A menudo se habla de una tensión entre los equipos de desarrolladores y de la seguridad por lo que hacer que las dos partes trabajen juntas puede parecer una fantasía. Pero la tendencia de shift-left (cambio a la izquierda), que supone el traslado de la seguridad desde el final del ciclo de vida del desarrollo de software a un punto previo del proceso,puede marcar una diferencia real. Al emplear herramientas de seguridad como parte del proceso de desarrollo, los desarrolladores pueden poner fin a su pesadilla de intentar solucionar los fallos de seguridad al final de un proceso de desarrollo.
El potencial para mejorar la conciencia y los procesos de seguridad en DevOps es claro cuando se examina cómo los fallos básicas, pero graves en la seguridad de la nube, continúan siendo un problema. Por ejemplo, el Informe de amenazas en la nube más reciente de nuestro equipo de inteligencia de amenazas, Unit 42, reveló una ciberseguridad deficiente en el software y la infraestructura basados en la nube: el 74% de las instalaciones en la nube que examinaron ejecutaban cargas de trabajo en Google Cloud con privilegios de administrador que no eran lo suficientemente seguros.
“DevSecOps” es el término que resume el cambio cultural que debe ocurrir para poner fin a estas y otras deficiencias. Con DevSecOps, los equipos que crean aplicaciones no solo deben saber cómo se desarrolla e implementa el código en la nube y en otros lugares, sino también cómo se protege en las operaciones. DevSecOps significa integrar la seguridad en todo para que todos los puntos de contacto, en el ciclo de vida del desarrollo de software, contengan un elemento de seguridad.
El objetivo de DevSecOps es hacer que tanto DevOps como los procesos de seguridad sean mucho más eficientes y permitir detectar posibles problemas mucho antes.
Abriendo las líneas de comunicación
Entonces, con esto en mente, ¿cuáles son los elementos clave para el éxito? Uno obvio es cómo derribar las barreras que existen entre los equipos de desarrollo y seguridad de una manera positiva. Existen varios enfoques, como incorporar a una persona de seguridad en un equipo de desarrollo o capacitar a los desarrolladores sobre las mejores prácticas de seguridad. Cualquiera que sea el enfoque elegido, un paso fundamental es superar las barreras de comunicación. Un error común es que la seguridad trate solo de decir “no” a cualquier solicitud, solo para reducir el riesgo. Desde una perspectiva de seguridad, existe otra idea errónea de que los desarrolladores solo se preocupan por entregar código, y la seguridad significa menos para ellos. Ninguno de los dos puntos de vista es totalmente verdad.
Shift-left supone el traslado de la seguridad desde el final del ciclo de vida del desarrollo de software a un punto previo del proceso
Como todo el mundo, los equipos de seguridad quieren que la empresa tenga éxito y que sucedan cosas interesantes. Los desarrolladores también se preocupan por algo más que la entrega de código; además, saben que si sale algo mal, hay implicaciones importantes que quieren evitar.
Si bien las líneas abiertas de comunicación y el entendimiento mutuo son clave, es igualmente importante que los equipos de DevSecOps tengan un conjunto de herramientas que estén igualmente integradas y sean capaces de rastrear y abordar los cambios que podrían estar sucediendo en su empresa. Ya sea que hablemos de cambios en los proveedores de la nube, el conjunto de implementación o algo más, existe una clara necesidad de tener una plataforma que funcione tanto en la nube como en las instalaciones.
Por tanto, ayuda a que los enfoques de desarrollo nativo en la nube den rienda suelta a nuevas formas de ofrecer seguridad. La tecnología ahora existe para escanear problemas de seguridad, desde la pantalla de código del desarrollador hasta escanear y proteger automáticamente los entornos de producción. Además de esto, una base para una buena visibilidad y conciencia de la seguridad es la entidad del usuario y el análisis de comportamiento que puede ayudar aún más a minimizar el riesgo.
Si bien las herramientas son un elemento esencial para habilitar DevSecOps, quedan otros desafíos por resolver. Estos incluyen las «incógnitas desconocidas» que las empresas se encuentran a medida que aceleran su transformación digital.
Quizás la mayor dificultad a la que se enfrentan las empresas cuando intentan integrar la seguridad en el desarrollo es que, con demasiada frecuencia, todo el mundo quiere una respuesta fácil. En otras palabras, «seguridad suficientemente buena», pero esa nunca es una buena idea.
Desafiar esto requiere un duro trabajo en la forma en que la mentalidad de seguridad de una organización evidencia que habrá algo de trabajo por parte de todos. No hay un camino sencillo e intermedio.
El cambio a la izquierda (shift-left) y cultivar DevSecOps requerirá tiempo. Hay un doble trabajo a la hora de invertir en herramientas que permitan a los desarrolladores y los equipos de seguridad trabajar juntos; y hacer un esfuerzo real para eliminar las barreras de comunicación, desarrollar la cultura adecuada y establecer procesos que permitan a los desarrolladores y profesionales de la seguridad trabajar juntos con un propósito común.
Por Ashley Ward, Directora Técnica, Oficina del CTO, Palo Alto Networks