Durante casi dos décadas, los desarrolladores de software han ido pasando cada vez más a la adopción de prácticas DevOps. La creciente adopción de prácticas y filosofías DevOps en los equipos de desarrollo de software ha logrado integrar a la perfección el desarrollo de productos y las operaciones de TI para crear aplicaciones de alta calidad a gran velocidad y con mayor eficiencia mediante el uso de canalizaciones CI/CD (integración continua/entrega continua).
Aunque la adopción de prácticas DevOps permite una entrega más eficiente y rápida de aplicaciones de software, no está exenta de desventajas. Las prácticas DevOps operan principalmente de forma continua, probando y parcheando a lo largo de cada etapa de la canalización, pero cuando se trata de prácticas de seguridad, las comprobaciones de vulnerabilidades y la supervisión de la seguridad tienden a etiquetarse al final, antes del despliegue del producto.
Al tratar la seguridad como una ocurrencia tardía, los entornos técnicos y de desarrollo de software se exponen a mayores riesgos de ciberataques y violaciones de datos. Esta idea tardía no es algo que los entornos DevOps puedan permitirse, ya que se espera que el costo global de la ciberdelincuencia alcance los 10,5 billones de dólares en 2025 (frente a los 3 billones de 2015).
Sin embargo, el shift-left en los entornos técnicos y la aparición más reciente de DevSecOps se han puesto en marcha para remediar este costo significativo mediante la integración de la seguridad en el desarrollo de productos y su despliegue con éxito. Según Gartner®, se espera que las prácticas DevSecOps estén integradas en el 85% de los equipos de desarrollo de productos para 2027, en comparación con una adopción del 30% en 2022.
La seguridad ya se ha convertido en una prioridad integral para muchas organizaciones de desarrollo de todo el mundo, pero muchas todavía no han adoptado un enfoque de seguridad integrado. Para aquellos que buscan mitigar el riesgo y practicar una mejor seguridad en sus procesos DevOps, Gartner ha recomendado adoptar un enfoque de shift-left en la infraestructura de seguridad de la organización.
El camino hacia la adopción de DevSecOps puede ser complejo y, aunque hay algunos costos iniciales de establecimiento a corto plazo, las empresas pueden ver ahorros significativos a largo plazo; especialmente con el costo medio de una violación de datos estimado en unos 4,24 millones de dólares entre 2020-2021. En este blog, exploraremos cómo los equipos de desarrollo de productos pueden evitar estos costos y algunas de las mejores prácticas recomendadas para la transición a la adopción de DevSecOps.
DevSecOps y el enfoque de shift-left (desplazamiento a la izquierda)
El enfoque shift-left de la seguridad existe desde hace algún tiempo y ha empezado a cobrar impulso lentamente en el sector del desarrollo de software. Al igual que las prácticas DevOps operan en un canal CI/CD, el enfoque shift-left incorpora la seguridad desde el principio del desarrollo en la fase de planificación y a lo largo del resto del ciclo de vida DevOps, adoptando prácticas DevSecOps.
Tradicionalmente, los procesos de seguridad suelen estar aislados del resto del flujo CI/CD, lo que provoca un cuello de botella hacia las fases finales del proceso, limitando la agilidad y obstaculizando la entrega. Esta estructura de seguridad también hace que los entornos técnicos y las organizaciones sean vulnerables a las infracciones, ya que sólo deja espacio para la seguridad al final del proceso, lo que significa que se pierden muchas oportunidades de identificar vulnerabilidades y ataques en fases más tempranas del proceso de desarrollo.
El shift-left es la respuesta del entorno técnico a los obstáculos en la entrega y a la débil estructura de seguridad. La integración de la seguridad en todo el ciclo de vida de DevOps con prácticas de DevSecOps elimina la detención de la entrega causada por las pruebas y la identificación en una fase tardía.
For more information, click here for complimentary access to the report
Dejar espacio para el cumplimiento y la normativa
Al igual que ocurre con la seguridad, el cumplimiento de los requisitos normativos y reglamentarios tiende a quedar relegado a un segundo plano en los entornos DevOps. Las organizaciones no sólo se arriesgan a multas y sanciones cuando no tienen en cuenta las normativas, sino que pierden oportunidades de crear un plan de seguridad con las normativas como base. Las organizaciones se enfrentan cada vez a requisitos más complejos de la industria a medida que surgen técnicas de ataque en evolución y el riesgo de una infracción posterior sigue aumentando.
