CIBERSEGURIDAD

Los efectos de DevOps en la seguridad empresarial

0 104 2 minutos de lectura


La cultura DevOps hace que las cosas sucedan más rápido. Entrega más rápida, pruebas más rápidas, lanzamiento más rápido. Por un lado, agrega control sobre lo que está sucediendo en la infraestructura. Puede recuperarse más rápido. Puede volver a implementar los componentes de su aplicación comprometidos. Puede volver a la compilación anterior. Por otro lado, los cambios rápidos significan decisiones rápidas. Algunas vulnerabilidades de seguridad pueden pasar por pruebas automáticas. Algunas herramientas de DevOps también pueden verse comprometidas. Experimentamos un problema de seguridad cuando el malware infectó el servidor Jenkins de uno de nuestros clientes e implementamos software de minería de criptomonedas en todos los hosts disponibles.

¿Por qué las organizaciones deberían integrar la seguridad en DevOps?

La flexibilidad tiene el precio de cambios constantes. Para controlar lo que cambia constantemente, necesitamos incorporar la seguridad como un proceso. La única forma de hacer que el desarrollo de software acelerado sea seguro es integrar la seguridad en todo el ciclo de vida de la entrega. La arquitectura, la infraestructura, el desarrollo, la construcción y la implementación, las pruebas, la publicación, la recopilación de comentarios, el soporte y los procesos de parcheo deben incluir la seguridad como una de las principales consideraciones.

¿Qué pasos se deben tomar para hacer esto?

  • Los expertos en seguridad son raros en el mercado. Pero puede comenzar definiendo a las personas conocidas como campeones de seguridad en cada Equipo Scrum. Esas personas asumirán la responsabilidad de la seguridad durante el proceso de desarrollo.
  • En segundo lugar, debe insertar el proceso de modelado de amenazas en el refinamiento de su trabajo pendiente. Esto ayudará a modelar las amenazas para las funciones de la próxima versión y crear pruebas para ellas.
  • Basándose en el modelado de amenazas, debe crear puertas de seguridad de prueba automáticas y ponerlas en el canal de entrega.
  • Además, los campeones de seguridad deben incluir preguntas de seguridad en el procedimiento de revisión del código.
  • Agregue monitoreo continuo y procesos de corrección continuos a la integración, prueba e implementación continuas.

¿Cuáles son los principios clave de DevSecOps y cómo ayudan a las organizaciones a mejorar la seguridad desde el diseño?

  • La seguridad es un proceso, no un resultado.
  • El objetivo principal de la seguridad es reducir los riesgos para el negocio.
  • DevOps mejora la capacidad de cambiar, DevSecOps mejora nuestra capacidad de controlar los cambios.
  • Todo el proceso de entrega, desde la idea hasta la producción, requiere seguridad.
  • Cada integración crea vulnerabilidad.
  • No puede estar seguro, pero puede estar lo suficientemente seguro.
  • La tecnología no es una panacea.
  • Un buen ciclo de retroalimentación funciona mejor que una buena planificación inicial.
  • No puedes responder a lo que no ves. La tala es fundamental.

¿Qué es el cumplimiento como código y cómo puede ayudar a las organizaciones / equipos?

Uno de los obstáculos más comunes en el camino de la seguridad es que los requisitos de cumplimiento se pueden ignorar fácilmente. El cumplimiento como código es un proceso para automatizar las verificaciones de cumplimiento y hacer que el cumplimiento sea inmutable a través del proceso de entrega. Esto ayuda a formalizar los requisitos de seguridad y garantizar que se verifiquen. A excepción de las comprobaciones formales y la búsqueda de errores, también ayuda a crear una cultura en la que todos sepan que la seguridad es importante y le prestarán atención.

¿Qué sigue para DevSecOps?

El desarrollo de software moderno cambió mucho desde que DevOps se convirtió en algo. Una combinación del proceso iterativo, la cultura y las herramientas de automatización hizo que la entrega de software fuera mucho más rápida. Esto eliminó muchas limitaciones e hizo que la cantidad se convirtiera en una nueva cualidad. En el futuro más cercano, espero que DevSecOps incluya cada vez más prácticas adicionales. Por ejemplo, en Ciklum creamos un Centro de excelencia llamado “Calidad de ingeniería” que incluye DevOps, Automatización de control de calidad, Pruebas de penetración, Pruebas de rendimiento y Soporte combinados. Esto nos permite cubrir todos los aspectos de la calidad del software y acortar los ciclos de retroalimentación entre todas las partes interesadas.

Publicaciones relacionadas

44CON CS – El miedo puede ser la peor herramienta educativa

La inteligencia israelí ayuda a disuadir los intentos de piratería en los Emiratos Árabes Unidos

El impacto de la automatización de la seguridad en las tendencias de contratación

No hay suficientes empresas que mantengan segura la información de pago

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar