La evolución de la narrativa del paso de DevOps a DevSecOps

Necesitamos un enfoque de desarrollo integrado que esté automatizado para crear el equilibrio adecuado entre velocidad y riesgo para evitar retrabajos costosos y desaceleración comercial.

Hoy escuchamos mucho sobre DevOps, automatización y velocidad. Esto se expresa en todo, desde las herramientas utilizadas para automatizar, las métricas recopiladas para entregar cada vez más rápido y el énfasis en la gobernanza liviana para entregar de manera ajustada. Sin embargo, dando un paso atrás, todavía vemos problemas de seguridad que prevalecen en nuestro software.

Hay un cambio en la narrativa de la industria para alinear la discusión sobre “solo velocidad” con una discusión más amplia sobre por qué esto no es suficiente para satisfacer las necesidades de la empresa.

Imagen: AndSus - stock.adobe.com

Imagen: AndSus – stock.adobe.com

Para que quede claro desde el principio, tiene sentido automatizar las tareas repetibles para aumentar la velocidad. De lo contrario, debe realizar las tareas manualmente, lo que lleva tiempo y es propenso a errores. Hemos aprendido de la experiencia que la automatización puede contribuir en gran medida a mejorar la coherencia y la calidad. Por ejemplo, solía llevar semanas o meses aprovisionar e implementar manualmente un servidor. Hoy, podemos hacerlo significativamente más rápido y con mayor consistencia. Entonces, naturalmente, la mayoría de las organizaciones tratan de enfatizar la automatización del desarrollo en un esfuerzo por reducir el costo de reprocesamiento y enfocar a su gente en actividades de mayor valor agregado.

Ahora es necesario que ocurra una evolución similar en el ámbito de la seguridad. Sin restar valor al valor que la seguridad aporta a la mesa en torno a la gestión de riesgos comerciales, debemos equilibrar las actividades de seguridad con una línea de desarrollo bien aceitada que enfatice la automatización. La velocidad puede ser un gran activo, pero es aún mayor cuando se equilibra con seguridad y protección. Esto evita la trampa de tener que solucionar problemas de seguridad una vez implementados en un entorno de producción. Tomarse el tiempo para solucionar esos problemas de seguridad de producción le quita tiempo a la implementación de nuevas funciones para la empresa. El resultado neto es una tubería de entrega inadecuada desde el punto de vista comercial.

La seguridad, por lo tanto, debe insertarse en todas y cada una de las etapas del ciclo de vida del desarrollo de software (SDLC). Necesitamos probar temprano y con frecuencia. Por ejemplo, en un ciclo de cambio, debemos evaluar el riesgo de los cambios en relación con la seguridad, la privacidad y el impacto regulatorio.

En el pasado, muchas organizaciones cometieron el error al adoptar DevOps de enfocar los beneficios exclusivamente desde una perspectiva de velocidad de desarrollo sin la debida consideración de un equilibrio con las necesidades comerciales como el riesgo y la seguridad. Hoy en día, cuando vemos infracciones de seguridad y de datos, está claro que nuestros procesos centrados en la velocidad de desarrollo tienen la culpa si aceptamos que los artefactos de calidad son un resultado basado en la solidez y la calidad de nuestros procesos.

Por lo tanto, necesitamos un enfoque de desarrollo equilibrado integrado que esté automatizado para crear el equilibrio adecuado entre velocidad y riesgo para evitar retrabajos costosos y la desaceleración del negocio.

