Nos últimos anos houve um aumento considerável no uso de metodologias ágeis. No entanto, a aplicação destas metodologias pode ser um desafio, em especial para sistemas de controle industrial que têm a obrigação de obedecer a requisitos operacionais rigorosos através de regulamentos e normas, e em particular no âmbito da cibersegurança. Este trabalho propõe um conceito para uma integração estruturada e sistemática de actividades de segurança num pipeline de DevOps, com o intuito de alcançar ambas as capacidades de desenvolvimento ágil seguro e engenharia de software ágil em conformidade com segurança. A base para este conceito é a integração da norma IEC 62443-4-1 (4-1), que descreve o desenvolvimento seguro de produtos em ambientes de controle industrial, com um especificação de Continuous Integration/Continuous Delivery. Para alcançar isto, foi feito um mapeamento de requisitos de segurança, de acordo com a descrição na norma 4-1, numa especificação simples de DevOps. Como resultado, todas as actividades da norma 4-1 foram analisadas e classificadas de acordo com a possibilidade de serem automatizadas através de suporte de ferramentas. Para avaliar o trabalho, foram realizadas entrevistas com profissionais especializados nas áreas de conformidade em segurança de TI’s e engenharia de software ágil. Os resultados mostram evidências sobre a possibilidade de fornecer suporte de ferramentas para a automatização da norma IEC 62443-4-1 e para a especificação um pipeline de DevOps conforme com a norma 4-1.

There has been a considerable increase in the use of agile methodologies over the last years. However, applying these methodologies can be challenging, particularly for industrial control systems that must obey to rigorous operational requirements through regulations and standards, and in particular cybersecurity requirements. The current work proposes a concept for a structured and systematic integration of security activities into a DevOps pipeline, with the ambition of pursuing the capability of both secure agile development and security compliant agile software engineering. The basis for this concept is the integration of the IEC 62443-4-1 (4-1) standard, which describes secure product development in industrial control systems, with a Continuous Integration/Continuous Delivery pipeline specification. To achieve this, the security requirements, as described in the 4-1 standard, were mapped into a simple DevOps pipeline specification. As a result, all of the 4-1 activities were analysed and classified according to the possibility of being automated through tool support. Interviews with expert practitioners, from the fields of security compliance and agile software engineering, were conducted to evaluate the present work. Results have shown evidence about the possibility of providing tool support for the IEC 62443-4-1 standard and to specify a DevOps pipeline compliant to the 4-1 standard.