DevSecOps
DevSecOps
DevSecOps
DeVSecOps y el imperativo
cibernético
Elevar, incrustar, y evolucionar su respuesta frente al riesgo
P
ARA MEJORAR SUS ENFOQUES ANTE EL RIESGO CIBERNÉTICO Y OTROS
RIESGOS, las organizaciones de pensamiento prospectivo están incrustando
seguridad, privacidad, política, y controles, en su cultura, procesos, y
herramientas de DevOps. En la medida en que DevSecOps gane impulso, más
compañías probablemente harán que la automatización de la modelación de
amenaza, la valoración del riesgo, y la seguridad de la tarea sean componentes
fundamentales de las iniciativas de desarrollo de producto, desde generación de ideas
hasta la iteración para lanzar y hasta operaciones. DevSecOps de manera fundamental
transforma la administración cibernética y del riesgo desde ser actividades basadas-en-
cumplimiento – típicamente realizadas más tarde en el ciclo de vida del desarrollo. Por
otra parte, DevSecOps codifica las políticas y las mejores prácticas en las herramientas
y plataformas subyacentes, permitiendo que la seguridad se convierta en una
responsabilidad compartida de toda la organización de TI.
Las tácticas y herramientas de DevOps están Desplegado estratégicamente, DevSecOps puede ayudar
cambiando dramáticamente la manera como las a mejorar los niveles de seguridad y madurez del
organizaciones de TI innovan. Y en medio de esta cumplimiento en la secuencia de DevOps de una
transformación, los líderes de TI están encontrando que compañía, al tiempo que impulsan la calidad y la
los enfoques de larga data para la integración de la productividad y reducen el tiempo-al-mercado. ¿Cómo?
seguridad en productos nuevos no están siguiendo el Las herramientas de automatización ejecutan tareas
ritmo del desarrollo de software de alta velocidad, uniforme y consistentemente, mientras que los humanos
entrega continua. Además, en la arena de DevOps, las usando controles manuales pueden y cometen errores. Al
técnicas tradicionales de seguridad “atornilladas” y los mismo tiempo, con DevSecOps, el flujo de la aplicación
controles manuales en que han confiado las prácticas cambia libremente a través de las secuencias de DevOps,
heredadas a menudo son percibidas como impedimentos dándoles a los desarrolladores más autonomía y
para velocidad, transparencia, y la efectividad general de autoridad sin comprometer la seguridad o elevar el
la seguridad. riesgo.
En una tendencia creciente, algunas compañías Para estar claros, DevSecOps es una evolución
han comenzado a incrustar la cultura, las prácticas y las de la cultura y el pensamiento de DevOps. Más que
herramientas de la seguridad en cada fase la secuencia de generar disrupción en su agenda cibernética actual,
sus DevOps, un enfoque conocido como DevSecOps. incrusta en sus plataformas y cadenas de herramientas
_________________
103
Tendencias tecnológicas 2019: más allá de la frontera digital DeVSecOps y el imperativo cibernético
_________________
104
DeVSecOps y el imperativo cibernético
herramientas. DevSecOps les ofrece a las compañías • Seguridad automatizada de las operaciones.
practicar DevOps como una manera diferente de pensar Dado que la visibilidad en algunos aspectos de la
acerca de la seguridad. Considere las siguientes seguridad de las operaciones puede ser limitada, los
características de DevSecOps, y cómo difieren de la CIO que vigilan las auditorías de la seguridad a
manera como usted está enfocando la seguridad en su menudo se han encontrado a sí mismos en una
secuencia de desarrollo hoy: posición de tener que asumir (esperanza) que varios
administradores de seguridad han realizado sus
• Colaboración abierta en objetivos trabajos de la manera correcta. La seguridad-como-
compartidos. DevSecOps crea expectativas y código puede ofrecer un enfoque más efectivo.
métricas compartidas para la medición del éxito. Nuevas técnicas en contenedorización y
Alinea los arquitectos de la seguridad y centra las automatización de la infraestructura de la nube
actividades con base en las prioridades del negocio. pública ahora hacen posible auditar la seguridad y el
• Seguridad en la fuente. DevSecOps destaca cumplimiento en las operaciones confiable y
capacidades de seguridad consumibles, de auto- consistentemente, con menos esfuerzo.
