Develop DevSecOps Strategy
Desenvolver uma estratégia de DevSecOps é um passo crítico para integrar a segurança em todo o ciclo de desenvolvimento de software.
Este processo envolve a criação de uma abordagem abrangente que incorpora práticas de segurança desde o início do desenvolvimento até a operação e manutenção das aplicações.
A estratégia deve alinhar-se com os objetivos de negócio da organização e garantir que todos os aspectos de segurança sejam considerados em cada fase do desenvolvimento.
Isso inclui a definição de políticas de segurança, a escolha de ferramentas adequadas, a automação de testes de segurança, e a promoção de uma cultura DevSecOps dentro da equipe.
O plano estratégico deve ser claro, mensurável e capaz de evoluir com as mudanças tecnológicas e ameaças de segurança emergentes.
· PDCA focus: Plan
· Periodicidade: Anual
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Assess Current Security | Avaliar o estado atual das práticas de segurança dentro do ciclo de desenvolvimento. | Relatórios de auditoria, políticas de segurança atuais | Avaliação de segurança | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: IT Governance & Transformation | Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: IT Governance & Transformation; Executer: Solution Engineering & Development |
| 2 | Define Security Policies | Definir políticas de segurança que serão integradas ao ciclo de desenvolvimento. | Avaliação de segurança, requisitos de negócio | Políticas de segurança definidas | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 3 | Select DevSecOps Tools | Selecionar ferramentas de DevSecOps que suportem a automação e integração contínua de segurança. | Políticas de segurança definidas, pesquisa de ferramentas | Ferramentas selecionadas | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Data, AI & New Technology | Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development |
| 4 | Develop Training Programs | Desenvolver programas de treinamento para capacitar a equipe nas práticas de DevSecOps. | Políticas de segurança, ferramentas selecionadas | Programas de treinamento | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 5 | Create Implementation Plan | Criar um plano de implementação detalhado para integrar as práticas de DevSecOps. | Programas de treinamento, ferramentas selecionadas | Plano de implementação | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
Identify Autonomy Opportunities
Identificar oportunidades para aumentar a autonomia dos desenvolvedores é essencial para promover uma cultura de inovação e eficiência.
Este processo envolve a análise das práticas de desenvolvimento atuais para identificar áreas onde os desenvolvedores podem ser capacitados a tomar decisões de forma independente.
Isso pode incluir a adoção de ferramentas de automação, a criação de guidelines claras para o desenvolvimento seguro e a promoção de uma cultura de responsabilidade e confiança.
O objetivo é permitir que os desenvolvedores atuem de maneira mais ágil e eficiente, reduzindo a necessidade de supervisão constante e aumentando a velocidade de entrega de software.
Aumentar a autonomia dos desenvolvedores também requer a implementação de mecanismos de feedback e suporte contínuos para garantir que eles tenham os recursos necessários para tomar decisões informadas.
· PDCA focus: Plan
· Periodicidade: Semestral
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Analyze Development Practices | Analisar as práticas de desenvolvimento atuais para identificar áreas de melhoria. | Documentação de processos de desenvolvimento | Relatório de análise | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 2 | Identify Bottlenecks | Identificar gargalos e áreas onde a autonomia dos desenvolvedores pode ser aumentada. | Relatório de análise | Lista de gargalos | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Data, AI & New Technology | Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development |
| 3 | Propose Autonomy Enhancements | Propor melhorias para aumentar a autonomia dos desenvolvedores, incluindo ferramentas e práticas recomendadas. | Lista de gargalos, feedback dos desenvolvedores | Propostas de melhoria | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 4 | Develop Autonomy Guidelines | Desenvolver guidelines claras para o desenvolvimento seguro e eficiente com maior autonomia. | Propostas de melhoria | Guidelines de autonomia | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 5 | Implement Support Mechanisms | Implementar mecanismos de suporte contínuos para desenvolvedores, incluindo treinamentos e feedback. | Guidelines de autonomia, feedback dos desenvolvedores | Mecanismos de suporte | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Data, AI & New Technology | Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development |
Implement DevSecOps Practices
A implementação das práticas de DevSecOps conforme planejado é fundamental para garantir que a segurança seja integrada de forma contínua e eficiente ao ciclo de desenvolvimento de software.
Este processo envolve a aplicação das políticas e ferramentas definidas na estratégia DevSecOps, a automação de testes de segurança e a integração contínua.
A implementação eficaz requer a colaboração estreita entre as equipes de desenvolvimento, operações e segurança para garantir que todos os aspectos de segurança sejam considerados e aplicados de maneira uniforme.
Treinamentos e workshops são realizados para capacitar a equipe e garantir que todos estejam alinhados com as novas práticas.
A implementação de DevSecOps promove uma abordagem proativa à segurança, reduzindo riscos e aumentando a qualidade do software.
