Insights >Blog

Solucionando problemas de ciberseguridad con DevSecOps

Alex Robbio


July 24th, 2019

Esencialmente, DevSecOps implica “integrar prácticas de seguridad a DevOps”. Según analistas de Gartner, la cantidad de equipos de desarrollo que utilizan DevOps va a aumentar rápidamente, pasando del 15% en 2017 al 80% en 2021. Por su parte, analistas de Forrester han descubierto que una de las prioridades principales de los profesionales de seguridad y riesgo en el año 2019 ha sido la transición de DevOps a DevSecOps.

¿Qué es lo que motiva esta rápida adopción de DevSecOps? Creo que los factores claves han sido los desafíos de ciberseguridad provenientes de la transformación digital de las organizaciones y el paso hacia un mundo digital sumamente dinámico.

En ese mundo, los desafíos de ciberseguridad son muy reales y se están volviendo más difíciles de manejar. Prácticamente todos los días leemos acerca de una u otra organización que ha sufrido un ataque.

Desafortunadamente, todo esto se ha vuelto de repente muy personal para mí, ya que parte de mi información personal se vio involucrada en algunos de los ataques de filtración de datos más grandes de los últimos tres años, y he tenido que lidiar con sus consecuencias.

Los productos de software modernos no son creados de manera aislada

Uno de los desafíos centrales de las organizaciones en el mundo digital actual está relacionado al hecho de que no se pueden crear experiencias nuevas y poderosas para el cliente de manera aislada. La integración de terceras partes suele ser lo que distingue tu producto o servicio de la competencia, ya sea que se trate de la integración de información sobre el clima en tiempo real o sobre el procesamiento de pagos. Prácticamente todas las aplicaciones modernas incluyen software de terceros (third-party software) o software de código abierto (open-source software), y cuando los desarrolladores utilizan bibliotecas de terceros, pueden introducir vulnerabilidades con facilidad.

La velocidad a la cual las organizaciones quieren lanzar productos de software, especialmente con DevOps, implica que necesitas los procesos y las herramientas apropiadas en el lugar correcto. Es en esos casos en los que DevSecOps le aporta un increíble valor a las organizaciones: incorpora privacidad, seguridad y respeto por las prácticas a tu DevOps y, a la vez, te permite continuar operando con rapidez, pero con un nivel de ciberseguridad potenciado.

Si analizamos esta tendencia desde el punto de vista de una industria en particular, como por ejemplo el sector bancario, veremos que existe una dinámica fascinante entre los bancos tradicionales y las fintechs modernas, que están asociándose entre ellos cada vez más. Pero a medida que los bancos tradicionales abren su sector tecnológico para crear nuevos productos y, a su vez, buscan hacerlo con mayor velocidad, como las fintechs, se enfrentan con nuevas amenazas de seguridad.

DevSecOps ofrece los procesos y las herramientas necesarios para permitirles a los bancos minimizar el riesgo al abrir su sector tecnológico para crear aplicaciones modernas con esas características.

DevSecOps

DevSecOps incorpora seguridad en los procesos de desarrollo, lo que le permite a las organizaciones lanzar software de manera rápida

En términos simples, el mundo digital se mueve rápidamente, y esto significa que las empresas deben hacer un esfuerzo para mantenerse al día con las cambiantes demandas de los consumidores. Esto implica que la ciberseguridad debe necesariamente mantener el ritmo, en especial con los equipos desarrollo de alta velocidad.

En esas circunstancias, DevSecOps resulta extremadamente atractivo ya que incorpora las mejores prácticas en el núcleo del ciclo del desarrollo del producto de software. Y se trata de prácticas escalables y automatizables. Involucra integrar prácticas de seguridad a todas las áreas del desarrollo de software, desde la infraestructura, la integración continua, los canales de entrega continua, y las aplicaciones, hasta los bordes de tu red.

DevSecOps y desarrollo Agile

Las prácticas de ciberseguridad han sido dejadas de lado por un tiempo, ya que no podían ajustarse a las nuevas formas de trabajo, en particular en vista de la transición de Waterfall a Agile. La combinación de Agile y DevOps es muy poderosa (podría decirse que algo así como “inyectarles esteroides” a tus procesos de desarrollo de software).

Sin embargo, el desafío consiste en el hecho de que muchas herramientas y procesos de seguridad no han mantenido el ritmo del cambio, y no son adecuados para los equipos tecnológicos que se mueven rápidamente. Pero con DevSecOps, las organizaciones pueden “automatizar” la seguridad durante todo el proceso de desarrollo, desde el diseño de la aplicación hasta la producción. La razón por la cual utilicé las comillas es porque, en este contexto, el concepto de automatización no significa que las cosas van a funcionar por sí solas.

Aún se necesita un esfuerzo humano significativo y continuo, ya que ninguna herramienta o suite puede resolver todas las cuestiones relacionadas a la seguridad que pueden surgir. Sin embargo, varias tareas pueden automatizarse, de manera que se pueda dedicar más capacidad intelectual a las áreas en las que los humanos pueden hacer grandes diferencias.

Comenzar a usar DevSecOps es más complejo de lo parece según surge de este esbozo, pero en base a nuestra experiencia, sugiero las siguientes acciones claves:

  • Comienza con prácticas de seguridad tan pronto como sea posible en el ciclo de desarrollo de software. Desde el principio, ya sea que estés considerando el diseño de tu aplicación o evaluando la arquitectura subyacente, asegúrate de que la seguridad sea una cuestión primordial. Incorpora modelos de amenaza y evaluaciones de riesgo al proceso tan pronto como sea posible.
  • Invierte en software de ciberseguridad para tus canales DevSecOps. Cada vez hay más herramientas de ciberseguridad disponibles. Security as code y Compliance as code son sólo algunos ejemplos. Compliance as code se trata, básicamente, de codificar tus requisitos de compliance, para que puedan ser luego implementados automáticamente. Esto puede ser útil para que comprendas de manera inmediata tu exposición a un riesgo.
  • Ayuda a que los desarrolladores tomen conciencia de cómo codificar de manera segura y de la necesidad de entender las mejores prácticas de seguridad. Las aplicaciones deben seguir las mejores prácticas de seguridad de la información, incluyendo cuestiones como la integridad, disponibilidad y confidencialidad de los datos. Enfócate en educar y capacitar a tus desarrolladores en miras de la seguridad y las mejores prácticas en relación a cómo trabajar con profesionales de seguridad y riesgo que tendrán más experiencia que los desarrolladores individuales. Utiliza ejemplos de hackeos que aparezcan en las noticias para enfatizar la importancia de la seguridad o, como mencioné al inicio de este artículo, hazlo personal si has sufrido un ataque.

Por último, recuerda que DevSecOps representa la evolución de las prácticas DevOps existentes. En definitiva, debería ayudar a mejorar la calidad y reducir el riesgo en relación al producto y a la organización. No tiene sentido ser el primero en comerciar un nuevo e impresionante producto de software si luego se descubre que tiene grandes fallas de seguridad.

Share

Related posts

See also

Services

Software development

Software testing

Consultancy & innovation

User experience

Industries

Fintech

Media & entertainment

Healthcare

All industries

Insights

Blog

Whitepapers

Webinars

Videos

Why Belatrix?

International presence

Nearshore advantages

Project governance

Agile expertise

Flexible engagement models

Our talent development