SecDevOps: la madurez de DevOps

SecDevOps“El software se está comiendo el mundo”. Esta frase tan provocadora era el tema central de un artículo de Marc Andreessen en el Wall Street Journal, allá por 2011. Y su contenido sigue siendo válido: la mayoría de las empresas más poderosas del mundo son empresas relacionadas de algún modo con el software. No solo eso, muchas empresas tradicionales están reorientando sus negocios de forma que se parecen cada vez más a una empresa de software (la banca, sin ir más lejos). Esto que ha venido a llamarse la transformación digital está motivado por muchas causas como la ubicuidad de Internet, pero uno de los factores fundamentales es que muchos de los procesos que tradicionalmente implicaban elementos físicos ahora pueden hacerse de forma virtual por una fracción del coste.

Uno de los obstáculos para esta transformación es que en el mundo real los procesos de operaciones utilizan piezas estandarizadas y probadas (ya sea una tuerca, un motor o el timón de cola de un avión). En el mundo software, en cambio, esas piezas son intangibles, y su puesta en producción siempre ha estado muy vinculada a los propios desarrolladores (¿alguien se imagina tener que llamar a la ferretería cada vez que tuviésemos que poner un tornillo? En cierto modo esa situación la viven muchos administradores de sistemas al instalar una nueva versión de software).

Esta separación entre los desarrolladores y los operadores es la que aspira resolver la filosofía DevOps: acortar la distancia que separa esos dos ámbitos mediante una serie de herramientas y prácticas que facilitan al desarrollador desplegar sus productos y al operador ejecutarlos y mantenerlos de la forma menos disruptiva posible. El objetivo siempre es acortar tiempos e incorporar nuevas funcionalidades de forma ágil; Agile es precisamente otra de las metodologías que orbitan alrededor de DevOps.

Igual que con el desarrollo y las operaciones, la seguridad siempre ha trabajado en su propia parcela, separada de las anteriores: conseguir conectar un nuevo sistema a la red pasando por el cortafuegos corporativo supone en muchas empresas una pesadilla más burocrática que técnica. No es viable mantener esa forma de trabajar si queremos un flujo continuo de entregas como el que propugna DevOps; pero el aspecto que más se descuida con este enfoque es la ciberseguridad. El lema clásico de los desarrolladores de Facebook “muévete rápido y rompe cosas” es una invitación a añadir nuevas funcionalidades con la tranquilidad de que los fallos se corregirán pronto. Sin embargo la ciberdelincuencia también es muy rápida y puede aprovechar esos resquicios apenas los detecta; de la misma manera que las empresas intentan automatizar sus procesos software, hay ejércitos enteros de bots buscando vulnerabilidades en los servidores web expuestos a Internet.

Se hace preciso por tanto adoptar la misma filosofía DevOps al mundo de la seguridad y tender hacia SecDevOps; una filosofía de trabajo en la que el objetivo no es una cadena de producción con principio, final y fronteras estrictas entre equipos, sino un proceso iterativo en el que cada equipo complementa las funciones del otro. La inclusión de la ciberseguridad, que transforma DevOps en SecDevOps puede usarse entonces como una medida de la madurez de estos procesos. En efecto, para asegurar que en nuestro esquema DevOps no estamos dejando de lado la gestión de riesgos y de vulnerabilidades debemos:

– Integrar en el ciclo DevOps las mejores prácticas de seguridad, desde la fase de diseño (Secure by Design).

– Incorporar a las operaciones herramientas que automaticen las operaciones de seguridad al máximo.

– Asumir, en definitiva, que la seguridad es un proceso y que puede (y debe) gestionarse su ciclo de vida de una forma integrada con el desarrollo y las operaciones.

Autor: José Pedro Mayo

 

Las opiniones vertidas por el autor son enteramente suyas y no siempre representan la opinión de GMV
The author’s views are entirely his own and may not reflect the views of GMV
Share

    Deja un comentario

    Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

      I accept the privacy policy Acepto la Política de Privacidad

    Basic Data-Protection information:

    Data-protection supervisor: GMV Innovating Solutions SL
    Purpose: Answer questions, respond to user complaints and recommendations, receive job applicants resumes and career information.
    Legitimation: Consent of data subject
    Addresses: Grupo GMV companies
    Rights: Access, rectify and cancel data plus other rights, as explained in additional information
    Additional information: You can check out the additional and detailed data-protection information on our website:Privacy Policy

    Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

    WP-SpamFree by Pole Position Marketing

    734 Total Views