Quer entender melhor a importância da Comunicação em DevSecOps? Acredite: evitar ruídos na comunicação entre os times é importante e pode ajudar a prevenir riscos à segurança no desenvolvimento.
Quando pensamos em DevSecOps, as primeiras imagens que vêm à mente são segurança contínua, desenvolvimento seguro e um modelo shift left.
Afinal, DevSecOps é a abordagem de desenvolvimento em que a segurança faz parte do desenvolvimento ágil.
Se você quiser entender mais sobre o que é DevSecOps e como incluir a segurança em um modelo DevOps, recomendamos este artigo que publicamos em nosso blog.
Mas você sabe qual é o papel e a importância da comunicação para o processo de DevSecOps?
Apesar do desenvolvimento ágil ser a abordagem cada vez mais adotada nas empresas, a segurança não poderá existir em todo o ciclo se não incluirmos também a comunicação nesse processo.
Por isso, neste artigo vamos abordar qual a importância da comunicação para o processo de DevSecOps e seus desdobramentos. Confira!
O que é a comunicação?
Para começarmos a falar deste assunto, precisamos ter uma definição e um entendimento claro sobre o que vem a ser comunicação.
De modo geral, a comunicação é o ato de trocar informações com uma ou mais pessoas. Para aqueles que desejam uma definição mais aprofundada, é possível encontrar aqui.
Ainda, podemos dizer que a comunicação, em sua essência, não é o que você diz e sim o que o outro – ou outros – entendem!
E é este o problema: nem sempre o que pensamos que transmitimos é o que o outro entende. A esta dificuldade de fazer chegar uma mensagem clara ao outro lado se dá o nome de ruído na comunicação, e este ruído pode ser reconhecido nos mais diversos setores da nossa vida.
Qual a importância da comunicação para o processo de DevSecOps?
A esta altura você já deve estar se perguntando: o que isso tem haver com AppSec ou mesmo DevSecOps, afinal?
Bem, se imaginarmos que a construção de um processo de desenvolvimento passa pela definição da relação e da troca de informações entre várias áreas e pessoas entendemos, que a comunicação deve ser um dos aspectos mais importantes a ser construído.
Agora, se este processo de comunicação será realizado para um grupo, muitas vezes formado por diversos profissionais, de inúmeras idades, culturas, crenças e às vezes até mesmo separados geograficamente, fica mais evidente o cuidado que deve ser dado ao tema.
Afinal, comunicar não é o que você fala, é o que o outro entende: lembre-se disso!
É verdade que dentro de um processo de DevSecOps existe um grande uso de etapas automatizadas, mas também existe uma intensa troca de informações entre as mais diversas áreas sempre que necessário.
Estas trocas de informações podem ser desde um simples email, falando de um problema de configuração, até mesmo um complexo relatório que deve ser criado para ser apresentado ao board da empresa.
Mas o que vamos tratar aqui é como a informação influencia dentro dos times de desenvolvimento e suas relações externas.
O que os times de DevSecOps precisam para se comunicar corretamente com os times de segurança?
Como qualquer grupo de pessoas, os times de DevSecOps precisam estabelecer a troca de informações clara e assertiva, para que desta forma possam executar suas tarefas da melhor forma possível.
Esta troca de informações muitas vezes é feita entre grupos de diversas áreas, com conhecimento e experiências diferentes e que precisam estar alinhados no seu entendimento.
A escolha de termos e temas que têm relevância para cada parte da comunicação é importante para estabelecer a troca de informações da melhor forma possível.
Impor visões e opiniões nunca foi e não é a melhor forma de se trabalhar a importância da comunicação em DevSecOps entre os times. O melhor aspecto da comunicação é o convencimento por argumentos sólidos e embasados.
Neste momento a presença de pessoas com experiência é fundamental, e aqui pode ser uma ótima oportunidade para escalar a figura do Security Champion, pois ele vai transitar entre os dois “mundos” e saber como transmitir a mensagem da melhor forma.
Qual é o número ideal de integrantes em um time para otimizar a importância da Comunicação em DevSecOps?
Neste artigo publicado no Gartner, a construção de times de DevSecOps a questão da comunicação também é levantada.
De acordo com as informações do artigo, um dos maiores problemas de quando não se reconhece a importância da comunicação em DevSecOps surge já em uma dificuldade para determinar o tamanho correto para cada time. Afinal, quanto mais participantes, maiores são as chances de problemas na hora de comunicar.
Alguns argumentam que o tamanho ideal para os times deve ser no máximo de 10 pessoas, outros defendem que não deveria ultrapassar 7.
Como sabemos, a comunicação é um caminho de duas – ou mais! – vias, e quando aumentamos a quantidade de pessoas em um grupo, estes canais de comunicação crescem exponencialmente, e mais problemas podem surgir a partir disso.
Comunicação não é o problema, é a solução
Um ponto importante a ser entendido é que profissionais técnicos e não-técnicos possuem formas diferentes de se comunicar, e esse mesmo fato pode ser observado entre profissionais de segurança e de desenvolvimento, já falamos sobre essa dificuldade em um outro artigo nosso.
