Após algumas leituras sobre DevOps, uma metodologia de desenvolvimento de softwares que integra a comunicação, colaboração e integração entre desenvolvedores e profissionais de TI, concluí que algumas observações caberiam sobre como alinhar DevOps e segurança e de forma geral aos iniciantes em qualquer área de trabalho.
Vou contar a vocês a história dos cinco macacos. Ela tem relevância, prometo!

“Os cinco macacos” é um conto popular de experimentação científica do fim dos anos 60. É mais ou menos assim:

Um grupo de cientistas colocou cinco macacos em gaiolas e no meio uma escada com bananas no topo. Todas as vezes que um macaco subia a escada, os cientistas jogavam água fria nos que não subiam.
Depois de um instante, toda vez que um macaco começava a subir a escada, os outros o puxavam para baixo e batiam nele.
Depois de um tempo, nenhum macaco ousava tentar subir a escada, não importava quão grande fosse a vontade de subir.
Assim os cientistas decidiram substituir um dos macacos. A primeira coisa que o novo macaco tentou foi tentar subir a escada. Imediatamente os outros o puxaram para baixo e bateram nele.
Após várias vezes, o novo macaco aprendeu a nunca subir, apesar de não haver nenhuma razão evidente para não fazer isso. A não ser por apanhar.
Um segundo macaco foi substituído e o mesmo ocorreu. O primeiro macaco também bateu no novo macaco. O terceiro macaco foi substituído e o mesmo se repetiu. Ele tentou subir as escadas e apanhou, como nos outros casos. O quarto e o quinto também foram trocados e tentaram subir as escadas e, como ocorreu com todos, eles apanharam.

O que restou do primeiro grupo dos cinco macacos foi apenas a repetição do comportamento, pois todos foram trocados. Após a troca, todos tentaram subir as escadas para pegar bananas e todos apanharam, sem terem sido encharcados, como ocorreu com os primeiros cinco.

A história dos macacos pode ser facilmente resumida com a seguinte frase:
“O maior dano na linguagem é: isto tem sido feito dessa forma e vai continuar sendo feito assim.”

O engraçado deste experimento é que não é verdade! Alguém em algum ponto adicionou as bananas em cima da escada para provar seu ponto de vista.
Mas importa se isso é verdade? A forma como esta história tem sido disseminada só prova que nós tendemos a aceitar o que as pessoas dizem para comprovar seus pontos de vista e não chatear com a devida diligência.
Mas o que isto tem a ver com DevOps e conversas sobre segurança da internet?
É relevante porque tem muitas premissas em ambos os lados. Premissas como “nós temos que fazer o mesmo para continuar compatíveis” ou “não há outra forma de auditar nossos chatbots da forma que voce quer”. Comumente essas premissas são mal embasadas – as pessoas a seguem porque ninguém quer ser o primeiro a perguntar “por que”.

– Nós sempre fizemos desta forma! “Por que?”
– Nós não podemos fazer assim, vai nos atrasar. “Por que?”
– Essa lista não é negociável. “Por que?”

“Por que” não é uma acusação ou desafio. Para resolver os problemas difíceis nós encaramos a segurança no DevOps como tem sido feita pois não há espaço para a vaidade dos veteranos na área.
Pessoas que tenho conversado que tem tido mais sucesso alinhando as DevOps a iniciativas com segurança precisam ser encorajadas com a pergunta “por que?”. Manter a ideia de que esta não é uma conversa com apenas uma via é o caminho para solucionar diversos problemas. Alguns assuntos relacionados a segurança não fazem sentido com os modernos sistemas de trabalho e infra estrutura. Adotar DevOps não significa que voce deve deixar de ser cauteloso.

Vamos trabalhar todos juntos e perguntar “por que?” mais frequentemente. Além de incentivar os novos nas áreas e ouví-los.