servicio, establece barandillas de seguridad, y hace • Ingeniería de las operaciones. Con menos
posible que los equipos monitoreen los resultados y humanos como parte del lazo, el proceso de detectar
proporcionen retroalimentación específica. Puede una intrusión y actuar puede conllevar horas
encontrar vulnerabilidades cibernéticas temprano preciosas e incluso días. Sin embargo, en entornos
en el ciclo de desarrollo de la aplicación, reduciendo seguros de infraestructura-como-código en
la necesidad de reproceso justo antes o después del contenedores o en entornos públicos
despliegue. nube/contenedorizados, las capacidades diseñadas
• Refuerza y eleva mediante automatización. de respuesta pueden automática e instantáneamente
Mediante la automatización de tareas recurrentes, redirigir el tráfico, congelar nodos para inspección
DevSecOps hace posible orquestar un flujo posterior, notificar operadores, y girar casos frescos
integrado de los procesos, insertar controles – todo ello automáticamente.
operacionales preventivos, y crear rastras continuas
de auditoría. Tomados juntos, esos elementos de DevSecOps
• Operaciones orientadas-al-riesgo y pueden ayudar a mejorar la calidad general de la
perspectivas que se pueden llevar a la acción. seguridad, impulsar la productividad, y reducir los
Las organizaciones que incorporan DevSecOps en problemas de cumplimiento. Muy importante, pueden
sus secuencias de desarrollo pueden utilizar romper el cuello de botella que la seguridad tradicional
perspectivas operacionales e inteligencia de crea en entornos de desarrollo de velocidad alta,
amenazas para orientar el flujo de los procesos, la desencadenando entonces el potencial pleno de DevOps.
priorización, y las recomendaciones de remediación.
Ya no se tienen que basar solamente en
DevSecOps en cuatro partes
exploraciones del código y pueden tomar un enfoque
más basado-en-el-riesgo para la prueba.
DecSecOps incorpora cultura, prácticas, y
• Enfoque holístico para los objetivos de herramientas de seguridad para orientar visibilidad,
seguridad. Las estructuras integradas ayudan a colaboración, y agilidad en cada fase de la secuencia de
asegurar tanto la secuencia como la aplicación. Esto DevOps. Si bien las compañías pueden personalizar sus
ayuda a crear un entorno más comprensivo, de enfoques de seguridad para respaldar sus propias
defensa de principio-a-fin a través de la producción. agendas cibernéticas y sus propias necesidades de
• Monitoreo proactivo y retroalimentación producto, las iniciativas de DevSecOps típicamente
recursiva. La prueba continua, automatizada, recaen en cuatro pilares fundamentales:
ayuda a identificar problemas antes que surjan. Los
desarrolladores también pueden aprovechar el inicio • Personas. Cuando usted integre la seguridad en su
de sesiones y la telemetría para orientar el secuencia de DevOps, recuerde que las personas son
aprendizaje y la innovación. todavía su mayor activo de eficiencia (o ineficiencia).
En el modelo tradicional de cascada, los equipos de
_________________
105
Tendencias tecnológicas 2019: más allá de la frontera digital
FIGURA 1
¿Qué es DevSecOps?
Es un cambio transformacional que incorpora cultura, prácticas, y herramientas seguras en cada fase del
proceso de DevOps.
