Processos e Atividades

Develop DevSecOps Strategy

Desenvolver uma estratégia de DevSecOps é um passo crítico para integrar a segurança em todo o ciclo de desenvolvimento de software.

Este processo envolve a criação de uma abordagem abrangente que incorpora práticas de segurança desde o início do desenvolvimento até a operação e manutenção das aplicações.

A estratégia deve alinhar-se com os objetivos de negócio da organização e garantir que todos os aspectos de segurança sejam considerados em cada fase do desenvolvimento.

Isso inclui a definição de políticas de segurança, a escolha de ferramentas adequadas, a automação de testes de segurança, e a promoção de uma cultura DevSecOps dentro da equipe.

O plano estratégico deve ser claro, mensurável e capaz de evoluir com as mudanças tecnológicas e ameaças de segurança emergentes.

· PDCA focus: Plan

· Periodicidade: Anual

#	Nome da Atividade	Descrição	Inputs	Outputs	RACI	DARE
1	Assess Current Security	Avaliar o estado atual das práticas de segurança dentro do ciclo de desenvolvimento.	Relatórios de auditoria, políticas de segurança atuais	Avaliação de segurança	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: IT Governance & Transformation	Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: IT Governance & Transformation; Executer: Solution Engineering & Development
2	Define Security Policies	Definir políticas de segurança que serão integradas ao ciclo de desenvolvimento.	Avaliação de segurança, requisitos de negócio	Políticas de segurança definidas	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
3	Select DevSecOps Tools	Selecionar ferramentas de DevSecOps que suportem a automação e integração contínua de segurança.	Políticas de segurança definidas, pesquisa de ferramentas	Ferramentas selecionadas	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Data, AI & New Technology	Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development
4	Develop Training Programs	Desenvolver programas de treinamento para capacitar a equipe nas práticas de DevSecOps.	Políticas de segurança, ferramentas selecionadas	Programas de treinamento	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
5	Create Implementation Plan	Criar um plano de implementação detalhado para integrar as práticas de DevSecOps.	Programas de treinamento, ferramentas selecionadas	Plano de implementação	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development

Identify Autonomy Opportunities

Identificar oportunidades para aumentar a autonomia dos desenvolvedores é essencial para promover uma cultura de inovação e eficiência.

Este processo envolve a análise das práticas de desenvolvimento atuais para identificar áreas onde os desenvolvedores podem ser capacitados a tomar decisões de forma independente.

Isso pode incluir a adoção de ferramentas de automação, a criação de guidelines claras para o desenvolvimento seguro e a promoção de uma cultura de responsabilidade e confiança.

O objetivo é permitir que os desenvolvedores atuem de maneira mais ágil e eficiente, reduzindo a necessidade de supervisão constante e aumentando a velocidade de entrega de software.

Aumentar a autonomia dos desenvolvedores também requer a implementação de mecanismos de feedback e suporte contínuos para garantir que eles tenham os recursos necessários para tomar decisões informadas.

· PDCA focus: Plan

· Periodicidade: Semestral

#	Nome da Atividade	Descrição	Inputs	Outputs	RACI	DARE
1	Analyze Development Practices	Analisar as práticas de desenvolvimento atuais para identificar áreas de melhoria.	Documentação de processos de desenvolvimento	Relatório de análise	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
2	Identify Bottlenecks	Identificar gargalos e áreas onde a autonomia dos desenvolvedores pode ser aumentada.	Relatório de análise	Lista de gargalos	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Data, AI & New Technology	Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development
3	Propose Autonomy Enhancements	Propor melhorias para aumentar a autonomia dos desenvolvedores, incluindo ferramentas e práticas recomendadas.	Lista de gargalos, feedback dos desenvolvedores	Propostas de melhoria	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
4	Develop Autonomy Guidelines	Desenvolver guidelines claras para o desenvolvimento seguro e eficiente com maior autonomia.	Propostas de melhoria	Guidelines de autonomia	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
5	Implement Support Mechanisms	Implementar mecanismos de suporte contínuos para desenvolvedores, incluindo treinamentos e feedback.	Guidelines de autonomia, feedback dos desenvolvedores	Mecanismos de suporte	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Data, AI & New Technology	Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development

Implement DevSecOps Practices

A implementação das práticas de DevSecOps conforme planejado é fundamental para garantir que a segurança seja integrada de forma contínua e eficiente ao ciclo de desenvolvimento de software.

Este processo envolve a aplicação das políticas e ferramentas definidas na estratégia DevSecOps, a automação de testes de segurança e a integração contínua.

A implementação eficaz requer a colaboração estreita entre as equipes de desenvolvimento, operações e segurança para garantir que todos os aspectos de segurança sejam considerados e aplicados de maneira uniforme.

Treinamentos e workshops são realizados para capacitar a equipe e garantir que todos estejam alinhados com as novas práticas.

A implementação de DevSecOps promove uma abordagem proativa à segurança, reduzindo riscos e aumentando a qualidade do software.

