DevSecOps y la seguridad de DevOps

La carrera de seguridad hoy implica que se incorpore al equipo de Ciberseguridad desde el primer día del desarrollo de los sistemas. Las metodologías cada vez mas usadas de desarrollo rápido implican un riesgo de seguridad que debe ser mitigado integrando en el proceso de DevOps los conceptos y estrategias de seguridad. Realizar test de intrusión desde las primeras versiones de las nuevas aplicaciones nos asegura que no vamos a comprometer la seguridad de la información en los procesos de descubrimiento de las necesidades del cliente.

DevOps no solo concierne a los equipos de desarrollo y operaciones. Si desea aprovechar al máximo la agilidad y la capacidad de respuesta de los enfoques de DevOps, la seguridad de la TI también debe desempeñar un papel integrado en el ciclo de vida completo de sus aplicaciones.

¿Por qué? Antes, el papel de la seguridad estaba aislado y a cargo de un equipo específico en la etapa final del desarrollo. Cuando los ciclos de desarrollo duraban meses o incluso años, no pasaba nada. Pero eso quedó en el pasado. Una metodología efectiva de DevOps garantiza ciclos de desarrollo rápidos y frecuentes (a veces de semanas o días), pero las prácticas de seguridad obsoletas pueden revertir incluso las iniciativas de DevOps más eficientes.

Actualmente, en el marco de trabajo en colaboración de DevOps, la seguridad es una responsabilidad compartida e integrada durante todo el proceso. Puesto que es un enfoque tan importante, se acuñó el término "DevSecOps" para enfatizar la necesidad de crear una base de seguridad en las iniciativas de DevOps.

DevSecOps implica pensar desde el principio en la seguridad de las aplicaciones y de la infraestructura. También implica automatizar algunas puertas de seguridad para impedir que se ralentice el flujo de trabajo de DevOps. Para cumplir con estos objetivos es necesario seleccionar las herramientas adecuadas para integrar la seguridad de manera permanente, como acordar el uso de un entorno de desarrollo integrado (IDE) con funciones de seguridad. Sin embargo, la seguridad efectiva de DevOps requiere más que herramientas nuevas; se basa en los cambios culturales de DevOps para integrar el trabajo de los equipos de seguridad lo antes posible.

Ya sea que lo llame "DevOps" o que prefiera "DevSecOps" para incorporar en el nombre la seguridad, lo ideal siempre ha sido incluirla como parte integral de todo el ciclo de vida de la aplicación. El término DevSecOps no se refiere a un perímetro de seguridad que rodea las aplicaciones y los datos, sino a la seguridad integrada. Si esta sigue quedándose al final del proceso de desarrollo, las empresas que adoptan DevOps corren el riesgo de volver a los largos ciclos que pretendían evitar desde el principio.

En parte, DevSecOps destaca la necesidad de invitar a los equipos de seguridad desde el inicio de las iniciativas de DevOps, para que incorporen la seguridad de la información y establezcan un plan para su automatización. También subraya la necesidad de ayudar a los desarrolladores a escribir códigos teniendo en cuenta la seguridad, lo cual implica que los equipos de seguridad compartan su perspectiva, los comentarios y la información valiosa sobre las amenazas conocidas. Posiblemente esto también implique que los desarrolladores tengan que capacitarse en seguridad, ya que el método tradicional para desarrollar aplicaciones no siempre ha hecho hincapié en el tema.

¿Qué significa la seguridad integrada en concreto? Para empezar, una buena estrategia de DevSecOps implica determinar la tolerancia a los riesgos y realizar un análisis de riesgos y beneficios al respecto. ¿Qué cantidad de controles de seguridad es necesaria en cierta aplicación? ¿Qué tan importante es la velocidad de comercialización para las diferentes aplicaciones? La automatización de las tareas repetidas es clave para DevSecOps, ya que la ejecución de comprobaciones de seguridad manuales en el proceso puede requerir mucho tiempo.