DevOps y seguridad: 4 pasos para evitar el choque cultural
- Gestión de apps
DevOps y los profesionales de seguridad crecieron en diferentes entornos. Pero las barreras culturales se pueden superar y, por tanto, garantizar tanto la agilidad como la seguridad que necesitan las empresas en el entorno de negocio actual.
Cada vez más empresas están adoptando DevOps para mejorar la agilidad de desarrollo y acelerar el despliegue de las aplicaciones de negocio. Sin embargo, la velocidad también puede aumentar los riesgos de seguridad. Lograr el equilibrio entre el aumento de la agilidad del negocio y asegurar la seguridad de la información requiere sumar el equipo de seguridad en la metodología de DevOps.
Sin embargo, esto conlleva varios desafíos, incluyendo el tiempo y el esfuerzo que se necesitan para romper las barreras culturales que separan los papeles de seguridad y DevOps.
La mayoría de los negocios que han apostado por un modelo de DevOps y lo han hecho con éxito han integrado a sus equipos de seguridad en su metodología existente. Y lo han marcado como una prioridad. Quienes han pasado por esta experiencia aseguran que la integración ha mejorado la agilidad de desarrollo y la seguridad de la información.
Es más, se considera que de no hacerse así, se crearían problemas que afectarán las bases de sus negocios.
Si no sabe cómo empezar para hacer esta integración, el primer paso es designar a una persona que lidere el proceso. Esta persona será la encargada de impulsar este cambio cultural necesario, definiendo claramente los roles que la TI, la seguridad y DevOps jugarán, y supervisará la integración de estos equipos y de las personas que lo conforman.
Este "líder" puede ser el CIO o el responsable de riesgos, así como cualquier persona que tenga la capacidad de evangelizar y reunir a la gente. Debe ser un apasionado por este cambio y entiende que hacerlo ayudará a todo el negocio a tener éxito.
Es posible que se necesite más de un evangelista, con un representante de diferentes orígenes y roles dentro de sus equipos técnicos.
Además, no debe minusvalorar al equipo de seguridad, sio que debe estar al mismo nivel. De hecho, debería tener también a un líder de seguridad en todas las iniciativas de DevOps e involucrarlas desde el principio.
Con demasiada frecuencia, la seguridad es el guardián al final del ciclo de vida del desarrollo y puede considerarse como un obstáculo. Después de todo el trabajo que se lleva a cabo en la construcción y prueba de una aplicación, cuando está completa la seguridad entra en el proceso. Y es cuando suele encontrar problemas que impiden un proceso de despliegue rápido. El enfoque más rentable y eficiente es involucrar la seguridad mucho antes. De esta manera, todos saben cuáles son los objetivos en el primer día.
También se recomienda automatizar las prácticas de seguridad básicas dentro del flujo de trabajo de DevOps, incluyendo la administración de certificados, el parcheo, el análisis de vulnerabilidades y el análisis de código estático.
El objetivo es simplificar el proceso de desarrollo e incluir procedimientos de seguridad. Por ejemplo, considere el análisis de vulnerabilidades, que garantiza que las bibliotecas con las que trabajan sus desarrolladores estén actualizadas con todos los parches de seguridad. Si no, perderás tiempo y dinero.
La administración de certificados presenta otra oportunidad para la automatización. En lugar de solicitar a su equipo de seguridad un certificado digital al iniciar un nuevo proyecto, automatice el proceso de solicitar y aprovisionar un certificado para hacerlo más eficiente y reducir significativamente el riesgo.
Por último, puede implementar controles en los procesos de administración de certificados e integrarlos con las plataformas de configuración y orquestación de servidores para permitir la seguridad automatizada detrás de escena. Busque estandarizar siempre que sea posible.
El proceso de integración de seguridad y DevOps no es fácil ni rápido, pero vale la pena el esfuerzo. Las empresas encuestadas que han terminado la integración son mucho más propensas a sentir que lo están haciendo bien con la seguridad de la información, cumpliendo con plazos de entrega de aplicaciones y reduciendo los riesgos de seguridad de las aplicaciones.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.