· PDCA focus: Do

· Periodicidade: Contínua

#	Nome da Atividade	Descrição	Inputs	Outputs	RACI	DARE
1	Apply Security Policies	Aplicar as políticas de segurança definidas no ciclo de desenvolvimento de software.	Políticas de segurança definidas	Segurança aplicada	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: IT Governance & Transformation	Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: IT Governance & Transformation; Executer: Solution Engineering & Development
2	Automate Security Tests	Automatizar testes de segurança para garantir a verificação contínua de vulnerabilidades.	Ferramentas de automação, scripts de teste	Testes automatizados	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Data, AI & New Technology	Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development
3	Conduct Training	Realizar treinamentos e workshops para capacitar a equipe nas práticas de DevSecOps.	Programas de treinamento, políticas de segurança	Equipe capacitada	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
4	Integrate CI/CD	Integrar práticas de integração e entrega contínua para garantir atualizações frequentes e seguras.	Ferramentas de CI/CD, políticas de segurança	Integração contínua	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
5	Collaborate with Security Teams	Colaborar com as equipes de segurança para garantir que as práticas de DevSecOps estejam alinhadas com os requisitos de segurança.	Políticas de segurança, feedback das equipes de segurança	Alinhamento de segurança	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: IT Governance & Transformation	Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: IT Governance & Transformation; Executer: Solution Engineering & Development

Monitor DevSecOps Performance

Monitorar continuamente o desempenho das práticas de DevSecOps é crucial para garantir que os objetivos de segurança e eficiência estejam sendo atingidos.

Este processo envolve a coleta e análise de dados sobre a eficácia das práticas implementadas, a detecção de vulnerabilidades e a avaliação do desempenho geral das equipes.

Relatórios regulares são gerados para documentar o status atual e identificar áreas que necessitam de melhorias.

O feedback das partes interessadas é coletado para ajustar e refinar as práticas de DevSecOps, garantindo que elas estejam alinhadas com os objetivos de negócio e as melhores práticas do setor.

O monitoramento contínuo promove uma cultura de melhoria contínua e garante que a segurança seja mantida em todos os estágios do ciclo de desenvolvimento.

· PDCA focus: Check

· Periodicidade: Mensal

#	Nome da Atividade	Descrição	Inputs	Outputs	RACI	DARE
1	Collect Performance Data	Coletar dados de desempenho das práticas de DevSecOps implementadas.	Resultados de testes de segurança, métricas de CI/CD	Dados de desempenho coletados	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Data, AI & New Technology	Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development
2	Analyze Performance Data	Analisar os dados de desempenho para identificar padrões e anomalias.	Dados de desempenho coletados	Relatórios de análise	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
3	Generate Performance Reports	Gerar relatórios detalhados sobre o desempenho das práticas de DevSecOps.	Relatórios de análise, feedback das partes interessadas	Relatórios de desempenho	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
4	Review with Stakeholders	Revisar os relatórios de desempenho com as partes interessadas para assegurar conformidade e qualidade.	Relatórios de desempenho, feedback das partes interessadas	Feedback consolidado	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Data, AI & New Technology	Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development
5	Document Findings	Documentar as descobertas e recomendações com base nos resultados do desempenho.	Relatórios de desempenho, feedback consolidado	Documentação de descobertas	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Architecture & Technology Visioning; Informed: IT Governance & Transformation	Decider: Solution Engineering & Development; Advisor: Architecture & Technology Visioning; Recommender: IT Governance & Transformation; Executer: Solution Engineering & Development

Optimize DevSecOps Practices

A otimização contínua das práticas de DevSecOps é vital para manter a eficácia e eficiência das operações de desenvolvimento e segurança.

Este processo envolve a revisão regular das práticas atuais, a análise de feedback de desempenho e a implementação de melhorias com base nas descobertas.

A otimização pode incluir a atualização de ferramentas, a melhoria dos scripts de automação, a redefinição de políticas de segurança e a capacitação contínua da equipe.

A colaboração entre as equipes de desenvolvimento, operações e segurança é essencial para garantir que as melhorias sejam eficazes e alinhadas com os objetivos da organização.

A otimização contínua assegura que as práticas de DevSecOps estejam sempre atualizadas com as melhores práticas do setor e as novas ameaças de segurança.

· PDCA focus: Act

· Periodicidade: Mensal

#	Nome da Atividade	Descrição	Inputs	Outputs	RACI	DARE
1	Review Current Practices	Revisar as práticas de DevSecOps atuais para identificar áreas de melhoria.	Documentação de práticas de DevSecOps	Relatório de revisão	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
2	Gather Stakeholder Feedback	Coletar feedback das partes interessadas sobre a eficácia das práticas de DevSecOps.	Relatório de revisão, feedback das partes interessadas	Lista de melhorias sugeridas	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Data, AI & New Technology	Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development
3	Develop Improvement Plan	Desenvolver um plano de melhoria para as práticas de DevSecOps com base no feedback e na revisão realizada.	Lista de melhorias sugeridas	Plano de melhoria documentado	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Infrastructure & Operation; Informed: Data, AI & New Technology	Decider: Solution Engineering & Development; Advisor: IT Infrastructure & Operation; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development
4	Implement Improvements	Implementar as melhorias nas práticas de DevSecOps conforme o plano desenvolvido.	Plano de melhoria documentado	Práticas de DevSecOps melhoradas	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: IT Governance & Transformation; Informed: Architecture & Technology Visioning	Decider: Solution Engineering & Development; Advisor: IT Governance & Transformation; Recommender: Architecture & Technology Visioning; Executer: Solution Engineering & Development
5	Validate Improvements	Validar as melhorias implementadas para garantir que estejam funcionando conforme esperado.	Práticas de DevSecOps melhoradas	Melhorias validadas	Responsible: Solution Engineering & Development; Accountable: Solution Engineering & Development; Consulted: Cybersecurity; Informed: Data, AI & New Technology	Decider: Solution Engineering & Development; Advisor: Cybersecurity; Recommender: Data, AI & New Technology; Executer: Solution Engineering & Development