El aspecto humano de Agile DevSecOps, en particular el fomento de la confianza y la dinámica del equipo, fue otro tema clave. El énfasis de P2 en una cultura libre de culpa donde los problemas pueden discutirse abiertamente fue un testimonio de la importancia de la seguridad psicológica: “Es una especie de cultura; Estamos tratando de fomentar la empatía poniéndose en el lugar de los demás… necesitamos poder hablar de ello abiertamente y tratar de crear una cultura sin culpa”. La declaración de este participante destacó la necesidad de un entorno de apoyo dentro del equipo y los usuarios finales.
Diez participantes enfatizaron la importancia de la interacción en equipo, la colaboración y la comunicación abierta. P11 brindó una gran iniciativa al configurar una sala de videoconferencia durante todo el día y permitir que todos los miembros del equipo y otras personas hicieran preguntas aclaratorias. Esta acción fomentó la comunicación y la colaboración. Se trataba de algo más que simplemente hacer el trabajo; se trataba de crear un sentido de comunidad y propósito compartido.
El papel de la retroalimentación continua en Agile DevSecOps fue evidente en cada conversación. Prácticas como el desarrollo impulsado por el usuario y los canales de CI/CD fueron cruciales. P2 abogó por presentar rápidamente capacidades a los usuarios para validar la utilidad de un producto y realizar los cambios necesarios. Este enfoque enfatizó la importancia de los comentarios de los usuarios a la hora de dar forma al desarrollo de productos. P12 también destacó la eficiencia operativa de los canales de CI/CD: «El valor que realmente se obtiene de esto es la automatización, los procesos repetibles».
Otro tema recurrente fue equilibrar la innovación con los requisitos de seguridad y estabilidad. La reflexión de P1 sobre la baja tolerancia al riesgo del Departamento de Defensa proporcionó una mirada sincera a las tensiones inherentes en este campo: “En el sector privado, la tolerancia al alto riesgo está bien; podemos ir rápido y romper cosas, y en la tolerancia de bajo riesgo del Departamento de Defensa, no podemos… no queremos perder vidas; No queremos arriesgar nuestra defensa nacional”. La declaración del P1 arrojó luz sobre el delicado equilibrio entre el rápido desarrollo y la seguridad.
El estudio involucró a un grupo diverso de administradores de software de varias fábricas de software del Departamento de Defensa, abarcando una amplia gama de roles, experiencias y antecedentes educativos. Entre los participantes se encontraban gerentes de producto con distintos niveles de experiencia, gerentes de plataforma, gerentes senior de proyectos, un director de agencia y un gerente técnico. Su experiencia de campo varió de cinco a 40 años, mostrando una combinación de talento emergente y experiencia experimentada. Las calificaciones educativas iban desde licenciaturas hasta maestrías, y algunas poseían certificaciones relevantes como Security+, Certified Scrum Master y Certified Kubernetes Administrator.
Este grupo variado, que incluía participantes masculinos y femeninos de entre 25 y 74 años, brindó una perspectiva integral sobre la adopción e implementación de Agile DevSecOps dentro del Departamento de Defensa.
El núcleo del estudio fue una serie de entrevistas en profundidad, donde a los participantes se les hicieron varias preguntas para sondear sus experiencias y estrategias en la implementación de Agile DevSecOps. Diez preguntas clave guiaron las conversaciones, explorando diferentes facetas de la gestión del desarrollo de software. Estas incluyeron consultas sobre el enfoque general de la organización para el desarrollo de software (basado en proyectos versus basado en productos), la adopción de metodologías Agile, DevOps o DevSecOps y los factores que provocaron cualquier transición. Se pidió a los participantes que describieran las metodologías de gestión de proyectos que utilizaron, especialmente cualquier cambio del desarrollo tradicional en cascada a modelos ágiles.