A agilidade entre as várias equipas de TI numa instituição financeira pode potenciar a eficiência e reduzir o tempo de time to market, sem descurar o controlo e segurança.
A utilização eficiente das TI passa cada vez mais pela implementação de metodologias que agilizem os processos de desenvolvimento, implementação e suporte associado ao software, criando as condições para um aproveitamento eficiente dessas mesmas tecnologias e para uma rentabilização do investimento realizado.
Se em qualquer organização esse pressuposto faz cada vez mais a diferença na velocidade de entrega dos projetos de TI, no setor bancário pode ter um papel fundamental no ROI - Retorno sobre o Investimento de cada projeto. Questões como a concorrência, o compliance, a segurança e a confiança, a velocidade de desenvolvimento e o retorno rápido do investimento são variáveis a ter em conta num mercado cada vez mais competitivo, digital e global.
Na base desta solução está a metodologia DevOps, agora servida por um conjunto de práticas de segurança associadas ao processo de desenvolvimento e entrega de software, resultando no que se designa por DevSecOps.
Por DevSecOps entendemos um modelo de colaboração que estende o âmbito do DevOps, com o objetivo de resolver a tensão entre as equipas de DevOps - que querem lançar software rapidamente -, e as equipas de segurança - que dão prioridade à segurança sobre tudo o resto.
Na prática, a metodologia DevSecOps adiciona práticas de segurança robustas às práticas tradicionais de DevOps desde o primeiro dia, sendo essencial num mercado onde as atualizações de software são frequentemente realizadas, até várias vezes por dia, e os modelos de segurança antigos simplesmente não conseguem acompanhar.
Vantagens da abordagem DevSecOps
A aplicação desta metodologia traz inúmeras vantagens face às metodologias mais convencionais e mesmo à abordagem DevOps:
- Análise do código - Ao disponibilizar o código em pequenas parcelas, as vulnerabilidades podem ser identificadas mais rapidamente;
- Gestão da mudança - Permite que qualquer pessoa proponha ou aplique alterações e que essas sejam avaliadas de imediato, aumentando a velocidade e a eficiência do processo;
- Monitorização da conformidade - As empresas atingem um estado constante de conformidade, o que significa estarem prontas para uma auditoria a qualquer momento;
- Identificação de ameaças - Permite identificar potenciais ameaças emergentes a cada atualização de código, aplicando rapidamente a resposta mais adequada;
- Identificação de vulnerabilidades - Permite identificar vulnerabilidades durante a análise do código e, em seguida, analisar a rapidez e eficácia a que as respostas estão a ser aplicadas;
- Formação em segurança - A formação dos engenheiros e programadores sobre as boas práticas de segurança permite estabelecer rotinas para a sua aplicação.
Olhando de uma forma mais global sobre o processo de desenvolvimento de software, a aplicação de metodologias DevSecOps permite ainda aumentar a agilidade e a velocidade de interação entre as várias equipas de trabalho. Isto melhora não só a colaboração e a comunicação entre os intervenientes, como permite acelerar os processos de mudança sempre que necessário, com respostas mais rápidas e direcionadas.
Como implementar?
A implementação de uma metodologia DevSecOps deverá partir sempre da definição clara dos objetivos da própria organização com o projeto que desenhou. Tudo começa com um assessment da realidade atual de cada empresa, seja ele tecnológico, seja processual e cultural, permitirá perceber a que distância estamos do objetivo e o que será necessário fazer para lá chegar.
De seguida, é importante perceber que metodologias Agile existem no mercado e avaliar qual será a que melhor se adapta a cada organização. Por vezes, poderá ser mais vantajoso fazer uma combinação de metodologias, em contraponto à utilização de uma única - por exemplo, combinar Scrum com Kanban.
Convém não esquecer que a implementação desse framework implica normalmente a introdução de alterações na organização das equipas e nas ferramentas usadas, o que cria a necessidade de um olhar holístico sobre todas as componentes e grupos que fazem parte do projeto a desenvolver.
Por fim, a implementação da DevSecOps implica processos de observação e de melhoria contínua, já que uma metodologia não é um destino propriamente dito, mas um caminho para chegar a um, ou mais, objetivos.
Existe assim uma enorme componente de tangibilidade associada às vantagens da metodologia DevSecOps quando aplicada ao setor financeiro, sobretudo ao nível da aceleração do time-to-market no lançamento de novo software, bem como nos ganhos de eficiência e redução de custos na gestão de recursos.
E dado o elevado grau de digitalização e inovação nas instituições neste setor, os benefícios serão tanto mais significativos quanto maior for o know-how do Managed Service Provider escolhido para o apoio na implementação da metodologia DevSecOps.
