Fomento de la colaboración entre AppSec y DevOps

  • DevOps

Adobe aplicaciones desarrollador

Hasta hace poco, los equipos de DevOps y los equipos de AppSec estaban completamente aislados. Los equipos de DevOps trabajaron para acelerar la velocidad a la que se lanzan las aplicaciones a la empresa; los equipos de seguridad de la aplicación solo se involucraron en las etapas posteriores. Sin embargo, este proceso ha causado problemas de seguridad, particularmente a medida que más organizaciones avanzan hacia un desarrollo ágil.

Cuando los equipos de seguridad finalmente consiguieron nuevas aplicaciones y actualizaciones, inevitablemente se encontraron fallas de seguridad que causaron retrasos y fricciones con los equipos de DevOps.

Sin embargo, a medida que las organizaciones comienzan a adoptar DevSecOps y cambian las estrategias a la izquierda, estos dos equipos previamente aislados se ven obligados a trabajar juntos más de cerca. Entonces, ¿cómo se puede reducir la fricción y salvar la desconexión?

Culturalmente, algunas actitudes y comportamientos arraigados desafían el éxito de cualquier esfuerzo de DevSecOps. Los equipos de seguridad han visto que los procesos de DevOps aceleran la velocidad a la que se entrega el software, pero sin consideraciones de seguridad, mientras que los equipos de DevOps experimentaron que la seguridad ralentizaba los procesos y proporcionaba resultados y comentarios inconsistentes sobre problemas de seguridad. Cada parte tiene su propio gerente para complacer; su propio conjunto de métricas con las que se miden y una lista de prioridades tan larga como sus brazos. Ambos equipos siguen diferentes procesos y, lo que es más importante, utilizan diferentes herramientas. DevOps no puede sortear la complejidad de las herramientas de seguridad y la falta de integración con su conjunto de herramientas existente y los equipos de seguridad no tienen control sobre la canalización de CI para implementar mejor la garantía de seguridad.

Una de las mejores formas de superar esta fricción es mediante una mejor tecnología, procesos y cultura que permitan la colaboración entre equipos. En primer lugar, los equipos de DevOps se preocupan por la seguridad, pero podría estar más abajo en su lista de prioridades. Los equipos de seguridad deben comprender que los equipos de DevOps se preocupan por el código, la calidad y la eficiencia. No son expertos en seguridad y el hecho de que una organización se esté desplazando a la izquierda no significa que necesiten convertirse en uno. En cambio, las organizaciones deberían implementar herramientas para DevOps donde las comprobaciones de seguridad se puedan integrar fácilmente.

Entonces, ¿qué pueden hacer las organizaciones para mejorar la colaboración entre los equipos de AppSec y DevOps para lograr DevSecOps?

DevSecOps es una cultura y requiere un cambio de pensamiento. Los equipos de seguridad y los equipos de DevOps deben comprender las prioridades de los demás y comprender que, al trabajar juntos, están mejorando la seguridad general de la organización y disminuyendo el riesgo de ataques cibernéticos. ¿El equipo de DevOps comprende los riesgos potenciales que una vulnerabilidad podría tener en la organización en general? De lo contrario, los equipos de seguridad deben educarlos.

Las herramientas de automatización de seguridad ofrecen un gran apoyo cuando las organizaciones se están moviendo a DevSecOps, ya que permiten que los errores y las vulnerabilidades se marquen automáticamente a medida que se desarrollan las aplicaciones. Esto permitirá que se aborden antes de que los servicios se activen; sin embargo, debido a que generan alertas frecuentes, esto podría sumarse a las cargas de trabajo ya ocupadas de DevOps. Al implementar herramientas que se pueden sincronizar con las canalizaciones de CI / CD y proporcionar avisos personalizados para que los equipos de DevOps puedan abordar los errores por sí mismos sin tener que preguntar a los equipos de AppSec, esto puede acelerar significativamente el proceso, reducir la fricción y facilitar las cargas de trabajo.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.