Implementación de DevSecOps en la empresa basada en mainframe

En el paradigma de SaaS, una sola aplicación brindará servicio a varias empresas y brindará a cada usuario de la empresa acceso a datos y funcionalidad basados ​​en el plan de suscripción de una compañía determinada.

Cada compañía y cada empleado dentro de una empresa tendrá derechos de acceso particulares a la aplicación. Un paradigma en el que hay una aplicación que presta servicios a millones, tal vez miles de millones de usuarios, requiere un enfoque integral de la seguridad. La más mínima violación puede causar estragos. Imagínese lo que sucedería si una aplicación SaaS contuviera un defecto que permitiera a una empresa ver los datos financieros de su competidor que también se suscribió al SaaS.

Dado que Internet es la red de facto para todo el mundo, las preocupaciones de seguridad actuales van más allá de restringir el acceso a la red. Mantener a los malos actores es cada vez más difícil. La triste realidad es que un actor aparentemente bueno puede convertirse instantáneamente en un mal actor y causar estragos no solo en los servidores de la red -como es el caso de un ataque DDos- sino también en la capa de aplicaciones.

Este es un hecho revelador y no está en la mente de la mayoría de los desarrolladores de aplicaciones. Pero, podría ser, si los desarrolladores tuvieran el beneficio de la experiencia y la orientación continua requerida para implementar seguridad a prueba de balas en el nivel de la aplicación.

Lo que nos lleva al mainframe.

En el mundo actual de computación en la nube moderna basada en la web, el mainframe es un jugador importante. El setenta por ciento de los datos corporativos vive en un mainframe. Además, ahora que el sistema operativo Linux es generalizado en el entorno mainframe, los desarrolladores de aplicaciones de nivel empresarial pueden, y escriben, código Java, Python y NodeJS para Big Iron tal como lo hacen para los entornos de productos X86.

Estas son buenas noticias.

Las malas noticias son que los desarrolladores de aplicaciones simplemente no son tan expertos en las mejores prácticas de seguridad. No tienen la experiencia de un profesional de CISSP que ha pasado años, sino décadas, en las trincheras luchando contra los malos en el ciberespacio. Pero eso fue entonces y esto es ahora. Hoy tenemos DevSecOps.

DevSecOps es la próxima generación de transformación de TI. El objetivo de DevOps es crear una cultura de TI unificada, automatizada y autocorrectiva. DevOps combina el desarrollo y las operaciones en una sola organización centrada en la creación e implementación de software de calidad a tasas cada vez mayores. DevSecOps agrega seguridad a la mezcla. El alcance de la actividad de DevSecOps no se limita al desarrollo de software para servidores X86 basados ​​en productos básicos y dispositivos móviles. DevSecOps está destinado a aplicarse en todas las facetas de la empresa, desde el móvil al mainframe.

DevSecOps trata de muchas cosas. Se trata de la adopción de herramientas que permite a una empresa implementar y monitorear una variedad de pruebas (web, móvil, dinámica, estática e interactiva) en un tablero unificado. Puede incluir el uso de Contenedores de servicios seguros para garantizar la seguridad y protección externas contra amenazas internas.

DevSecOps se trata de establecer un conjunto de políticas, junto con balances y balances operativos apropiados, que aseguren que la empresa siga las mejores prácticas de seguridad en todo momento. Se trata de seguir prácticas que van más allá de las pruebas de seguridad episódicas. Esto significa analizar continuamente la infraestructura de TI para identificar vulnerabilidades, así como definir formas de mitigar los riesgos y priorizar las actividades de prevención en consecuencia. Significa hacer que el cumplimiento de normativas como GDPR, PCI-DSS, PA-DSS, ISO 27001 e ISO 27002, HIPAA, GLBA y Basilea III sean una responsabilidad de toda la empresa, no solo algo aislado del Departamento de Cumplimiento.

DevSecOps trata de actuar de manera proactiva mediante el uso de la automatización para inspeccionar rigurosamente todos los códigos y descubrir posibles peligros. Significa usar HTTPS como el protocolo predeterminado para las URL públicas. Significa asegurarse de que todos los componentes de terceros se crean a partir del código fuente siempre que sea posible y, si no es posible compilar contra el origen, garantizar que una autoridad aceptada certifique la seguridad de los componentes y bibliotecas de terceros.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.