· PDCA focus: Do
· Periodicidade: Contínua
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Apply Security Policies | Aplicar as políticas de segurança definidas no ciclo de desenvolvimento de software. | Políticas de segurança definidas | Segurança aplicada | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: IT Governance & Transformation | Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: IT Governance & Transformation; Executer: Solution Engineering & Development |
| 2 | Automate Security Tests | Automatizar testes de segurança para garantir a verificação contínua de vulnerabilidades. | Ferramentas de automação, scripts de teste | Testes automatizados | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Data, AI & New Technology | Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development |
| 3 | Conduct Training | Realizar treinamentos e workshops para capacitar a equipe nas práticas de DevSecOps. | Programas de treinamento, políticas de segurança | Equipe capacitada | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 4 | Integrate CI/CD | Integrar práticas de integração e entrega contínua para garantir atualizações frequentes e seguras. | Ferramentas de CI/CD, políticas de segurança | Integração contínua | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 5 | Collaborate with Security Teams | Colaborar com as equipes de segurança para garantir que as práticas de DevSecOps estejam alinhadas com os requisitos de segurança. | Políticas de segurança, feedback das equipes de segurança | Alinhamento de segurança | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: IT Governance & Transformation | Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: IT Governance & Transformation; Executer: Solution Engineering & Development |
Monitor DevSecOps Performance
Monitorar continuamente o desempenho das práticas de DevSecOps é crucial para garantir que os objetivos de segurança e eficiência estejam sendo atingidos.
Este processo envolve a coleta e análise de dados sobre a eficácia das práticas implementadas, a detecção de vulnerabilidades e a avaliação do desempenho geral das equipes.
Relatórios regulares são gerados para documentar o status atual e identificar áreas que necessitam de melhorias.
O feedback das partes interessadas é coletado para ajustar e refinar as práticas de DevSecOps, garantindo que elas estejam alinhadas com os objetivos de negócio e as melhores práticas do setor.
O monitoramento contínuo promove uma cultura de melhoria contínua e garante que a segurança seja mantida em todos os estágios do ciclo de desenvolvimento.
· PDCA focus: Check
· Periodicidade: Mensal
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Collect Performance Data | Coletar dados de desempenho das práticas de DevSecOps implementadas. | Resultados de testes de segurança, métricas de CI/CD | Dados de desempenho coletados | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Data, AI & New Technology | Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development |
| 2 | Analyze Performance Data | Analisar os dados de desempenho para identificar padrões e anomalias. | Dados de desempenho coletados | Relatórios de análise | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 3 | Generate Performance Reports | Gerar relatórios detalhados sobre o desempenho das práticas de DevSecOps. | Relatórios de análise, feedback das partes interessadas | Relatórios de desempenho | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 4 | Review with Stakeholders | Revisar os relatórios de desempenho com as partes interessadas para assegurar conformidade e qualidade. | Relatórios de desempenho, feedback das partes interessadas | Feedback consolidado | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Data, AI & New Technology | Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development |
| 5 | Document Findings | Documentar as descobertas e recomendações com base nos resultados do desempenho. | Relatórios de desempenho, feedback consolidado | Documentação de descobertas | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Architecture & Technology Visioning; Informed: IT Governance & Transformation | Decider: Solution Engineering & Development; Advisor: Architecture & Technology Visioning; Recommender: IT Governance & Transformation; Executer: Solution Engineering & Development |
Optimize DevSecOps Practices
A otimização contínua das práticas de DevSecOps é vital para manter a eficácia e eficiência das operações de desenvolvimento e segurança.
Este processo envolve a revisão regular das práticas atuais, a análise de feedback de desempenho e a implementação de melhorias com base nas descobertas.
A otimização pode incluir a atualização de ferramentas, a melhoria dos scripts de automação, a redefinição de políticas de segurança e a capacitação contínua da equipe.
A colaboração entre as equipes de desenvolvimento, operações e segurança é essencial para garantir que as melhorias sejam eficazes e alinhadas com os objetivos da organização.
A otimização contínua assegura que as práticas de DevSecOps estejam sempre atualizadas com as melhores práticas do setor e as novas ameaças de segurança.
· PDCA focus: Act
· Periodicidade: Mensal
| # | Nome da Atividade | Descrição | Inputs | Outputs | RACI | DARE |
| 1 | Review Current Practices | Revisar as práticas de DevSecOps atuais para identificar áreas de melhoria. | Documentação de práticas de DevSecOps | Relatório de revisão | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 2 | Gather Stakeholder Feedback | Coletar feedback das partes interessadas sobre a eficácia das práticas de DevSecOps. | Relatório de revisão, feedback das partes interessadas | Lista de melhorias sugeridas | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Data, AI & New Technology | Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development |
| 3 | Develop Improvement Plan | Desenvolver um plano de melhoria para as práticas de DevSecOps com base no feedback e na revisão realizada. | Lista de melhorias sugeridas | Plano de melhoria documentado | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Data, AI & New Technology | Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development |
| 4 | Implement Improvements | Implementar as melhorias nas práticas de DevSecOps conforme o plano desenvolvido. | Plano de melhoria documentado | Práticas de DevSecOps melhoradas | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning | Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development |
| 5 | Validate Improvements | Validar as melhorias implementadas para garantir que estejam funcionando conforme esperado. | Práticas de DevSecOps melhoradas | Melhorias validadas | Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Data, AI & New Technology | Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development |
