A MATURIDADE DA CULTURA DEVSECOPS NAS EMPRESAS BRASILEIRAS DO SETOR FINANCEIRO

REGISTRO DOI:10.5281/zenodo.10795495

Guilherme Jorge Aragão da Cruz¹
Coautor: Antonio Airton Palladino¹

Resumo. A transformação digital em conjunto com os métodos ágeis trouxe também uma necessidade de entregas rápidas e seguras de software e infraestrutura, além da necessidade de existir uma forte colaboração entre estas áreas de Tecnologia da Informação. Diante deste cenário, as organizações, além de aplicarem uma cultura colaborativa por meio do Desenvolvimento, Segurança e Operações (DevSecOps), também precisam compreender o nível de maturidade desta em relação ao mercado, para melhor direcionamento das suas estratégias e investimentos na área. Este trabalho apresenta uma análise da maturidade DevSecOps no setor de serviços financeiros do Brasil, por meio de uma pesquisa quantitativa, baseada no Modelo de Maturidade DevSecOps Datadog ou “Datadog’s DevSecOps Maturity Model”, aplicada em 28 empresas, distribuídas através de 85 respondentes, o que possibilitou traçar um comparativo entre os diferentes setores desta indústria, como Bancos e Fintechs, bem como uma compreensão sobre quais competências, de acordo com o modelo utilizado, precisam de maior atenção, como “Planejamento e Desenvolvimento” e “Observabilidade e Respostas”.

Palavras-chave: DevOps, DevSecOps, Datadog, modelo de maturidade, serviços financeiros.

Abstract. The digital transformation in conjunction with agile methods also brought a need for fast and secure delivery of software and infrastructure, in addition to the need for strong collaboration between these areas of Information Technology. Given this scenario, organizations, in addition to applying a collaborative culture through Development, Security and Operations (DevSecOps), also need to understand its maturity level in relation to the market, to better target their strategies and investments in the area. This paper presents an analysis of the DevSecOps maturity in the financial services sector in Brazil, through a quantitative research, based on the DevSecOps Datadog Maturity Model, applied to 28 companies, distributed in 85 respondent, which made it possible to trace a comparison between the different departments of this industry, such as Banks and Fintechs, as well as an understanding of which competencies, according to the model used, need more attention, such as Development & Plan and Observe & Respond.

Keywords: DevOps, DevSecOps, Datadog, maturity model, financial services.

1. Introdução

As evoluções tecnológicas das últimas décadas apresentaram forte impacto e tiveram um importante papel em relação a novos desafios de processos inerentes às organizações. Processos de negócio passam por constantes evoluções e os sistemas que realizam a sua sustentação precisam acompanhar este crescimento, trazendo também, segundo Pressman (2021), um cenário de desafio tecnológico como problemas na qualidade das entregas, estouro de orçamento e prazo, códigos difíceis de serem mantidos, entre outros.

Sistemas de informação que sustentam processos críticos de negócio são componentes fundamentais das organizações e – além dos requisitos funcionais – também existe uma importância dos requisitos não funcionais para a garantia de continuidade do negócio, tais como segurança, tolerância a falhas, escalabilidade, recuperabilidade (também chamada de “resiliência”) e modificabilidade.

A partir do Manifesto Ágil, que tem o importante princípio de “entregar software funcional frequentemente, dentro de algumas semanas a alguns meses, preferencialmente com o prazo de execução mais curto” (MANIFESTO, Agile, 2001.) um desafio natural surgiu nas equipes de operações: também era necessário entregar a infraestrutura de maneira ágil. E foi dentro das próprias conferências de agilidade que o termo DevOps foi cunhado pela primeira vez, sendo tratado como um componente de cultura organizacional, no seminário “10 Deploys per Day: Dev and ops Cooperation at Flickr” (KIM, Gene et al., 2016). Muniz et al. (2019) ainda reforça que DevOps é – além de um conceito – uma cultura fortemente colaborativa e uma jornada de aproximação entre pessoas.

Mais recentemente o termo incorporou uma atualização em sua sigla, unindo Segurança com Desenvolvimento e Operações (DevSecOps), reforçando a importância das boas práticas de segurança, que, segundo Red Hat (2021) deve ser uma responsabilidade compartilhada e integrada do início ao fim.

