DevSecOps: incorporación de una práctica de seguridad en su enfoque DevOps
- Gestión de apps
Es obvio que el elemento de seguridad no puede verse comprometido ni siquiera en la más pequeña de las infraestructuras de TI actuales, competitivas y rápidas. Sin embargo, para mantenerse al día con los rápidos desarrollos de otros procesos en este mundo ágil, a la seguridad a menudo se le da relativamente menos importancia y, en algunos casos, incluso se la deja atrás. Como sugiere el término, DevSecOps se ocupa principalmente de la incorporación de la seguridad en la cartera de DevOps.
La función principal prevista de DevSecOps es ayudar a superar la barrera antes mencionada extendiendo el marco convencional de DevOps e inculcando las pruebas de seguridad mediante diversas herramientas de seguridad.
Por qué DevSecOps es importante
Dado que la tasa de delito cibernético en los últimos años ha aumentado a un ritmo significativamente alto, la necesidad de adopción e implementación de DevSecOps también se está intensificando. Un estudio analítico de Cybersecurity Ventures predice que los daños incurridos por el delito cibernético ascenderán a los 6 mil millones de dólares anuales para el año 2021, el doble de los 3.000 millones en 2015. Como los beneficios obtenidos de la implementación están vinculados directamente con la reducción de ciberataques, DevSecOps es convirtiéndose en el centro de atención de los responsables de la toma de decisiones de TI.
Los siguientes factores constituyen el núcleo del enfoque DevSecOps y son la clave para una implementación exitosa:
Automatización
Si bien el concepto de DevOps gira en torno a la automatización de las secciones de compilación, prueba e implementación, DevSecOps también se centra en la automatización de la seguridad. La automatización es crucial ya que la seguridad, además de poder ser escrupulosa y completa, también tiene que ponerse al día con los ciclos de liberación mucho más rápidos impulsados por DevOps. El objetivo de DevSecOps es automatizar todos los controles de seguridad, eliminando así la necesidad de interferencia manual.
Gente, Proceso y Tecnología
El trío de personas, procesos y tecnología es el pilar e influye directamente en el grado de éxito de cualquier enfoque y práctica de DevSecOps. Las personas -consideradas como el eslabón más débil de las tres- son los especialistas en seguridad y la integración del equipo de seguridad con el equipo de desarrollo. El nombramiento de "defensores de la seguridad" que forman un equipo interfuncional para trabajar en la seguridad de las aplicaciones es un elemento clave de la práctica de las personas. El proceso implica estandarizar el flujo de trabajo, la documentación y la ejecución del mismo para garantizar que la seguridad sea transparente con otros procesos en el flujo de trabajo. La tecnología se refiere a las diversas facetas desplegadas en DevSecOps, como la administración automatizada de vulnerabilidades, el escaneo automatizado de cumplimiento, etc., cuyas aplicaciones están directamente involucradas en la implementación.
Diferentes herramientas para diferentes funciones
Hay una serie de herramientas de seguridad que se especializan en varios aspectos del enfoque de DevSecOps, que incluyen pruebas, administración de secretos, modelado de ataques y equipo rojo. Seleccionar la herramienta adecuada para la función correcta es primordial y no siempre es fácil, ya que muchos de ellos aún se encuentran en la fase emergente.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.