Las agencias federales comparten las directrices de DevSecOps
- Gestión de apps
La Agencia de Seguridad Nacional (NSA), la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) y la Oficina del Director de Inteligencia Nacional (ODNI) han publicado un conjunto de mejores prácticas de DevSecOps basadas en el Marco de Seguridad Duradera (ESF).
Desarrollado por un grupo de trabajo intersectorial público-privado liderado por la NSA y la CISA, el marco ESF se creó a raíz de la violación de la cadena de suministro de software de SolarWinds que llevó a la distribución de malware a una serie de organizaciones que dependían de la plataforma de gestión de TI de la empresa.
El conjunto de mejores prácticas para asegurar la cadena de suministro de software para desarrolladores, publicado por la NSA, CISA y ODNI, lleva al FSE un paso más allá. El documento guía a las organizaciones a través de los procesos necesarios para desarrollar un código seguro, verificar los componentes de terceros, endurecer los entornos de construcción y entregar el código.
Las mejores prácticas proporcionadas son el último dividendo de una orden ejecutiva emitida por la administración Biden que requiere que cada agencia federal revise la seguridad de sus cadenas de suministro de software. Se espera que las organizaciones informáticas de las empresas realicen revisiones similares utilizando las mejores prácticas y los marcos definidos por las agencias federales especializadas en ciberseguridad.
El reto, por supuesto, es integrar esas mejores prácticas en los flujos de trabajo existentes de DevOps. En teoría, la responsabilidad de la ciberseguridad se está desplazando hacia los equipos de desarrollo de aplicaciones. Sin embargo, el nivel de experiencia en ciberseguridad que existe hoy en día entre los desarrolladores de aplicaciones es limitado en el mejor de los casos. La ciberseguridad era una asignatura optativa en la mayoría de los programas de formación y educación de los desarrolladores, por lo que no debería sorprender que pocos de ellos hayan asistido a una clase de ciberseguridad.
No está claro hasta qué punto las directrices del gobierno federal podrían afectar al estado general de la seguridad de las aplicaciones. Sin embargo, de una forma u otra, el nivel de escrutinio de seguridad que se aplica a la forma en que se construyen y entregan las aplicaciones sólo va a aumentar en los próximos meses. El reto consiste en encontrar la manera de ofrecer un código seguro sin reducir necesariamente el ritmo de creación e implantación de las aplicaciones.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.