ECOSISTEMA
CONTROLES
DEL DEPÓSITO
& REVISIONES
DEL CÓDIGO
DISEÑO &
MODELACIÓN DE
AMENAZA
CODIFICACIÓN DE
LOS SECRETOS
DE LA
ADMINISTRACIÓN
ARQUITECTURA
SEGURA DE LA
NUBE
ESCANEO DEL
CÓDIGO DE LA
FUENTE ESTÁTICA
INICIO DE SESIÓN
& MONITOREO
CONTINUOS
PRUEBA DE LA
SEGURIDAD DE
APROBACIÓN DE LA APLICACIÓN
LA LIBERACIÓN DINÁMICA
_________________
106
DeVSecOps y el imperativo cibernético
desarrollo, seguridad, y operaciones trabajan por producto probablemente se volverán aún más auto-
silos. En la medida en que usted se mueva en el suficientes, identificarán sus propios desafíos de
mundo de DevOps, los equipos todavía pueden seguridad, y automáticamente corregirán el curso
operar de esa manera por un momento; romper esas para beneficio de la entrega segura del producto. Un
barreras tradicionales puede ser la primera y más sub-producto positivo de DevSecOps es que los
importante catálisis para su camino de DevSecOps. especialistas en seguridad cibernética a menudo
Intente identificar y remediar esos silos desarrollan un mayor entendimiento de las
rápidamente, cree metas compartidas en los equipos presiones del desarrollo y por consiguiente orientan
de DevSecOps, y oriente una cultura de innovación la automatización final de las funciones de
que consista en apertura, transparencia, propiedad, seguridad. De igual manera, los equipos de
y accountability. Si bien la jerarquía del recurso desarrollo con un entendimiento más profundo de
humano puede permanecer separada, la cultura de los enfoques de seguridad cibernética
desarrollo debe estar basada-en-el-producto y por probablemente pueden adoptar prácticas seguras de
consiguiente liderada por los equipos del producto. codificación. El resultado neto en ambos casos es
Cada parte responsable (dev, sec, opc) posee una eficiencia incrementada.
porción del éxito del producto. • Procesos. Tenga en mente que velocidad y calidad
son clave para DevSecOps, intente simplificar los
procesos manuales tanto como sea posible sin
Un sub-producto sacrificar las necesidades de la seguridad
cibernética. Dado que el desarrollo y el despliegue
positivo de DevSecOps ahora son acelerados mucho más rápido que antes,
en seguridad cibernética
los esfuerzos para acelerar exponencialmente
desarrollos seguros del software pueden ser
a menudo desarrollan
insostenibles.
Considere crear procesos normalizados de
_________________
107
Tendencias tecnológicas 2019: más allá de la frontera digital
• Tecnología. La introducción de DevOps ha creado control, usted puede ser capaz de gradualmente
una plétora de soluciones basadas-en-la-nube que automatizar los procesos de prueba y liberar
los equipos de desarrollo están usando para acelerar recursos del desarrollador. El proceso de sacar
la entrega. Afortunadamente, el software de una lista de tiquetes, seleccionar muestras, e
seguridad cibernética ahora está comenzando a identificar todos los rastros de auditoría
mantener el ritmo. Por ejemplo, la secuencia relevantes provenientes de múltiples sistemas
clasificada de herramientas – prueba-como-código, puede haber tomado días del tiempo del
cumplimiento-como-código, y otras – pueden desarrollador. Usando cumplimiento-como-
eliminar la necesidad de algunas actividades código, ello se puede lograr en minutos.
manuales de seguridad, impulsando por lo tanto la
velocidad. Cuando herramientas tales como esas son - A nivel macro. DevOps ha transformado
implementadas en los procesos correctos, los cómo las organizaciones de TI trabajan. En
equipos de desarrollo y seguridad pueden unificarse algunas compañías, las operaciones de TI – que
más, los costos de defectos pueden caer en picada, y tradicionalmente comprenden una mezcla de
la calidad puede volverse consistente a través de la administración senior, administración, e
secuencia. Considere asumir un enfoque ingenieros – se está moviendo hacia una
incremental para el despliegue de la tecnología, jerarquía más plana conformada por pocas
probando esas nuevas herramientas de seguridad posiciones de administración apoyadas por
con equipos específicos de producto antes de arquitectos e ingenieros. Al mismo tiempo, han
liberarlas para la empresa. crecido las sanciones por operar entornos de TI
• Gobierno. El término gobierno es amplio por insuficientemente gobernados. Esto significa
diseño, pero hay dos tipos de pensamiento acerca del que el gobierno general del panorama de TI
gobierno de la seguridad cibernética en el mundo de proyectado es más importante que nunca
DevSecOps: antes. El éxito de la marca de su compañía
crecientemente depende de productos
- A nivel micro (el mundo que se resuelve desarrollados usando DevOps.
alrededor de los equipos del producto).