Dados da pesquisa de Tecnologia Bancária da FEBRABAN (2022), trouxe números relevantes, indicando um investimento total de R$ 12,1 bilhões em tecnologia da informação ao longo do ano de 2022 por parte do setor financeiro, com investimentos na área de segurança cibernética mais do que dobrando de 2021 para 2022, passando de R$ 6,4 milhões para R$ 14,2 milhões e a migração para nuvem permanecendo como foco dos investimentos, com previsão de expansão de ao menos 20% em 2023.

Ainda, nos últimos dois anos, o mercado de Tecnologia passou por um cenário global de demissões em massa, com um forte impacto, em especial, no setor Fintech (BLOOMBERG, 2023), o que pode impactar a maturidade DevSecOps das organizações.

Frente a estas características, é importante que as organizações, além de aplicarem uma cultura DevSecOps, também possam compreender o seu nível maturidade, a fim de inferir o seu próprio posicionamento em relação ao mercado e definir as corretas estratégias e investimentos para uma evolução em sua maturidade (FOWLER, 2010).

Desta forma. este trabalho apresenta uma análise da maturidade DevSecOps no setor de serviços financeiros do Brasil e teve como questionamento e objetivo principal determinar qual o estado atual de maturidade da cultura DevSecOps neste recorte e, tendo como objetivo secundário traçar um comparativo nas diferentes indústrias da área, tais como bancos tradicionais e “fintechs”.

2. Revisão Bibliográfica

Inicialmente foi realizado um levantamento bibliográfico para maior entendimento sobre o tema através de pesquisa na base do Google Acadêmico, utilizando-se as palavras chaves “DevOps” + “maturity model”, de onde se obteve 2.050 artigos, posteriormente refinada para “DevSecOps” + “maturity model”, na qual resultaram em 313 artigos, abordando com mais detalhes as características relacionadas à Segurança da Informação dentro de DevOps.

Esta seção apresenta breve revisão bibliográfica sobre os conceitos fundamentais utilizados na pesquisa, na qual foram selecionados 4 artigos para melhor compreensão dos atuais desafios dentro da adoção de DevSecOps e 2 artigos sobre modelos de maturidades, sendo um que propõe um modelo personalizado e um outro que realizou uma revisão sistemática sobre diferentes modelos existentes, para melhor compreensão das suas características distintas e similares.

2.1. Desafios Atuais em DevSecOps e sua Adoção

Para Rajapakse, Zahedi, Babar e Shen (2022), que realizaram uma revisão sistemática específica dos desafios e soluções para a adoção de DevSecOps nas organizações, há uma clara definição dos temas principais que permeiam estes desafios: pessoas, processos, ferramentas e infraestrutura. Portanto estes temas devem ser sempre considerados em uma possível jornada de transformação digital das organizações.

Alves (2020), que realizou um estudo de caso voltado ao setor público, constatou que um dos principais desafios para a adoção de DevSecOps envolve a própria cultura organizacional, indo ao encontro de um dos temas principais identificados por Rajapakse, et.al (2022): pessoas.

Para Silva (2018), além dos desafios relacionados à cultura organizacional, também há um forte trabalho com foco nas pessoas envolvidas diretamente na transformação, pois em alguns casos não há uma clareza sobre os benefícios obtidos nesta adoção.

Por fim, Correa (2017), que analisou o processo de adoção de DevSecOps em uma empresa do setor bancário, constatou que após uma mudança de cultura organizacional, os resultados foram positivos para as pessoas entrevistadas no estudo de caso, que destacaram melhorias nos processos e ferramentas da organização, apesar da resistência a mudanças em algumas áreas.

2.2. Modelos de Maturidade DevSecOps

Para Zarour, Alhammad, Alenezi e Alsarayrah (2019), que realizaram uma revisão sistemática de modelos de maturidade DevSecOps, foi identificado que há uma característica comum entre eles: uma classificação por níveis de maturidade (variando de 1 a 4 ou, em outros casos, de 1 a 5) dividida por competências que abrangem a cultura e colaboração, produto, processos e qualidade e, por fim, a fundação, que envolve o gerenciamento de configuração, arquitetura e infraestrutura.

