de segurança de aplicativos da Target precisou implementar algumas mudanças práticas.

Anteriormente, eles costumavam enviar aos desenvolvedores uma grande quantidade de e-mails, planilhas e PDFs com informações sobre testes de penetração e prazos para correções.

No entanto, essa abordagem era frustrante e difícil para os profissionais, pois exigia que eles sintetizassem e priorizassem as informações por conta própria, violando assim o contrato psicológico estabelecido.

Em resposta a esse desafio, foi criado um sistema centralizado chamado Product Intelligence. Com ele, é gerada uma pontuação de segurança para cada produto de software e atua como um ponto único para dados acionáveis de DevSecOps.

A pontuação varia de 300 a 850 e é calculada com base nos seguintes critérios:

1. Descobertas e vulnerabilidades (40%). Os desenvolvedores estão corrigindo as vulnerabilidades dentro do prazo estabelecido?
2. Serviços de segurança (40%). Os desenvolvedores estão utilizando os serviços de segurança disponíveis, como análise estática, análise de composição de software e testes de penetração, para melhorar a segurança do produto?
3. Cultura de segurança (15%). O time do produto possui um defensor de segurança que participa de reuniões e treinamentos relevantes? Os desenvolvedores estão realizando comportamentos mensuráveis relacionados à segurança, como concluir treinamentos anuais de segurança de produtos, relatar e-mails de simulação de phishing, etc.?
4. Incidentes de segurança (5%). O produto causou algum evento de segurança nos últimos seis meses?

Além disso, o sistema de Product Intelligence também fornece aos desenvolvedores uma lista de tarefas prioritárias para melhorar a pontuação de segurança de um produto.

Dessa forma, eles não precisam aprender a navegar pelas informações e decidir qual vulnerabilidade corrigir, pois a equipe de segurança da Target já fornece orientações claras sobre quais ações devem ser tomadas e o impacto que terão na pontuação final.

Em resumo

A Target construiu sua cultura DevSecOps valorizando o comprometimento organizacional. A companhia entendeu a importância de envolver os desenvolvedores por vontade própria, buscando atender suas expectativas e promover o comprometimento efetivo.

Neste processo foram estabelecidos valores como incorporar a segurança nas ferramentas dos profissionais de desenvolvimento, oferecer suporte contínuo para correção de vulnerabilidades e simplificar as práticas de segurança.

Para colocar essa cultura em prática, a Target criou o sistema centralizado Product Intelligence. Esse sistema “gamifica” a segurança de cada produto de software; isso com base em critérios como correção de vulnerabilidades, utilização de serviços de segurança e cultura de segurança.

Além disso, orienta os desenvolvedores com tarefas prioritárias para melhorar a segurança do produto, facilitando seu trabalho e promovendo uma cultura de DevSecOps eficaz.

A soma de ferramentas adequadas, métodos e processos foi fundamental na mudança da cultura organizacional.

Na sua empresa, como a cultura DevSecOps está sendo construída? Se precisar de ajuda especializada, não hesite em fazer contato conosco!

→ Este texto foi produzido com base na matéria do portal TechTarget.