DevOps: cómo contribuyen al desarrollo seguro
El Informe de Seguridad de Aplicaciones y DevOps publicado por Hewlett Packard Enterprise ha analizado que el 99% de los encuestados están de acuerdo en cuanto a que la adopción de la cultura DevOps aporta la oportunidad de mejorar la seguridad de aplicaciones. Sin embargo, solo el 20% realizan testeo de seguridad de aplicaciones durante el desarrollo, y el 17% no utilizan ninguna tecnología que proteja sus aplicaciones, destacando una desconexión significativa entre la percepción y la realidad de los DevOps seguros.
El término DevOps no hace referencia a este tema que se centra precisamente en asegurar que el nuevo software esté totalmente verificado y protegido frente a las vulnerabilidades y amenazas conocidas. El problema es que la agilidad y la seguridad no suelen ir de la mano. Tal vez por este motivo los especialistas de seguridad se dejaron de lado a la hora de crear el equipo de DevOps inicial.
Uno de los principales principios de DevOps es la idea de que todas las tareas deben ser automatizadas y el nuevo código debe ser capaz de moverse sin problemas a la producción, sin interacciones manuales que ralenticen el proceso. Y cuando los principios de DevOps de entrega continua y despliegue continuo se mueven al ámbito de la nube pública, estalla la oportunidad de automatizar lo que de otro modo serían tareas manuales.
Los DevOps aseguran el desarrollo del software ahorrando costes y tiempo. Sin embargo, el estudio ha encontrado barreras y huecos que impiden a las empresas integrar con éxito la seguridad y DevOps. Por un lado, las barreras organizacionales entre profesionales de la seguridad y desarrolladores, es decir, ninguno de los dos departamentos conoce el equipo contrario. Esto llevó al 90% de los profesionales de seguridad encuestados a afirmar que integrar la seguridad de las aplicaciones es cada vez más difícil desde que las organizaciones despliegan sus DevOps. Por otro lado, la falta de conciencia de seguridad, énfasis y entrenamiento de desarrolladores ya que las empresas no especifican normalmente que estos profesionales necesiten conocimiento acerca de seguridad como requisito para ser contratados. Y, por último, escasez de talento en seguridad de las aplicaciones, siendo solo uno de cada 80 desarrolladores el que sabe sobre seguridad.
"Adoptar un proceso DevOps puede ayudar a que las aplicaciones sean más seguras, ya que el ambiente del desarrollo y producción se crean en la misma manera y en los mismos estándares de seguridad y ensayo" ha afirmado John Meakin, directivo del Grupo de Seguridad de la Información de Burberry. "Sin embargo, requiere un compromiso en toda la organización para priorizar la seguridad, e incorporar más soluciones automáticas de prueba que hagan más sencillo reunir feedback en tiempo real y remediar las vulnerabilidades por todo el proceso de desarrollo".
La mayoría de los negocios que han apostado por un modelo de DevOps y lo han hecho con éxito han integrado a sus equipos de seguridad en su metodología existente. Y lo han marcado como una prioridad. Quienes han pasado por esta experiencia aseguran que la integración ha mejorado la agilidad de desarrollo y la seguridad de la información.
A su vez, el informe plantea una serie de recomendaciones para el desarrollo de aplicaciones seguras: compartir la seguridad como una responsabilidad en toda la organización para eliminar barreras; tener conciencia del puente, el enfoque y deficiencias de formación que permitan a los desarrolladores una práctica segura del desarrollo continua y más intuitiva; y aprovechar la automatización y el análisis como multiplicadores de la fuerza de seguridad de aplicaciones.
Otros puntos importantes que señala el informe son:
Uno de los principales principios de DevOps es la idea de que todas las tareas deben ser automatizadas y el nuevo código debe ser capaz de moverse sin problemas a la producción, sin interacciones manuales que ralenticen el proceso. Y cuando los principios de DevOps de entrega continua y despliegue continuo se mueven al ámbito de la nube pública, estalla la oportunidad de automatizar lo que de otro modo serían tareas manuales.
