¿Qué pasa con la seguridad y DevSecOps?

Al integrar las herramientas y estrategias de AppSec en un proceso de DevOps, los desarrolladores pueden encontrar y corregir las vulnerabilidades de seguridad en una fase más temprana del ciclo de vida del software, y no a posteriori. Esta capacidad es la que permite a los desarrolladores generar software seguro y de alta calidad desde el principio, a la vez que evita cualquier retraso en el despliegue derivado de las comprobaciones de seguridad de última hora en producción. Con los procesos de DevSecOps en marcha, las pruebas de AppSec se vuelven fluidas y transparentes para los desarrolladores, que necesitan una experiencia sin fricciones para facilitar el desarrollo y el despliegue de software constante y fiable. 

DevSecOps encaja de forma natural en el modelo de entrega as-a-service. Al igual que DevOps, AppSec implica varias herramientas, políticas y procesos que exigen un cierto grado de experiencia profesional, por no mencionar el tiempo y los recursos que se necesitan para seleccionar, mantener y desplegarlos para impulsar las prácticas de DevSecOps. Los equipos de seguridad y desarrollo que buscan implementar y gestionar DevSecOps pueden obtener grandes beneficios de un proceso definido y gestionado de forma centralizada, que será administrado por un equipo de especialistas y entregado "como un servicio" a los responsables de DaaS.

La estandarización de AppSec a través de una oferta de DevSecOps-as-a-Service garantizaría que la seguridad se aplique de manera uniforme en toda la actividad de DevOps, permitiendo así que las empresas produzcan software seguro y de alta calidad de manera consistente, a la vez que soportan las demandas de cumplimiento de AppSec. Este cambio también establece una base en la que se puede encontrar una visión holística y homogénea de AppSec, que es fundamental para la evaluación y gestión de los riesgos de las aplicaciones y del negocio. 

Desarrollo de métricas DaaS

En primer lugar, no intente hervir el océano midiendo todas las aplicaciones al mismo tiempo. En lugar de ello, elija una aplicación que sea compatible con los procesos de DaaS y designe un equipo especializado para desarrollar métricas para la aplicación. Este equipo puede ser de muchas maneras, pero probablemente incluya a las partes interesadas, a los desarrolladores y a otras funciones de apoyo al DaaS. Los indicadores de nivel de servicio (SLI) y los objetivos de nivel de servicio (SLO) también se incorporan a este modelo, que se eligen para adaptarse mejor a los requisitos de una aplicación individual. 

Una vez que se determinan los SLO más valorados de DaaS, el servicio puede adaptarse para identificar los SLI más críticos. Con este conocimiento, se pueden identificar aspectos como la instrumentación, la telemetría y los requisitos de análisis, y utilizarlos para diseñar alertas, cuadros de mando y analizadores, entre otros. A continuación, el establecimiento de políticas y procedimientos en torno a la responsabilidad establece una solución completa. Y una vez probada la solución para la aplicación elegida, la confianza entra en juego y crea un proceso más fácil para adaptar y ampliar el proceso en torno a otras aplicaciones. 

Esto significa que DaaS puede proporcionar muchas capacidades clave tanto a la organización como a los equipos que dependen de ellas. Un equipo especializado en DaaS puede entonces averiguar las mejores métricas para una mayor implementación en cualquier aplicación. Como resultado, las SLO pueden evolucionar para otras aplicaciones futuras, para ser utilizadas como línea de base para futuras mejoras.

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.