Já Levita (2017) propõe um modelo próprio para a avaliação da maturidade DevSecOps, a partir de modelos já existentes, considerando oito competências: pessoas e cultura, planejamento contínuo, integração contínua, testes contínuos, entrega contínua, infraestrutura como código, monitoramento contínuo e feedback contínuo.

3. Metodologia

Dada as características comuns levantadas por Zarour, Alhammad, Alenezi e Alsarayrah (2019) selecionou-se o Modelo de Maturidade DevSecOps da Datadog (2021), um modelo quantitativo que possui 32 questões em uma Escala Likert de 4 pontos, apresentadas no Apêndice B deste trabalho. O trabalho acrescentou questões demográficas para uma melhor análise comparativa (disciplina de especialidade da pessoa respondente, setor de serviços financeiros, tamanho da área de tecnologia e tamanho da empresa).

3.1. Modelo de Maturidade DevSecOps da Datadog

O Modelo de Maturidade da Datadog distribui as suas questões através de seis competências:

Pessoas e Cultura: a competência base do DevSecOps. Engloba a estrutura organizacional, estilo de comunicação, valores, incentivos, comportamentos, liderança e indivíduos e a própria saúde do time.

As cinco demais competências estão relacionadas às fases do ciclo de desenvolvimento com DevSecOps. Essas áreas de competência se correlacionam diretamente em processos e tecnologias:

Planejamento e Desenvolvimento: trata de como as atividades são priorizadas, o quanto o trabalho é planejado versus não planejado, o quanto o tempo é alocado desenvolvendo novos recursos versus pagando dívidas técnicas e quantos fatores de avaliação de risco e de validação de código ocorrem no estágio inicial do processo de desenvolvimento;
Compilação e Testes: cobre as técnicas e automação de testes, garantia de qualidade de código fonte por meio de técnicas de análise dinâmica e estática, e validação das compilações e suas assinaturas;
Liberação e Implantação: concentra-se nas estratégias de implantação e sua frequência, considerando as automações no processo e técnicas de validações em problemas de implantações;
Operações: cobre a infraestrutura como codigo, planejamento dos ambientes considerando capacidade, escalabilidade e confiabilidade, técnicas de testes de caos e formação de times com foco em exploração de vulnerabilidades, atualizações e recuperação de desastres;
Observabilidade e Respostas: possui um foco nos objetivos de nível de serviços (“Service Level Objective” ou SLOs), verificação de vulnerabilidades e configurações incorretas, monitoramento da experiência do usuário, gerenciamento e relatórios de incidentes e (“post-mortem”).

Cada competência pode receber uma pontuação de 1 até 4, sendo “1” considerado o nível iniciante e “4” o especialista. Esta pontuação é calculada por meio da média aritmética ponderada das questões por competência, com pode ser visto na Figura 1, onde “X_n” refere-se a cada questão da competência e “P_n” o peso obtido em sua resposta.

Figura 1 – Cálculo da Média Ponderada por Competência DevSecOps. Fonte: Rede Decisão (2020).

Através do cálculo da média ponderada, os níveis possíveis para classificação de uma organização, neste modelo adotado para a pesquisa, são:

[1,00 – 1,49] – Iniciante: fase em que se dá o início da jornada DevSecOps, marcando o princípio das mudanças culturais, pregando o compartilhamento e colaboração entre as áreas;
[1,50 – 2,49] – Intermediário: neste estágio existe uma entrega constante de software, mas que pode experimentar gargalos e problemas de desempenho e atrito entre os times. Controles relacionados à segurança são realizados ao final do ciclo de desenvolvimento, o que pode resultar em produtos de qualidade inferior;
[2,50 – 3,49] – Avançado: nesta fase há uma alta eficiência, com lançamento de software seguro e pontos de avaliação de segurança incorporados em todo o ciclo de desenvolvimento;
[3,50 – 4,00] – Especialista: nesta fase estão as práticas relacionadas a DevSecOps empregadas pelas organizações de ponta. A entrega de software ocorre inclusive mais de uma vez por dia e os controles de segurança estão incorporados ao ciclo de desenvolvimento, deixando de ser um domínio isolado. Um ponto chave refere-se ao alto nível de automação em todo processo de desenvolvimento, operações e segurança.

