Los CISOs deben hacerse cargo de la seguridad de DevOps

A medida que la transformación digital está empujando a más empresas a adoptar DevOps para satisfacer sus necesidades de un mejor software entregado más rápido y con mayor frecuencia, un gran problema persiste en este cambio estratégico de negocios: la seguridad.

Mientras que las empresas prestan una gran cantidad de servicios a la ciberseguridad, la prisa por producir nuevo software y actualizar esas aplicaciones significa que la seguridad a menudo se omite en nombre de la velocidad y la innovación. Al mismo tiempo, InfoSec se ve como una barrera incómoda para lo que el equipo de DevOps está tratando de lograr.

A pesar de estas actitudes, es imperativo que la seguridad sea parte de las conversaciones de DevOps, y es la empresa CISO la que debe liderar ese cargo.

En un informe publicado el mes pasado, se encuestó a 1.000 CISO en todo el mundo para evaluar cómo hacer que DevOps sea más seguro y para garantizar que el equipo de ciberseguridad esté hablando con el CIO y otros ejecutivos que supervisan el proceso de DevOps para consolidar la buena ciberseguridad.

El informe, "Protección del acceso privilegiado en DevOps y entornos de nube", en realidad omite el término más moderno de DevSecOps a favor de un enfoque más holístico que convierte al componente de seguridad en el comienzo del ciclo de desarrollo de aplicaciones.

El término DevSecOps puede limitar la capacidad de los CISO para ofrecer formas de asegurar el desarrollo de aplicaciones al principio del proceso y garantizar que las actualizaciones incluyan buenas prácticas de ciberseguridad. 

Esto significa que la seguridad es parte de cada conversación de DevOps, lo que incluye hacerlo parte de la contratación, capacitación, creación de mapas de ruta, diseño de características, arquitectura, estándares de codificación, prácticas de revisión de códigos, integración continua/entrega continua (CI/CD), operaciones, seguimiento y mantenimiento.

El informe deja en claro que muchas de las herramientas necesarias para que DevOps tenga éxito dentro del negocio son un objetivo tentador para los delincuentes cibernéticos que buscan profundizar más en la red corporativa.

Otros objetivos incluyen herramientas de CI/CD para la administración de la configuración así como herramientas para ejecutar pruebas y compilaciones automatizadas.

Otra señal de alerta para los equipos de seguridad y CISO es GitHub, ya que los desarrolladores tienden a tener varias cuentas y, a veces, pueden mezclar código de proyectos personales y corporativos. Un ataque cibernético que usa métodos de fuerza bruta a veces puede dejar el código expuesto. Dado que muchos desarrolladores introducen algunos secretos en el código, como las credenciales de la base de datos, esto puede exponer los datos de la empresa y los clientes.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.