Sin embargo, muchas organizaciones luchan por mantenerse al día con las normas reglamentarias y, al mismo tiempo, entregar software, y esto suele deberse a que la consideración del cumplimiento se coloca al final del proceso de DevOps. La forma de resolverlo es abordar las normativas del sector desde las fases preliminares. Las organizaciones deben tener en cuenta la conformidad y la seguridad en todas las fases del ciclo de vida del desarrollo, incluida una lista normalizada de los requisitos que debe cumplir el producto, de modo que cualquier vulnerabilidad o problema que surja pueda corregirse a lo largo del proceso antes de que llegue a la fase de lanzamiento.
La realización de las evaluaciones de conformidad y seguridad necesarias junto con los análisis de vulnerabilidades al principio de la fase de desarrollo puede ahorrar tiempo a las organizaciones a largo plazo y preservar los recursos para los equipos de DevOps.
Abordar la falta de competencias en seguridad DevOps
Adoptar un enfoque de la seguridad basado en el shift-left ayuda a educar a los desarrolladores en las mejores prácticas y en cómo identificar las vulnerabilidades en las primeras etapas del proceso. Actualmente existe una discontinuidad entre los entornos DevOps y la comprensión de la seguridad, lo que causa una amplia brecha de habilidades dentro de la industria, ya que la mayoría de los desarrolladores no son expertos en ciberseguridad.
La seguridad y la confianza deben ser responsabilidad de todos, por lo que las organizaciones deben dar prioridad a la formación y educación de los desarrolladores si quieren priorizar y mejorar las prácticas de seguridad. Hay varias formas de conseguirlo:
- Inculcar una cultura de colaboración: Aunque la seguridad es responsabilidad de cada individuo en una organización, es importante inculcar una cultura de confianza y colaboración que facilite una propiedad compartida de la seguridad. Los desarrolladores deben colaborar con los expertos en seguridad para identificar y corregir las vulnerabilidades a fin de mantener la seguridad de los activos. Al fomentar una cultura de seguridad colaborativa, se crea una conciencia de los riesgos potenciales para la seguridad y se facilita un enfoque preventivo de la seguridad.
- Formación en materia de seguridad: las organizaciones pueden mejorar la cultura de la seguridad contratando, formando y asignando formadores en materia de seguridad dentro de los equipos de producto. Animar a los desarrolladores a ofrecerse como voluntarios para puestos de coaching de seguridad permite a las organizaciones crear un puente entre los desarrolladores y los equipos de TI, educando a los desarrolladores sobre cómo planificar los requisitos de seguridad y cumplimiento en cada etapa del proceso. También se pueden asignar asesores de seguridad para responder a los problemas y fomentar una comunicación abierta sobre ellos entre los desarrolladores y los expertos en seguridad, en lugar de dejar vulnerabilidades sin abordar.
- Invertir en herramientas e integraciones: Invertir en herramientas automatizadas e integraciones no sólo ayuda a los desarrolladores a crear un flujo de trabajo sin fisuras y un entorno eficiente, sino que también actúan como un amortiguador de seguridad mientras los equipos de TI trabajan para cerrar la brecha de conocimiento dentro de los equipos de producto. Mientras los desarrolladores siguen recibiendo formación sobre cómo priorizar las necesidades de seguridad e identificar vulnerabilidades, la automatización de los procesos de seguridad con una variedad de herramientas e integraciones puede garantizar que las organizaciones no queden expuestas debido a errores humanos mientras tanto.
Learn more about how tools and integrations can improve DevOps security
Automatización de la seguridad en DevOps
A medida que aparecen nuevas superficies de amenazas y las regulaciones de la industria se vuelven más complejas, más organizaciones buscan la automatización para mantenerse al día con las demandas de seguridad. El empleo de plataformas y servicios de automatización, como las integraciones de gestión de identidades o protocolos como ACME, ayudará a respaldar una mejor estructura de seguridad dentro de los equipos DevSecOps y a reducir la posibilidad de vulnerabilidades.
Los equipos de DevSecOps pueden automatizar sus entornos de diversas formas para reducir la carga de la gestión de la seguridad e integrarla más fácilmente en el proceso:
- Plataformas de identidad digital: Las plataformas de identidad digital, como Atlas, tienen la escalabilidad necesaria para gestionar una amplia gama de identidades y certificados, incluidos usuarios finales, máquinas y servidores, además de soportar una variedad de protocolos para integrar y asegurar múltiples puntos finales, y automatizar tareas como la gestión de claves. Las plataformas de identidad digital sustituyen la necesidad de autoridades de certificación (CA) privadas internas conectándose con CA públicas de confianza y centralizando los inventarios de certificados.