3.2. Categorização da Amostra

Nos aspectos gerais da pesquisa realizada, contabilizou-se a participação de 28 empresas diferentes, distribuídas através de 85 respondentes, que participaram da pesquisa no período compreendido entre os meses 06/2022 a 12/2022.

Para um melhor entendimento e análise deste trabalho, considerou-se uma classificação de porte de empresa de acordo com o número de funcionários, em sua totalidade e na área de TI, conforme pode-se ver na Tabela 1:

Em relação à quantidade de empresas participantes, conclui-se pela Figura 2 uma maior concentração de diferentes empresas dos segmentos de Fintechs (8 empresas), seguido de Seguradoras e Bancos (14 empresas no total, sendo 7 de cada segmento).

Figura 2 – Público Pesquisado: Quantidade de Empresas por Setor. Fonte: Dados da Pesquisa (2022).

Destacando a relevância do setor bancário dentro dos números obtidos, dados do SEBRAE (2020) indicam a existência de 10 “Bancos Comerciais” na cidade de São Paulo, local de realização desta pesquisa, caracterizando assim, a relevância da amostra deste setor com 70% deste universo possível. Demais setores possuem uma categorização mais pulverizada, devido à existência de mais de uma categoria indicada dentro da Classificação Nacional das Atividades Econômicas (CNAE), como é o caso das Fintechs, que possuem classificações dentro de “Administradoras de cartão de créditos” e “Outras atividades auxiliares dos serviços financeiros não especificadas anteriormente”, por exemplo.

Quanto à especialidade do respondente, conclui-se, pela Figura 3, que o perfil possui uma maior concentração na área de desenvolvimento totalizando 45 respondentes, correspondendo a um pouco mais da metade da amostra, seguido de “Outros”, concentrando-se aqui, pela pesquisa, os demais perfis não técnicos, como gestores de projetos e cargos de liderança em TI, por exemplo.

Figura 3 – Público Pesquisado: Área ou Disciplina de Especialidade. Fonte: Dados da Pesquisa (2022).

Também, dados da pesquisa FEBRABAN (2022) indicam que a área de desenvolvimento corresponde a cerca de 62% de toda área de tecnologia da informação dos bancos, seguida por infraestrutura com 10%, possuindo assim uma boa correlação com o recorte desta pesquisa, Desenvolvimento com 52,9% e a área de infraestrutura categorizada como “Operações/SRE/DevOps”, com 14,1%.

Em relação à quantidade de funcionários, conforme observamos na Figura 4, há uma concentração da metade dos respondentes (50,7%) em grandes empresas. Vê-se apenas um único respondente para uma empresa com menos de 100 funcionários, sendo que este recorte demográfico não trouxe diferenças significativas para a análise do trabalho, conforme será melhor explorado a seguir.

Figura 4 – Público Pesquisado: Quantidade de Funcionários. Fonte: Dados da Pesquisa (2022).

Em relação à quantidade de funcionários na área de tecnologia, conforme observamos na Figura 6, há uma distribuição mais homogênea nas médias empresas (totalizando 54,1%), seguido das empresas de grande porte, com 36,5%.

Figura 5 – Público Pesquisado: Quantidade de Funcionários em TI. Fonte: Dados da Pesquisa (2022).

Por fim, em relação ao setor das empresas dos participantes, observando a Figura 6, nota-se uma maior concentração, de 42 respondentes correspondendo a quase metade da amostra, nos setores de bancos e birôs de crédito.

Figura 6 – Público Pesquisado: Setor de Serviços Financeiros. Fonte: Dados da Pesquisa (2022).

4. Resultados

Os resultados desta pesquisa serão apresentados neste capítulo possibilitando um comparativo da maturidade obtida dentro dos seis eixos de competências apresentadas no capítulo 3 em relação às dimensões de setor, tamanho da empresa e tamanho da área de TI, considerando também a média geral dentro dos recortes apresentados utilizando a escala de pontuação já referida, a saber: [1,00 – 1,49] – Iniciante, [1,50 – 2,49], Intermediário [2,50 – 3,49] – Avançado e [3,50 – 4,00] – Especialista.

