Valoración
  • Actualmente 0 de 5 Estrellas.
Tu valoración
  • Actualmente 0 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Miguel Cebrián, EMEA Cybersecurity & GRC Specialist de ServiceNow

La importancia de incorporar la seguridad a la estrategia de DevOps

'DevOps'. Este acrónimo proveniente de la lengua inglesa lo dice todo. 'Development' más 'operations' (desarrollo más operaciones). Al aunar estos dos procesos, la estrategia de 'DevOps' confiere velocidad y agilidad, lo que se traduce en un plazo más reducido para implementar nuevas iniciativas de 'software'.

Pero, ¿qué pasa con la seguridad? El término DevOps no hace referencia a este tema que se centra precisamente en asegurar que el nuevo software esté totalmente verificado y protegido frente a las vulnerabilidades y amenazas conocidas. El problema es que la agilidad y la seguridad no suelen ir de la mano. Tal vez por este motivo los especialistas de seguridad se dejaron de lado a la hora de crear el equipo de DevOps inicial.

No obstante, esto es un error. Al operar de manera independiente, los objetivos de los responsables de DevOps y de seguridad suelen entrar en conflicto entre sí. Cuantos más ciclos de DevOps se ejecutan sin una revisión de seguridad, más vulnerable es el software. Y cuantos más controles de seguridad se incorporen al proceso, menos ágil es la división de DevOps.

Aún así, hay espacio para la mejora. Al integrar la seguridad en la división de DevOps, cumplimos ambos objetivos: por un lado, el equipo de desarrollo de aplicaciones y sistemas operativos logra la velocidad y agilidad deseada, mientras que la división de seguridad logra mejorar la calidad y robustez del producto minimizando las vulnerabilidades.

Integración

Es verdad que integrar la seguridad en la estrategia DevOps no es un proceso fácil y que constituye todo un desafío. La seguridad, en su esencia, es una carrera de obstáculos compleja y polifacética porque todos los días surgen nuevas vulnerabilidades y amenazas. Por lo tanto, es difícil mantenerse al día de todo y seguir siendo ágil. Además, el departamento de seguridad está acostumbrado a estar muy aislado. De hecho, seamos sinceros, este departamento disfruta a menudo de su papel de “maestro de las artes oscuras”. Y existen motivos de peso para ello.

No obstante, las ventajas de la cooperación superan a las dificultades, por lo que vale la pena estudiar cómo integrar de forma satisfactoria la seguridad en la estrategia de DevOps.

En primer lugar, esta tarea implica romper con los procesos y sesgos tradicionales. Por ejemplo, en vez que los controles de seguridad constituyan la última fase del desarrollo, debe implantarse un proceso continuo que empiece desde el primer día del ciclo de vida de un proyecto de software.

En segundo lugar, a medida que se implemente la seguridad en la división de DevOps, es importante automatizar las tareas de seguridad habituales para evitar retrasos. Por ejemplo, se puede automatizar el análisis de los servidores de desarrollo e integración para asegurar que cumplen los estándares exigidos. Otro ejemplo es la automatización de las pruebas de análisis de código y penetración para identificar prácticas inseguras lo antes posible.

Finalmente, los equipos de seguridad también deben cambiar la forma en que trabajan. En vez de considerarse un equipo aislado, han de colaborar de manera constante e integrarse en el flujo de trabajo de DevOps para desarrollar los proyectos en equipo.

En definitiva, está claro que ha llegado el momento en el que los modelos de DevOps pasen a ser de DevSecOps, según el acrónimo que algunos expertos del sector ya han creado. Sólo integrando la seguridad en la estrategia de DevOps se permitirá a las empresas aunar protección, agilidad y velocidad para así crear soluciones y software realmente eficientes y preparados para el futuro. 

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual