DevOps e Segurança: Os 5 macacos

Andre Facciolli
Andre Facciolli

Agosto tem sido um mês bastante cheio para mim e tenho a oportunidade de falar para muitas pessoas e aprender sobre como elas alinham DevOps e segurança. Este é um problema sério. Hoje eu gostaria de contar a vocês a história dos cinco macacos. Ela tem relevância, prometo!

“Os cinco macacos” é um conto popular de experimentação científica do fim dos anos 60. É mais ou menos assim:

Um grupo de cientistas colocou cinco macacos em gaiolas e no meio uma escada com bananas no topo. Todas as vezes que um macaco subia a escada, os cientistas jogavam água fria nos que não subiam.
Depois de um instante, toda vez que um macaco começava a subir a escada, os outros o puxavam para baixo e batiam nele.
Depois de um tempo, nenhum macaco ousava tentar subir a escada, não importava quão grande fosse a vontade de subir.
Assim os cientistas decidiram substituir um dos macacos. A primeira coisa que o novo macaco tentou foi tentar subir a escada. Imediatamente os outros o puxaram para baixo e bateram nele.
Após várias vezes, o novo macaco aprendeu a nunca subir, apesar de não haver nenhuma razão evidente para não fazer isso. A não ser por apanhar.
Um segundo macaco foi substituído e o mesmo ocorreu. O primeiro macaco também bateu no novo macaco. O terceiro macaco foi substituído e o mesmo se repetiu. Ele tentou subir as escadas e apanhou, como nos outros casos. O quarto e o quinto também foram trocados e tentaram subir as escadas e, como ocorreu com todos, eles apanharam.

O que restou do primeiro grupo dos cinco macacos foi apenas a repetição do comportamento, pois todos foram trocados. Após a troca, todos tentaram subir as escadas para pegar bananas e todos apanharam, sem terem sido encharcados, como ocorreu com os primeiros cinco.

A história dos macacos pode ser facilmente resumida com a seguinte frase:

“O maior dano na linguagem é: isto tem sido feito dessa forma e vai continuar sendo feito.”

O engraçado deste experimento é que não é verdade! Alguém em algum ponto deu continuidade à pesquisa de G. R. Stephenson e adicionou as bananas em cima da escada para provar seu ponto de vista.
Mas importa se isso é verdade? Não.

A forma como esta história tem sido disseminada só prova que nós tendemos a aceitar o que as pessoas dizem para comprovar seus pontos de vista e não chatear com a devida diligência.
Mas o que isto tem a ver com DevOps e conversas sobre segurança da internet?

É relevante porque tem muitas premissas em ambos os lados. Premissas como “nós temos que fazer o mesmo para continuar compatíveis” ou “não há outra forma de auditar nossos chatbots da forma que voce quer”. Comumente essas premissas são mal embasadas – as pessoas a seguem porque ninguém quer ser o primeiro a perguntar “por que”.

– Nós sempre fizemos desta forma! “Por que?”
– Nós não podemos fazer assim, vai nos atrasar. “Por que?”
– Essa lista não é negociável. “Por que?”

“Por que” não é uma acusação ou desafio. Para resolver os problemas difíceis nós encaramos a segurança no DevOps como tem sido feita pois não há espaço para a vaidade dos veteranos na área.
Pessoas que tenho conversado que tem tido mais sucesso alinhando as DevOps a iniciativas com segurança precisam ser encorajadas com a pergunta “por que?”. Manter a ideia de que esta não é uma conversa com apenas uma via é o caminho para solucionar diversos problemas. Alguns assuntos relacionados a segurança não fazem sentido com os modernos sistemas de trabalho e infra estrutura. Adotar DevOps não significa que você deve deixar de ser cauteloso.

Vamos trabalhar todos juntos e perguntar “por que?” mais frequentemente.

Font Dustin Collins / DevOps, Culture

E então, quer bater um papo e compartilhar nossos casos de uso?