Los DevOps aseguran el desarrollo del software ahorrando costes y tiempo. Sin embargo, el estudio ha encontrado barreras y huecos que impiden a las empresas integrar con éxito la seguridad y DevOps. Por un lado, las barreras organizacionales entre profesionales de la seguridad y desarrolladores, es decir, ninguno de los dos departamentos conoce el equipo contrario. Esto llevó al 90% de los profesionales de seguridad encuestados a afirmar que integrar la seguridad de las aplicaciones es cada vez más difícil desde que las organizaciones despliegan sus DevOps. Por otro lado, la falta de conciencia de seguridad, énfasis y entrenamiento de desarrolladores ya que las empresas no especifican normalmente que estos profesionales necesiten conocimiento acerca de seguridad como requisito para ser contratados. Y, por último, escasez de talento en seguridad de las aplicaciones, siendo solo uno de cada 80 desarrolladores el que sabe sobre seguridad.
"Adoptar un proceso DevOps puede ayudar a que las aplicaciones sean más seguras, ya que el ambiente del desarrollo y producción se crean en la misma manera y en los mismos estándares de seguridad y ensayo" ha afirmado John Meakin, directivo del Grupo de Seguridad de la Información de Burberry. "Sin embargo, requiere un compromiso en toda la organización para priorizar la seguridad, e incorporar más soluciones automáticas de prueba que hagan más sencillo reunir feedback en tiempo real y remediar las vulnerabilidades por todo el proceso de desarrollo".
La mayoría de los negocios que han apostado por un modelo de DevOps y lo han hecho con éxito han integrado a sus equipos de seguridad en su metodología existente. Y lo han marcado como una prioridad. Quienes han pasado por esta experiencia aseguran que la integración ha mejorado la agilidad de desarrollo y la seguridad de la información.
A su vez, el informe plantea una serie de recomendaciones para el desarrollo de aplicaciones seguras: compartir la seguridad como una responsabilidad en toda la organización para eliminar barreras; tener conciencia del puente, el enfoque y deficiencias de formación que permitan a los desarrolladores una práctica segura del desarrollo continua y más intuitiva; y aprovechar la automatización y el análisis como multiplicadores de la fuerza de seguridad de aplicaciones.
Otros puntos importantes que señala el informe son:
- Los DevOps presentan una gran promesa para asegurar el desarrollo del software, ya que las organizaciones pueden potencialmente encontrar y remediar las vulnerabilidades con mayor frecuencia y al principio del ciclo de vida de la aplicación, ahorrando costes y tiempo. Sin embargo, el Informe de Seguridad de Aplicaciones y DevOps 2016 encontró barreras y huecos que preveían a las organizaciones integrar con éxito seguridad y DevOps, incluyendo:
- Barreras organizacionales entre profesionales de la seguridad y desarrolladores. El informe refleja una desconexión significante entre los desarrolladores y los equipos de seguridad – y en algunos casos, los encuestados admiten ni siquiera conocer a sus equipos de seguridad. Esto llevó al 90% de los profesionales de seguridad encuestados a afirmar que integrar la seguridad de las aplicaciones es cada vez más difícil desde que las organizaciones despliegan sus DevOps.
- Falta de conciencia de seguridad, énfasis y entrenamiento para desarrolladores. Más de 100 de las ofertas de trabajo para desarrolladores de software en compañías de Fortune 1000 no especificaban experiencia en seguridad o codificación de seguridad o conocimiento de éstas como requisitos para el trabajo.
- Escasez de talento en seguridad de las aplicaciones. Por cada 80 desarrolladores en las organizaciones encuestadas, solo hay un profesional en seguridad de las aplicaciones. Esta falta de personal de seguridad, junto con el incremento cada vez más rápido del círculo de desarrollo hacen el desarrollo seguro cada día más difícil.
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!