Incrustar la seguridad cibernética en DevOps Al igual que cualquier otro programa de TI,
puede impulsar la eficiencia en el gobierno. DevSecOps debe estar directamente vinculada con su
¿Cómo? DevSecOps, por diseño, requiere un estrategia más amplia de TI – la cual, a su vez, debe estar
proceso altamente consistente que usa un orientada por su estrategia de negocios. Si el programa de
conjunto uniforme de herramientas y controles DevOps apoya sus estrategias de TI y de negocios,
automatizados. Esto ayuda a simplificar el entonces al mismo tiempo incruste la “Sec.” En corto
monitoreo y la prueba de los controles plazo, puede ayudarle a reforzar su postura de madurez
requeridos. De hecho, mediante diseñar cibernética y ahorrarle tener que reprocesar más tarde su
procesos de DevSecOps para ajustar las programa de DevOps cuando sea mucho más difícil
necesidades de los equipos de cumplimiento y hacerlo.
_________________
108
DeVSecOps y el imperativo cibernético
_________________
109
Tendencias tecnológicas 2019: más allá de la frontera digital
_________________
110
Tendencias tecnológicas 2019: más allá de la frontera digital DeVSecOps y el imperativo cibernético
MI PARTE
ADAM BANKS, DIRECTOR DE TECNOLOGÍA E INFORMACIÓN JEFE Y
DIRECTOR DIGITAL JEFE, MAERSK
Maersk, al igual que muchas otras organizaciones industriales, se ha vuelto digitalmente dependiente – por
eficiencia operacional y como el orientador en nuevos productos, ofertas, y mercados. Maersk siempre ha sido
un negocio prospectivo, pero hoy tenemos un centro de atención fortalecido en parte a causa de un ciberataque
global en 2017 que infectó nuestra red a través de puertos y oficinas y a través de docenas de países. Como parte
de la recuperación, reconstruimos nuestra capacidad central de TI, incluyendo la reconstrucción de la
infraestructura de servidor y red, moviendo más de 60,000 dispositivos a un nuevo estándar común, desplegando
actualizaciones globales del sistema de operación, restaurando toda nuestra pila de aplicaciones, y re-
estableciendo la terminal más automatizada del mundo, todo ello en asunto de semanas. Ahora tenemos uno
de los entornos más estandarizados de cualquier compañía en la industria – un fundamento que nos permite
entregar cambio al ritmo de los negocios digitales.
Dado el siempre cambiante panorama cibernético, estamos construyendo una infraestructura aún más segura y
confiable que pueda respaldar el crecimiento futuro de Maersk. Nos estamos centrando en cadenas de
herramientas automatizadas, construyendo procesos de escaneo relevantes estáticos y dinámicos en nuestros
procesos continuos de integración y despliegue. Hemos adoptado monitoreo posterior-al-despliegue a través de
la producción, y hemos podido avanzar desde escribir una línea de costo hasta desplegarla en producción sin
contacto humano. Ello presenta algunos desafíos interesantes a través de la organización: ¿Cuándo usted libera
un producto? Con tal agitación rápida y cambiante, ¿en qué punto declara usted que es una versión nueva?
Actualmente, estamos gastando una buena cantidad de tiempo explorando esos conceptos, haciendo que
DevSecOps sea un área central de interés.
Les hemos pedido a nuestros CISO que identifiquen las brechas que tenemos en nuestra infraestructura, así
como también los controles de compensación disponibles para abordar esas brechas. Una de las principales
cosas que hemos hecho en los últimos dos años es mover el gobierno del riesgo desde una función corporativa
central hacia una función del CISO, de manera que el CISO elabore la política y también haga forzoso su
cumplimiento. Yo espero que ellos derriben la puerta donde haya un área del negocio que “no tenga riesgo
alguno,” porque ello no es posible. Los CISO trabajan con los propietarios de negocio para tomar decisiones
deliberadas, y los propietarios de negocio pueden decidir cómo abordar los riesgos existentes cuando estén
contenidos en su geografía funcional. Es un enfoque de consulta, pero consulta con dientes.