Este fato por si só já nos deixaria alerta e focados em desenvolver um processo de comunicação claro e efetivo, que conseguisse abordar os aspectos de todos os envolvidos no processo DevSecOps.
Neste cenário, é comum que a responsabilidade de uma comunicação fraca entre esses dois times acabe recaindo em apenas em uma direção, e geralmente um grupo atribui a culpa ao outro.
A questão é que como a comunicação é uma via de dois ou mais sentidos, se não há clareza no envio da mensagem, a recepção fica a cargo de uma série de suposições e nisso nosso cérebro não é muito bom. Ou seja, aí abre-se margem para que as coisas dêem errado.
Como estruturar a importâcia da Comunicação em DevSecOps
Para que a comunicação flua com a maior clareza possível, alguns cuidados devem ser tomados.
Escolher um ambiente de troca de informações confiável é um destes caminhos.
Montar uma estrutura que possa ser usada para essa comunicação é outro fator que pode ajudar no processo de comunicação.
Técnicos não são conhecidos por suas habilidades de escrita, mas isso não significa que não possam melhorar nisso. Portanto, a disponibilização de uma estrutura agradável a eles é um dos primeiros passos.
Olhe para a sua estrutura e veja se há uma construção de ferramentas e sistemas que possibilite que todos possam contribuir. Veja também se dentro de seus times existe o hábito de se estabelecerem momentos de reunião – mesmo que virtuais – para a troca experiências. Esse tempo de qualidade em que todos podem parar para se houver pode fazer uma grande diferença!
Qual é o impacto das ferramentas na comunicação?
Um dos pontos que mais percebemos é a grande importância dada aos relatórios de ferramentas, que podem muitas vezes ser usados pelos times de desenvolvimento como um mecanismo de comunicação com outros.
A ferramenta não é o problema, mas também não é a “bala de prata” de AppSec.
Ferramentas mal operadas e com equipes pouco experientes podem trazer mais problemas que soluções. A quantidade de falsos positivos que estas apresentam podem levar a um desgaste maior entre os times, pois entregam falsas visões seja ao time de desenvolvimento ou mesmo ao de segurança.
Além dos falsos positivos, muitas vezes a comunicação deficiente entre os times, bem como a falta de entendimento do resultado da ferramenta pode culminar em falsos negativos. E isso pode ser ainda mais grave que o problema do falso positivo.
Para atenuar os atritos e mal entendidos deste cenário, a impotância da Comunicação em DevSecOps é total, e esta protagonista merece ganhar espaço.
Afinal, na pior das hipóteses, o erro ou a falha na comunicação de uma vulnerabilidade pode acabar resultando em uma vulnerabilidade que jamais será corrigida total ou parcialmente, até que surja um problema mais evidente.
Nesse sentido, não trabalhar a comunicação seria provocar um verdadeiro boicote a segurança preventiva tão almejada com o processo de DevSecOps.
Como a comunicação pode ser melhorada?
Pensando na impotância da Comunicação em DevSecOps, é importante trabalhar na cultura de feedback no sentido de uma comunicação aberta. Esses pontos ajudam na construção de um ambiente onde todos possam colocar seu ponto de vista de forma a mostrar que pode contribuir com a discussão.
Buscar que os participantes de seus times de desenvolvimento ou mesmo de segurança tenham uma comunicação boa é um dos grandes desafios, mas se o ambiente ondes estes estão inseridos não proporcionar a confiança dessa comunicação, esse processo está fadado ao fracasso.
Uma das coisas que podem ser feitas é criar um ambiente que possa trazer para o participante as melhores oportunidades de transmitir o que deseja. Para uns, pode ser durante as reuniões diárias de projeto, para outros, pode ser por meio de documentações. Já para outros, um simples comentário nos processos de commit pode ajudar.
A questão é que o gestor vai precisar desenvolver uma habilidade para identificar quais seriam estas plataformas e ou ambientes para o seu time.
Reconhecer que existe um problema é o primeiro passo: diferentes contextos da Comunicação em DevSecOps
Neste momento, o contexto é de extrema importância!
Se quisermos realmente trabalhar os ruídos na comunicação entre os times, precisamos entender que o time de segurança pode ajudar DevOps em sua percepção de arquitetura sob o ponto de vista de security ou mesmo em como os aplicativos podem ser melhorados no aspecto de segurança.
As falhas de comunicação podem comprometer seriamente a segurança dos aplicativos produzidos por sua equipe de desenvolvimento, comprometendo assim o seu negócio.
Por isso, a impotância da Comunicação em DevSecOps impacta diretamente os times de desenvolvimento, e com a ajuda dos times de segurança pode proporcionar, inclusive, um melhor entendimento dos desenvolvedores sobre questões de compliance que devem ser seguidas.
Então, já avaliou como está ou como é a comunicação entre seus times?