- Gestión automatizada de certificados: Las plataformas de gestión de certificados automatizan los procesos manuales, incluidas las solicitudes de emisión, renovación y revocación. De este modo se agiliza la gestión de la infraestructura de clave pública (PKI) y se protegen todos los puntos finales de la red de la organización. Este tipo de integración reduce la carga impuesta a los equipos de seguridad y elimina el riesgo de vulnerabilidades causadas por errores humanos, como certificados perdidos o caducados. Las organizaciones también pueden implementar protocolos como ACME para gestionar certificados SSL / TLS con una intervención manual mínima, conectando a los clientes directamente con las CA y eliminando la necesidad de contratar manualmente servidores de certificados o completar repetidamente solicitudes de firma de certificados (CSR).
- Integraciones tecnológicas: Hay una serie de integraciones y protocolos que las organizaciones pueden elegir o combinar para reforzar su blindaje de seguridad PKI. Las integraciones con empresas como HashiCorp Vault y Venafi colaboran con las CA para automatizar y gestionar tareas como la seguridad de claves, activos y secretos.
La automatización reduce la fricción en el proceso de desarrollo y crea un flujo de trabajo más eficaz y fluido sin sacrificar la seguridad. Además de apoyar a los equipos de DevSecOps, los procesos automatizados también reducen el riesgo de una violación de la seguridad mediante la exploración, la identificación y la corrección de las brechas de seguridad mucho más rápidamente, lo que es especialmente importante para las vulnerabilidades de día cero...
Get started with automation today
Conclusión
En los entornos DevOps, la seguridad se ha tratado tradicionalmente como una ocurrencia tardía, colocada al final de la tubería, pero con el shift-left hacia la seguridad y la creciente aparición de prácticas y filosofías DevSecOps, las organizaciones y los equipos de productos están empezando a reconocer la necesidad de un enfoque entretejido de la seguridad. Esto ha sido impulsado en gran medida por la búsqueda de mantenerse al día con la creciente aparición de nuevas técnicas de ataque y el cambio de regulaciones dentro del mercado de la seguridad.
Cuando los equipos de DevOps incluyen espacio para la planificación de la seguridad y las evaluaciones de cumplimiento en las fases iniciales del proceso, esto actúa como un marco al que los desarrolladores deben adherirse y evita retrasos en las últimas fases del ciclo de vida debido a vulnerabilidades no resueltas.
Las organizaciones pueden garantizar que los problemas de seguridad se aborden a lo largo de todo el proceso inculcando una cultura de responsabilidad colaborativa en los equipos de producto y en la empresa en su conjunto, y contratando asesores de seguridad para que presten apoyo. Fomentar un entorno abierto de confianza anima a los desarrolladores a abordar y resolver los problemas por sí mismos y a integrar la seguridad en el producto, en lugar de dejar una lista de problemas para que los resuelvan los equipos de TI o exponer a la organización a riesgos.
La automatización con herramientas y protocolos puede agilizar un entorno seguro reduciendo la intervención manual y el riesgo de error humano, ya que se está salvando la distancia entre los expertos en seguridad y los desarrolladores. La automatización también puede identificar vulnerabilidades, proteger claves y activos y permitir la reasignación de tiempo y recursos que de otro modo se emplearían en arduos procesos manuales.
Dado que una infracción puede costar a una organización una media de 4 millones de dólares, las empresas no pueden permitirse no tener en cuenta la seguridad desde el principio. La pérdida de activos es una cosa, pero la subsiguiente pérdida de negocio y las multas responsables añadidas pueden dar lugar a un proyecto completo o incluso al cierre de la organización. En comparación, la aplicación de las prácticas de shift-left y DevSecOps costaría menos a una organización y puede incluso acelerar el despliegue del producto al evitar retrasos en el proceso, dando prioridad a la seguridad que puede afectar directamente a las posibilidades de éxito del producto.
Protege tu proceso DevOps con las soluciones de GlobalSign
Con la evolución de los retos a los que se enfrentan los equipos de DevSecOps, la integración de herramientas de gestión del ciclo de vida de los certificados en la canalización ofrece una gran cantidad de ventajas, como la autenticación, la seguridad de las cadenas de herramientas, los contenedores, los códigos y los puntos finales.
Si estás listo para proteger tus procesos DevOps y dar un impulso a la seguridad, entra en contacto con nosotros hoy mismo.
Gartner, 3 pasos esenciales para habilitar la seguridad en DevOps 1 de marzo de 2023, Daniel Betts Et Al.
GARTNER es una marca registrada y una marca de servicio de Gartner, Inc. y/o sus filiales en EE. UU. y a nivel internacional, y se utiliza aquí con permiso. Todos los derechos reservados