4.1. Maturidade Por Setor de Serviços Financeiros

A partir dos dados observados na Tabela 2 e destacados na Figura 7, destaca-se um atingimento ao nível “Especialista” das empresas do setor Fintech nas competências de “Pessoas e Cultura” e também em “Liberação e Implantação”, em comparação à sua parte “tradicional” no mercado de serviços financeiros, o setor de Bancos, que situam-se no nível “Avançado”. O que implica, em uma atenção com maior destaque aos aspectos relacionados às pessoas e também uma maior velocidade no lançamento de novos produtos. Também é importante mencionar que houve uma diminuição na participação de mercado dos Bancos nos últimos anos, de acordo com o Valor Investe (2021). Isto destaca a importância deste setor em se concentrar nas competências DevSecOps que precisam de mais atenção.

Nos “Meios de Pagamento” também se observa uma maior maturidade nas competências de “Planejamento e Desenvolvimento”, “Compilação e Testes”, este acompanhado do setor “Corretora de Valores” que também possui um destaque positivo na competência de “Operações” e “Observabilidade e Respostas”.

Cabe destacar que em “Bancos”, “Meios de Pagamento” e “Corretoras de Valores” a competência de “Compilação e Testes” possui uma maturidade ligeiramente superior aos demais setores, o que indica uma maior atenção à qualidade na entrega do desenvolvimento; apesar da competência “Liberação e Implantação” ter uma maturidade inferior, o que indicaria uma visão mais conservadora para o lançamento de novas versões de produtos e/ou aplicações, conforme pode-se observar na Figura 8.

Figura 7 – Maturidade DevSecOps: Visão por Setor de Serviços Financeiros no Brasil.
Fonte: Dados da Pesquisa (2022).

A pesquisa não contou com participantes do setor “Insurtechs”, a contraparte startup do setor de Seguros, entretanto é possível notar através da Figura 8 que este possui uma maturidade ligeiramente inferior aos demais setores em todas as competências, com destaque para as competências “Planejamento e Desenvolvimento” e “Compilação e Testes”, que atingiram o nível “Intermediário”, sinalizando que o setor de Seguros como um todo necessita direcionar sua atenção e investimentos para estas competências da cultura DevSecOps.

Figura 8 – Maturidade DevSecOps: Visão por Setor de Serviços Financeiros no Brasil.
Fonte: Dados da Pesquisa (2022).

Por fim, destaca-se que as competências “Planejamento e Desenvolvimento” e “Observabilidade e Respostas” possuem um nível de maturidade ligeiramente menor, mais próximo do nível “Intermediário”, em todos os setores, em comparação às demais competências, o que sinaliza que estas disciplinas requerem uma maior atenção ao setor de serviços financeiros como um todo.

4.2. Maturidade Por Tamanho da Empresa

Nesta dimensão observa-se a Maturidade por tamanho da empresa, observando os dados obtidos em uma tabela e para facilitar a análise, sua consolidação através de gráficos de radar e barras.

Na Tabela 3 observa-se que não existe uma exata correlação entre o tamanho de uma empresa e o seu nível de maturidade DevSecOps: apesar do nível de maturidade ligeiramente superior em empresas entre 500 e 999 funcionários nas competências de “Planejamento e Desenvolvimento” e “Operações” e nas empresas de 100 e 499 funcionários as competências de “Pessoas e Cultura” e “Liberação e Implantação”, há uma maior convergência entre todos os números, com um desvio padrão inferior aos 0,10 nas competências de “Planejamento e Desenvolvimento” e “Observabilidade e Respostas”, quando desconsideramos a única resposta obtida na categoria de menos de 100 funcionários.

Figura 9 – Maturidade DevSecOps: Visão por Tamanho da Empresa de Serviços Financeiros do Brasil.
Fonte: Dados da Pesquisa (2022).

Na Figura 9, gráfico de radar, observa-se uma convergência no nível 2,50 para a empresa com menos de 100 funcionários em mais da metade das competências, possuindo uma classificação “Avançado” apenas em “Pessoas e Cultura”.

