Por qué resulta difícil implantar con éxito DevSecOps

  • DevOps

exito_negocio_equipo

A medida que los programas de transformación digital siguen siendo una firme prioridad para muchos directores generales, las organizaciones están adoptando cada vez más arquitecturas nativas de la nube para ampliar sus prácticas de DevOps y construir plataformas de desarrolladores que impulsen la innovación.

Sin embargo, estos rápidos ciclos de desarrollo están ejerciendo presión sobre la seguridad empresarial, ya que los procesos dirigidos por los desarrolladores no siempre están alineados con las políticas y prácticas de seguridad de TI.

La nueva cultura de hacer que los equipos de desarrolladores vayan más rápido está exponiendo la infraestructura de la plataforma a nuevos tipos de vulnerabilidades de seguridad. De hecho, según una encuesta reciente, el 52% de las empresas admitió haber recortado las medidas de seguridad para cumplir un objetivo empresarial, dejando potencialmente las plataformas vulnerables a la explotación y la ciberdelincuencia. En un mundo en el que prospera la automatización, aplicar las políticas de seguridad para que funcionen junto con ciclos de despliegue cada vez más rápidos es un reto complejo.

Al reto de la seguridad se suma la creciente popularidad de Kubernetes como sistema de orquestación de contenedores y la necesidad de incorporar políticas de desarrollo o "barandillas" que establezcan las mejores prácticas para los desarrolladores sin ralentizarlos. Al ofrecer flexibilidad y una experiencia basada en código declarativo, Kubernetes se ha convertido rápidamente en la plataforma número uno elegida por los desarrolladores para las aplicaciones alojadas en la nube. Una encuesta realizada en 2021 por la Fundación de Computación Nativa en la Nube descubrió que un asombroso 96% de los encuestados afirmó estar utilizando o evaluando Kubernetes.

Sin embargo, como tecnología de código abierto, Kubernetes está en constante evolución y mejora la velocidad para los desarrolladores, por lo que los equipos de seguridad deben recomendar soluciones de herramientas de seguridad integradas que puedan ser fácilmente adoptadas por los equipos de desarrolladores y satisfacer su necesidad de automatización.

Las soluciones de gestión de identidades de máquinas pueden ofrecer a los desarrolladores los medios para automatizar la emisión y renovación de grandes volúmenes de certificados. Pero sin políticas de seguridad ni herramientas para conocer el estado de configuración de todos estos certificados, las empresas corren el riesgo de permitir que se manifiesten vulnerabilidades que expongan sus sistemas de plataforma a los ataques.

Para hacer frente a este problema, las empresas están buscando formas de acercar los equipos de seguridad y de desarrollo mediante nuevas prácticas de DevSecOps. Sin embargo, esta necesidad de unir los conjuntos de habilidades de DevOps y de seguridad aún no está proporcionando los niveles de protección que las organizaciones necesitan. Mientras que el 85% de las empresas dicen que el empleo de las mejores prácticas de SecOps es un objetivo importante para ellas, sólo el 35% dice que SecOps es una práctica establecida en sus organizaciones. Como resultado, estamos viendo ataques a gran escala de bandas de ciberdelincuentes como TeamTNT, que se está haciendo conocido por atacar clústeres Kubernetes mal configurados y propagar malware.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.