Lograr un enfoque de desarrollo equilibrado

Mirando hacia atrás, durante los primeros días de DevOps, hubo muchos desafíos para unir el desarrollo y las operaciones porque los desarrolladores querían moverse rápido y cambiar el código, mientras que las operaciones querían estabilidad y cambios poco frecuentes. Hoy, estamos siendo testigos de un patrón de cambio similar a medida que nos transformamos de DevOps a DevSecOps. Muchos equipos de seguridad favorecen la estabilidad y los cambios poco frecuentes. Los controles de seguridad toman más tiempo con esta mentalidad y conducen a actividades de seguridad repetitivas, como pruebas de seguridad, evaluación de riesgos y certificación ambiental. Estos procesos no están integrados en los procesos de DevOps. Más bien, se llevan a cabo fuera de banda y puede ser difícil inyectar actividades de seguridad en una tubería en rápido movimiento. En cambio, estas actividades de seguridad deben integrarse en el proceso SDLC automatizado e irradiar métricas que sean relevantes para las partes interesadas en la seguridad.

Inyectar seguridad para lograr una automatización del desarrollo equilibrada no implica reinventar la rueda. Ya existen buenas herramientas para ayudarlo a ejecutar DevOps de manera eficiente. También existen métricas y gobernanza existentes para ayudar a las personas clave a tomar decisiones informadas. Debe integrar la seguridad en todas y cada una de las fases de las actividades de SDLC, y cuanto más se desplace hacia la izquierda, más beneficios verá.

También necesitamos enseñar y educar a las personas que la seguridad es un esfuerzo conjunto y que es responsabilidad de todos lograr una automatización equilibrada del desarrollo. No es solo responsabilidad de los equipos de seguridad. La seguridad no puede aislarse de los desarrolladores y otras partes interesadas, donde ejecutan una pila de herramientas de seguridad de forma aislada. Necesitamos inyectar la automatización de la seguridad en cada etapa del SDLC, desde el modelado de amenazas hasta el escaneo, las pruebas y las operaciones de código.

Midiendo el éxito

La narrativa de la industria en torno a la automatización del desarrollo DevOps está cambiando a una perspectiva equilibrada de automatización del desarrollo a medida que comenzamos a inyectar requisitos de seguridad, riesgo y cumplimiento en el desarrollo de software. Esto significa que, al igual que hicimos con DevOps, necesitamos tener una matriz multifuncional de compensaciones que articule el equilibrio correcto necesario para ser rápido y seguro. Esto debe medirse para que cada conjunto de procesos en estos equipos contribuya con un valor tangible hacia un desarrollo equilibrado. Y ahí radica el valor comercial definitivo.

La evolución de la narrativa del paso de DevOps a DevSecOps

Ayhan Tek es el vicepresidente de seguridad de la información en Cyber ​​Electra. Es un profesional experimentado en seguridad de la información especializado en gestión de riesgos, arquitectura de seguridad y dominios de seguridad de aplicaciones con más de 20 años de experiencia. Ayhan participa activamente en ISACA, ISC2, IEEE y otras organizaciones profesionales y ofrece eventos y capacitaciones de seguridad cibernética en América del Norte. Ayhan tiene CISSP, CISM, TOGAF, SOA, ITIL, Oracle, IBM y muchas otras certificaciones profesionales.

La comunidad InformationWeek reúne a profesionales de TI y expertos de la industria con asesoramiento, educación y opiniones de TI. Nos esforzamos por destacar a los ejecutivos de tecnología y a los expertos en la materia y utilizamos sus conocimientos y experiencias para ayudar a nuestra audiencia de TI … Ver biografía completa

Agradecemos sus comentarios sobre este tema en nuestros canales de redes sociales, o [contact us directly] con preguntas sobre el sitio.

Más información

Recent Articles

Las bolsas biodegradables para caca de perro pueden ser demasiado buenas para ser verdad

Recoger las heces puede ser una de las peores partes de pasear al perro. ¿Lo único un poco más molesto? Usar una bolsa de...

Las agencias policiales tienen poderosas herramientas forenses para recopilar información de su teléfono

Opinión del editor: Le he predicado durante años a cualquiera que quiera...

AOC lo juega. Esto es lo que debe saber sobre los videojuegos populares

CERCAUna captura de pantalla del juego Among Us. (Foto: Innersloth)El videojuego "Among Us" capturó la atención el martes por la noche después de que...

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí