DevOps en la nube: el día de la marmota de la seguridad
- Gestión de apps
El futuro se convirtió en la revolución de la nube y nos sumió en la misma tendencia de seguridad que vimos hace dos décadas. De hecho, cuando se trata de implementar aplicaciones en la nube, los profesionales de la seguridad probablemente se relacionen con el personaje de Bill Murray en "El día de la marmota": da igual la tecnología en sí, siempre reviven la misma escena, independientemente de lo que hagan.
Desde la aparición de la computación en la nube, las empresas una vez más se han apresurado a aprovechar un nuevo paradigma de implementación, y están priorizando factores como la escalabilidad, la disponibilidad y la contención de costos, dejando la seguridad como algo secundario. A medida que los equipos de DevOps lideran las iniciativas de transformación de negocios hoy en día muy publicitadas, ganan un estatus elevado dentro de las empresas.
Quizás el desarrollo más importante ha sido que los equipos de DevOps obtengan el control de la infraestructura, sin mencionar el desarrollo e incluso las cadenas monetarias corporativas. Si bien estos equipos siguen sus propias mejores prácticas, sus procesos y protocolos a menudo no se alinean con el modelo de seguridad empresarial de su organización. Además, muchos proveedores de la nube trabajan cada vez más directamente con el personal de DevOps, eludiendo a los equipos de TI, seguridad y negocios. Esto no sólo ha erradicado la colaboración interdepartamental que surgió para gestionar el riesgo después de la primera generación de aplicaciones de Internet, sino que también se han desintermediado los procesos tradicionales de TI y seguridad de TI.
El resultado neto es que, incluso si una empresa entiende la importancia de la seguridad, ningún equipo o persona es directamente responsable de ello, ya que ese personal ha sido desintermediado. Esto deja un gran vacío en las estrategias de nube empresarial, que se debe en gran parte a la confusión relacionada con el modelo de responsabilidad compartida en la computación en la nube. Muchas organizaciones asumen incorrectamente que la seguridad de la plataforma en la nube equivale a la seguridad de la aplicación. Pero, solo porque un proveedor de la nube sea compatible con HIPAA, por ejemplo, no significa que una aplicación implementada dentro de ese entorno también lo sea.
Tenemos aplicaciones comerciales críticas expuestas a un entorno completamente nuevo, y la seguridad no está a la vista. Las empresas están avanzando con la migración a la nube sin entender completamente cuáles deberían ser sus requisitos o para qué son responsables los equipos de negocios, TI y seguridad, allanando el camino para una segunda iteración de la epidemia de incumplimiento. Bienvenido al "Día de la marmota de seguridad".
Asegurar la migración de la nube y los procesos de DevOps
No tenemos que cometer los mismos errores con la nube que las empresas crearon cuando implementaron por primera vez las aplicaciones habilitadas para la web internamente. Podemos romper el ciclo repetitivo haciendo que la gestión de seguridad y riesgos sea una parte fundamental de la migración en la nube y los procesos de DevOps. Aquí hay algunas maneras de lograr esto:
Conozca sus datos. Todos los integrantes de su organización tienen la responsabilidad de comprender qué tipo de datos se transfieren a la nube por aplicación, así como qué tipos de controles se requieren para mitigar el riesgo empresarial asociado con esos datos.
Utilice una matriz de arquitectura de referencia para diseñar soluciones seguras por defecto para cumplir con los diferentes requisitos de carga de trabajo. Esto ayudará a los equipos de DevOps a saber cuándo aplicar requisitos más arduos y cuándo los datos de menor riesgo necesitan menos controles.
Verifique sus planes regularmente. La agilidad requiere compromisos, y la nube se mueve rápidamente. Sin un monitoreo continuo y pruebas rigurosas, no puede estar seguro de que lo que quería construir realmente lo hizo en producción.
Finalizando el 'Día de la Marmota'
Muchas compañías están avanzando con DevOps en la nube sin darle un segundo pensamiento a la seguridad, y las consecuencias resultantes son la pausa de otras organizaciones. En la película "Día de la Marmota", el personaje de Bill Murray tuvo que volver a examinar su vida para romper el ciclo de tiempo interminable. DevOps estaría bien servido para hacer lo mismo: reconsiderar la seguridad y convertirla en un punto focal en la migración y los procesos en la nube. Así es como DevOps puede evitar repetir los errores del pasado. Lo más importante, es necesario que haya un cambio en la mentalidad de DevOps.
La seguridad no debe ser la razón por la que las organizaciones dicen "no" a la adopción de la nube. Cuando se realiza como parte del proceso, en realidad se convierte en la clave para desbloquear la nube. Hacer que la seguridad sea parte del proceso es cómo evitar el "Día de la marmota".
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.