DevSecOps, un proceso aún lejos de implantarse

  • Gestión de apps

Una encuesta entre 1.500 empresas ilustra el estado deficiente de DevSecOps en la empresa hoy en día, descubriendo que casi tres cuartas partes de las organizaciones de TI aún evalúan manualmente si las aplicaciones cumplen con varias regulaciones antes de implementarse en la producción. Peor aún, la mitad de los encuestados también solucionan manualmente cualquier problema una vez que llega, lo que lleva días o incluso semanas.

De hecho, según la encuesta, más de la mitad de los encuestados (52 por ciento) han aplicado la automatización a menos del 25 por ciento de los servidores que administran.

Los procesos manuales conspiran para hacer que las organizaciones de TI sean menos ágiles en un momento en que la presión del negocio para implementar aplicaciones y actualizaciones asociadas más rápido nunca ha sido más alta.

El cumplimiento, al igual que la seguridad, necesita moverse mucho más hacia la izquierda en el proceso de DevOps como un subconjunto de DevSecOps. Después de todo, la mayoría de las regulaciones de cumplimiento están tratando de establecer un estándar mínimo para la seguridad de TI.

La primera línea de defensa de seguridad de TI es detectar vulnerabilidades antes de que entren en un entorno de producción. Cada vez que se explota una vulnerabilidad, la mayoría de las organizaciones incurre en la lesión inicial. Pero después de que los ciberdelincuentes han venido y se han ido, aparecen los reguladores exigiendo explicaciones. Esas explicaciones generalmente no hacen mucho para mitigar las multas y sanciones que se evalúan, especialmente en industrias altamente reguladas.

El problema es que la mayoría de los oficiales de cumplimiento dentro de las organizaciones no están conscientes de que muchos de estos problemas podrían resolverse automáticamente, y los equipos de DevOps están demasiado enfocados en los problemas operacionales diarios para que todo el mundo esté al tanto de lo que ahora es posible. Pero ahora que DevSecOps se está volviendo más convencional, muchas de las personas involucradas están empezando a darse cuenta de que están lidiando con los mismos problemas una y otra vez.

Al igual que los profesionales de seguridad de TI, los profesionales del cumplimiento que normalmente residen en una función de gestión de riesgos deben incorporarse al proceso de desarrollo de aplicaciones más temprano, pero sin ralentizar el ritmo del desarrollo de aplicaciones. Sin embargo, dado el nivel actual de remediación manual que se produce, es probable que una participación más temprana reduzca el nivel de trabajo manual que se produce justo antes de que la aplicación entre en producción.

Cuando se trata de cumplimiento, la mayoría de las organizaciones de TI son su peor enemigo. Los requisitos de cumplimiento generalmente se detallan en lenguaje arcano en documentos que no muchos leen, y mucho menos comprenden. Pedir a los desarrolladores que le den sentido a esos requisitos no es el mejor uso de su tiempo. Además, pocos de ellos interpretarían los requisitos correctamente. Un enfoque automatizado para el cumplimiento no solo creará una mejor aplicación, sino que también reducirá una gran cantidad de agravantes innecesarios para todos los involucrados.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.