Figura 10 – Maturidade DevSecOps: Visão por Tamanho da Empresa de Serviços Financeiros do Brasil. Fonte: Dados da Pesquisa (2022).

Na Figura 10 vê-se um padrão de atingimento dentro de 2,50 em grande parte das competências, ao passo que as empresas entre 100 e 499 funcionários possuem um destaque positivo significativo dentro da competência “Pessoas e Cultura” e “Liberação e Implantação”, trazendo uma correlação ao setor “Fintechs”, que traz números parecidos, dentro do nível “Especialista”, apesar de estar dentro do nível “Intermediário” na competência “Compilação e Testes”.

4.3. Maturidade Por Tamanho da Área de TI

Já nesta dimensão observa-se a maturidade por área de TI na empresa, da mesma forma, observando os dados obtidos em uma tabela e para facilitar a análise, sua consolidação através de gráficos de radar e barras.

Em relação à dimensão dos dados para o tamanho da área de tecnologia das empresas nota-se a partir da Tabela 4 um ponto mais interessante: empresas com uma área de tecnologia grande (mais de 1.000 funcionários) possuem um maior nível de maturidade em mais competências, destacando-se em “Planejamento e Desenvolvimento”, “Compilação e Testes”, “Operações” e “Observabilidade e Respostas”.

Figura 11 – Maturidade DevSecOps: Visão por Funcionários em TI de Empresas de Serviços Financeiros do Brasil. Fonte: Dados da Pesquisa (2022).

A partir da observação da Figura 11 é possível notar uma ligeira superioridade nas empresas entre 100 e 499 funcionários na área de TI apenas na competência de “Liberação e Implantação” frente às empresas com mais de 1.000 funcionários, ao passo que as empresas com uma área de TI média (500 a 999) destacam-se na competência de “Pessoas e Cultura”.

Figura 12 – Maturidade DevSecOps: Visão por Funcionários em TI de Empresas de Serviços Financeiros do Brasil. Fonte: Dados da Pesquisa (2022).

Por fim, observando a Figura 12 nota-se um destaque negativo nas empresas que possuem uma área de TI reduzida (inferior a 100 funcionários), o que resulta em um nível de maturidade inferior a 2,50 pontos em todas as competências, categorizando-a desta forma dentro do nível “Intermediário” em todas as competências de maturidade DevSecOps, com um destaque negativo para “Observabilidade e Respostas” que se encontra mais próxima do nível “Iniciante” (com atingimento de 1,88).

5. Conclusão

O presente trabalho teve por objetivo determinar o estado atual de maturidade da cultura DevSecOps no setor de serviços financeiros do Brasil, possibilitando ainda, a partir dos resultados coletados, traçar um comparativo nos diferentes setores da área. Tais como “Bancos” e “Fintechs”, sendo que estes tiveram um interessante destaque comparativo na competência “Pessoas e Cultura”, que pode sofrer uma variação em uma nova aplicação desta pesquisa, mas traz um importante indicativo para um possível redirecionamento das estratégias de posicionamento no mercado do setor bancário.

Dentro do modelo adotado, o setor de Serviços Financeiros demonstrou um nível de maturidade elevado ficando, em média, sempre dentro dos níveis “Avançado” e “Especialista”.

Há ainda um importante destaque em relação ao menor nível de maturidade em todos os setores nas disciplinas de “Planejamento e Desenvolvimento” e “Observabilidade e Resposta”, sendo um importante ponto de atenção para todas as organizações do setor, que podem dar uma maior atenção e direcionamento de investimentos para estas disciplinas em específico, o que pode envolver a implementação de ferramentas e práticas de monitoramento avançadas, a adoção de métodos de análise de incidentes mais eficientes e a melhoria da capacidade de resposta às falhas e ameaças de segurança para melhoria na competência de “Observabilidade e Respostas” e automações com foco na qualidade e segurança no código para uma evolução de maturidade na competência de “Planejamento e Desenvolvimento”.

O questionário aplicado mostrou-se claro e de fácil replicação, sendo necessário apenas que se tenha um conhecimento intermediário dentro das práticas e tecnologias relacionadas à cultura DevSecOps, visto que houve dificuldades no entendimento de algumas questões durante a aplicação para profissionais com menor experiência. A pesquisa teve dificuldades em localizar participantes do setor “Insurtech”, o que possibilitaria traçar um comparativo direto com o setor Seguros.

Dada a própria dinâmica do mercado de trabalho que envolve tecnologia, que está em constante evolução e rápidas transformações, recomenda-se que trabalhos futuros apliquem anualmente esta pesquisa, para possibilitar um melhor acompanhamento na evolução da maturidade das organizações dentro de DevSecOps. Também é possível um aprimoramento do questionário no sentido de análise de dados por meio de técnicas estatísticas mais sofisticadas para obter uma maior precisão e significância sobre o estado atual e a progressão das práticas de DevSecOps nas organizações.

6. Referências Bibliográficas

ALVES, Janaína Souza Oliveira. Cultura organizacional e adoção de práticas DevOps: um estudo de caso na Companhia de Tecnologia da Informação do Estado de Minas Gerais-PRODEMGE. CEAPPGG/PRODEMGE, 2020.

BLOOMBERG. Crise leva fintechs a onda de demissões e abre oportunidades para bancos. Disponível em https://www.bloomberglinea.com.br/2023/02/12/crise-leva-fintechs-a-onda-de-demissoes-e-abre-oportunidades-para-bancos/. Acesso em 11 mai 2023.

CORREA, Rodolfo Oliveira, 2017. Os desafios na adoção de devops em empresa brasileira de tecnologia da informação no setor bancário. Instituto Federal de Educação, Ciência e Tecnologia de São Paulo, IFSP, 2017.

DATAGOG. DevSecOps Maturity Model. DataDog.com, 2021. Disponível em https://datadoghq.com/resources/devsecops-maturity-model/ Acesso em 06 out. 2021

DATA SEBRAE. Painel de Empresas. Disponível em https://datasebrae.com.br/totaldeempresas-11-05-2020/. Acesso em 20 jun. 2023.

FEBRABAN, FB de B. Pesquisa FEBRABAN de Tecnologia Bancária. 2022. Disponível em https://portal.febraban.org.br/pagina/3106/48/pt-br/pesquisa. Acesso em 10 jan. 2024.

FOWLER, Martin. Richardson Maturity Model: steps toward the glory of REST. Disponível em http://martinfowler.com/articles/richardsonMaturityModel.html. Acesso em 30 set. 2021.

KIM, Gene et al. The DevOps handbook: How to create world-class agility, reliability, and security in technology organizations. IT Revolution, 2016.

LEVITA, Carlos de Amorim. Proposta de modelo para avaliação da maturidade DevOps: estudo de caso em empresas de grande porte. 2017.

MANIFESTO, Agile. Agile manifesto. Haettu, v. 14, p. 2012, 2001.

MUNIZ, Antonio et al. Jornada DevOps 2ª edição: unindo cultura ágil, Lean e tecnologia para entregar software com qualidade. Brasport, 2019.

PRESSMAN, Roger; MAXIM, Bruce. Engenharia de Software-9ª Edição. McGraw Hill Brasil, 2021.

RAJAPAKSE, Roshan N, ZAHEDI, Mansooreh, BABAR, M. Ali e SHEN, Haifeng. Challenges and solutions when adopting DevSecOps: A systematic review. Information and Software Technology, v. 141, p. 106700, 2022.

REDE DECISÃO. Matemática RedeDecisao.com.br, 2020. Disponível em https://estudos.rededecisao.com.br/matematica/. Acesso em 21 jul 2023.

RED HAT. DevSecOps: segurança integrada RedHat.com, 2021. Disponível em https://www.redhat.com/pt-br/topics/devops/what-is-devsecops. Acesso em 30 set. 2021.

SILVA, Fabrício Barroso da. Análise da aplicação da cultura DEVOPS nas organizações. UFF, 2018.

VALOR INVESTE. Bancos tradicionais perdem quase metade do mercado em quatro anos, aponta pesquisa. Disponível em https://valorinveste.globo.com
/produtos/servicos-financeiros/noticia/2021/09/27/bancos-tradicionais-perdem-quase-metade-do-mercado-em-quatro-anos-aponta-pesquisa.ghtml. Acesso em 20 fev 2023.