Para ese fin, nuestro CISO puede no ser un miembro permanente, pero no hay reunión trimestral del comité de
auditoría donde no esté en la agenda. En nuestra junta de supervisión, cada uno actualiza al otro que tenga algún
tema cibernético asociado con él. Nosotros le mostramos a la junta un diagrama concentrado que represente el
número de ataques en la superficie externa, las penetraciones, todos los incidentes, y luego los incidentes
importamos – no les mostramos lo que estamos haciendo, sino más aún, demostramos que nuestros procesos
están funcionando. Queremos que ellos entiendan que, si los ataques de superficie externa vienen de 200 a 800
por semana, deben estar haciéndonos preguntas; si ven un incremento en los que están penetrando, queremos
un diálogo acerca de cómo seguir el desmarcado. Queremos que los no-tecnólogos, así como también los líderes
de TI, entiendan que hay un nivel mínimo de control y capacidad de recuperación que debe estar en
funcionamiento si y cuando nosotros fallamos en detener un futuro ataque. Con su apoyo, podemos controlar
la cantidad del daño hecho y la velocidad de nuestra recuperación.
En este entorno, no pienso que sea un enfoque de cualquiera/o cuando se trate del desarrollo tradicional de
cascada, DevOps, cadenas de herramientas integradas, y entrega ágil. Nosotros todavía organizamos nuestras
personas según las estructuras tradicionales de planee-construya-opere, con sedes funcionales organizadas
alrededor de las capacidades de tecnología o del ciclo de vida de TI. Esto les permite a todas las áreas del negocio
ganar a partir de los mejoramientos en cualquier área, a través de todas las actividades. Sin una sede funcional
_________________
103
Tendencias tecnológicas 2019: más allá de la frontera digital DeVSecOps y el imperativo cibernético
a la cual las personas vuelvan, usted constantemente está agitando personas y procesos, lo cual significa que
usted está fallando en mejorarlos cada vez. Por ejemplo, yo no quiero que cada uno de mis equipos globales
resuelvan la prueba automatizada de regresión.
De manera que implementamos un centro de excelencia que les proporciona a los miembros de equipo las
herramientas, el pensamiento, y los modelos que necesitan para completar sus tareas. Este modelo nos ha
permitido incrementar en madurez y capacidad, al tiempo que desplegamos aplicaciones de una manera más
moderna, diversa.
Sin embargo, este modelo solo funciona si todos quienes están alrededor de la mesa de liderazgo entienden el
valor inherente contenido en la organización de tecnología. Maersk es un negocio digital, y somos incapaces de
operar si la tecnología no funciona correctamente, de manera que los líderes de nuestro negocio necesitan
entender lo que está en juego. Yo sabía lo que habíamos logrado en Maersk cuando propuse una reducción del
presupuesto de tecnología y mis pares argumentaron contra ello, temiendo que perdiéramos demasiado valor.
Yo pienso que ese el objetivo que todos estamos intentando lograr: entendimiento completo de cómo seguridad
y DevSecOps pueden impactar los resultados de negocio.
Mi meta es tener alguien en la mesa ejecutiva capaz de liderar la función de tecnología en pocos años. Esto
reflejaría que las operaciones y la pila de la tecnología subyacente se han estabilizado, y que los líderes de negocio
tienen suficiente comprensión de la tecnología para dar el paso y liderar el cargo. Pero la prueba real será si se
esfuerzan en tomar roles en los cuales las responsabilidades de facilitación de la tecnología sean tan reconocidas
y tan importantes como liderar las ventas o una línea del negocio. Estamos bien en nuestro camino.
_________________
104
Tendencias tecnológicas 2019: más allá de la frontera digital DeVSecOps y el imperativo cibernético
MI PARTE
WES HUMMEL, VP DE INGENIERIA DE LA CONFIABILIDAD DEL SITIO,
PAYPAL
Para PayPal, con más de 254 millones de tenedores de cuentas activos y cerca de 7.5 billones de transacciones
de pago en 2017, seguridad y confianza son centrales para todo lo que hacemos y lo que nuestros clientes
esperan. Como tal, tratamos la seguridad como una prioridad estratégica de negocios y una parte fundamental
de cómo desarrollamos, liberamos, y mantenemos nuestro código de producto, integrándolo por defecto en
cada nivel, a través de todo el ciclo de vida del desarrollo.
