Estandarización de la ciberseguridad federal con DevSecOps

  • Seguridad Inteligente

ciberseguridad EELL

Con la Orden Ejecutiva del Presidente Biden sobre la Mejora de la Ciberseguridad de la Nación y la publicación por parte de las agencias federales de las mejores prácticas de DevSecOps basadas en el Marco de Seguridad Duradera, las organizaciones gubernamentales están apuntalando y estandarizando sus procesos de DevSecOps para hacer frente a los desafíos de ciberseguridad actuales.

Integrar la seguridad en el proceso de desarrollo es especialmente importante para las agencias federales que han invertido mucho tiempo, esfuerzo y dinero en la creación y funcionamiento de fábricas de desarrollo de software. Estas agencias están tratando activamente de equilibrar la seguridad y la innovación, y muchas lo están consiguiendo. El programa Kessel Run de las Fuerzas Aéreas de Estados Unidos es un ejemplo de fábrica de software innovadora y bien gestionada.

La pregunta es: ¿cómo pueden continuar con este éxito a medida que los llamamientos a la ciberseguridad estandarizada son cada vez más fuertes?

El delicado equilibrio entre seguridad e innovación

Es difícil equilibrar la seguridad y la innovación y envolver ambas en un proceso estandarizado. Desde luego, no es imposible, como demuestra Kessel Run. Pero requiere un alto nivel de rigor para garantizar que las aplicaciones se desarrollen a gran velocidad y, al mismo tiempo, se dedique el tiempo necesario para mitigar y minimizar los riesgos y vulnerabilidades de seguridad. 

Proyectos como Kessel Run y otros funcionan bien en parte porque incorporan la seguridad al proceso de desarrollo desde el principio. Este principio básico de DevSecOps permite a los equipos integrar y estandarizar la seguridad a lo largo de sus ciclos de desarrollo sin perder el ritmo. 

Sin embargo, estos esfuerzos de estandarización presentan desafíos que inhiben las prácticas de DevSecOps. 

En primer lugar, muchos organismos públicos siguen trabajando con sistemas y conjuntos de herramientas heredados en lugar de con las tecnologías modernas a las que tienen acceso muchas empresas comerciales que emplean DevSecOps. Estas tecnologías pueden incluir todo, desde plataformas de colaboración hasta aplicaciones de mensajería, pasando por plataformas subyacentes que unen todo el trabajo que se realiza. 

En segundo lugar, a pesar del compromiso de la Administración con la innovación, en muchos sectores del sector público aún persisten viejas formas de pensar. Algunas personas importantes siguen pensando: "¿Por qué cambiar si el correo electrónico ha funcionado bien durante todos estos años?". Esas personas no ven inmediatamente el valor de modernizar sus conjuntos de herramientas y prácticas.

Pero las tecnologías y procesos anticuados no ayudarán a los organismos públicos a equilibrar la seguridad y la innovación, y no funcionarán con las nuevas políticas y mandatos de ciberseguridad. Por ejemplo, la OE del presidente Biden está llena de alusiones a garantizar la visibilidad de las prácticas de desarrollo de software y la cadena de suministro de software. Hacer ambas cosas requiere que los desarrolladores, los directores de seguridad y los directores de operaciones estén en la misma página y en constante comunicación en todos los niveles del ciclo de desarrollo. 

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de IT Híbrida incluyen diferentes vías de actuación: la gestión de aplicaciones, la gestión de las operaciones de IT (ITSM), la modernización de aplicaciones y la ciberseguridad inteligente. Puedes obtener más información sobre cómo abortar estos retos e innovar haciendo clic en cada una de las líneas de acción o visitando el sitio web de Micro Focus en este enlace.