ZAROUR, Mohammad, ALHAMMAD, Norah, ALENEZI, Mamddouh, ALSARAYRAH, Khalid. A research on DevOps maturity models. Int. J. Recent Technol. Eng, v. 8, n. 3, p. 4854-4862, 2019.

7. APÊNDICE A – Termo de Consentimento para Realização de Pesquisa Acadêmica

TÍTULO DA PESQUISA: A Cultura DevSecOps, sua Aplicabilidade e Maturidade nas Empresas Brasileiras do Setor Financeiro. PESQUISADOR RESPONSÁVEL: Guilherme Jorge Aragão da Cruz CURSO DE VÍNCULO: Especialização em Gestão da Tecnologia da Informação do IFSP – Instituto Federal de São Paulo E-MAIL: guilherme.aragao@aluno.ifsp.edu.br

Você está sendo convidado(a) a participar, como voluntário(a), da pesquisa “A Cultura DevSecOps, sua Aplicabilidade e Maturidade nas Empresas Brasileiras do Setor Financeiro”. Esta pesquisa está associada ao projeto de Guilherme Jorge Aragão da Cruz, do programa de pós-graduação em Gestão da Tecnologia da Informação, do IFSP. Você foi escolhido para participar porque se enquadra no perfil necessário para a pesquisa. Sua contribuição é importante, porém, você não deve participar contra sua vontade.

O objetivo principal desta pesquisa é determinar qual o estado atual de maturidade da cultura DevSecOps no setor de serviços financeiros do Brasil, tendo ainda como objetivo secundário traçar um comparativo nas diferentes indústrias da área, tais como bancos tradicionais e fintechs, por exemplo.

A presente pesquisa é baseada no Modelo de Maturidade DevSecOps da Datadog ou “Datadog’s DevSecOps Maturity Model” (DATADOG, 2021¹).

Este modelo consiste em uma divisão por estágios e competências, sendo os estágios divididos em 4 níveis: Iniciante, Intermediário, Avançado e Especialista; e as competências organizadas em seis grupos: Pessoas e Cultura, Planejamento e Desenvolvimento, Compilação e Testes, Liberação e Implantação, Operações e Observabilidade e Respostas.

Caso o participante prefira, o resultado da Avaliação de Maturidade DevSecOps poderá ser solicitado pelo e-mail guilherme.aragao@aluno.ifsp.edu.br.

Para garantir a confidencialidade e a privacidade dos indivíduos, todos os dados obtidos na pesquisa serão utilizados exclusivamente com finalidades científicas, conforme previsto neste termo de consentimento. Os resultados deste trabalho poderão ser apresentados em encontros ou revistas científicas e mostrarão apenas os resultados obtidos como um todo, sem revelar seu nome, instituição ou qualquer informação relacionada à sua privacidade.

O preenchimento do questionário dura cerca de 15 minutos.

Ao aceitar participar da pesquisa, deverá:

1. Eletronicamente aceitar participar da pesquisa, o que corresponderá a assinalar a opção ‘Concordo em participar’;

2. Responder ao questionário on-line.

Você poderá se retirar do estudo a qualquer momento, sem qualquer necessidade de justificativa.

Solicitamos a sua autorização para o uso das informações coletadas para a produção de artigos técnicos e científicos. A sua privacidade será mantida por meio da não identificação do seu nome.

Declaro que fui informado sobre todos os procedimentos da pesquisa e que recebi de forma clara e objetiva todas as explicações pertinentes ao projeto, e que todos os dados a meu respeito são sigilosos. Fui informado que posso me retirar do estudo a qualquer momento.

¹ https://www.datadoghq.com/blog/devsecops-maturity-model-self-assessment/

E-mail: _____________________________________

Participação: ( ) Concordo em participar ( ) Não concordo em participar

8. APÊNDICE B – Questionário para Avaliação da Maturidade DevSecOps

B.1 Avaliação da Competência Pessoas e Cultura

Quadro 1 – Avaliação da Maturidade DevSecOps na competência de Pessoas e Cultura