Para mí, DevSecOps significa no solo empoderar a nuestros desarrolladores con las herramientas necesarias
para desarrollar software seguro, de alta calidad, sino también crear una cultura que construya productos
seguros por defecto. Con nuestra compañía, nuestra base de clientes, y nuestro volumen de transacciones
creciendo tan rápido, necesitamos seguridad a escala: a partir de 2017, PayPal tenía 4,500 desarrolladores, 50
millones de líneas de código, 1 millón construidas por mes, 2,600 aplicaciones, nueve zonas de disponibilidad,
230 billones de golpes, y 42,000 ejecuciones de lote por día. Nosotros les dimos a los desarrolladores tanto
control como fuera posible sobre su código y sus resultados para ayudarles a lograr esta escala. Cuando usted
les ofrece a los desarrolladores flexibilidad y autonomía, es importante construir una base de talento que viva y
respire su mantra de seguridad. Hemos trabajado para crear una cultura en la cual los desarrolladores entiendan
que los productos exitosos requieren una apreciación igual de desarrollo, seguridad, y operaciones. Esta ha sido
nuestro camino: satisfacer necesidades de seguridad, disponibilidad, y calidad al tiempo que facilitamos
liberaciones de código a velocidad alta.
Al inicio de nuestro camino hemos adoptado una metodología ágil, y actualmente estamos haciendo la transición
hacia DevSecOps. Intentamos encontrar un balance entre desarrollo y operaciones mediante proporcionar las
herramientas que hagan que cada paso – desde generación de ideas hasta liberación del código – carezca de
fricción para los desarrolladores. Nosotros los empoderamos con la libertad de usar nuestro conjunto
recomendado de herramientas, el “camino opinado,” que incluye prueba de seguridad de penetración, controles
de seguridad auto-facilitados, modelación de amenaza, escaneo automatizado, y otras características. Pero
también consideramos que los desarrolladores no deben ser forzados a usar un conjunto específico de
herramientas, de manera que les damos autonomía para seguir un camino sin-opinión y llevarlo a nuestra pila.
Nosotros proporcionamos las herramientas y los procesos que necesitan para desplegar código al tiempo que
satisfacen nuestros estándares de seguridad, disponibilidad, y calidad. Esta manera de trabajar según una
estructura de DevSecOps está resultando en mejores desempeño y productividad para nuestros desarrolladores.
También estamos viendo una reducción en las potenciales vulnerabilidades y mejoramientos en el
mantenimiento de nuestros estándares de seguridad del producto – un resultado de arraigar pensamiento y
procesos basados-en-riesgo dentro de la secuencia de DevOps.
Nuestro principal centro de atención ahora es levantar una flota autónoma de herramientas de desarrollo,
operaciones, y seguridad que podamos mantener virtualmente libres de manos. Hay tremendo valor en ser
capaces de operar escáneres y pruebas de principio-a-fin sobre una base de minuto-por-minuto, desplegar
parches a través de la automatización, identificar potenciales vulnerabilidades a intervalos regulares, y asegurar
que las aplicaciones están satisfaciendo los estándares, incluyendo los cambios de configuración o las
actualizaciones de la interfaz del vendedor en producción. La automatización de esos procesos es clave para
escalar una flota de más de 200,000 nodos con velocidad y consistencia al tiempo que tiene todos los despliegues
y desarrollos con los mismos estándares de seguridad y calidad.
La automatización de nuestra seguridad y de nuestro cumplimiento también han sido útiles en áreas
relacionadas. Nuestro centro de atención puesto en la automatización ha hecho más fácil abordar las
complejidades de las obligaciones y políticas legales y de cumplimiento, dado que operamos en más de 200
mercados globales. Con la naturaleza de nuestro negocio, la seguridad y la confianza permanecerán siendo una
capacidad central y una prioridad para PayPal. No importa el tamaño de la compañía en la cual usted esté – si
usted construye seguridad en su núcleo, servirá bien a sus negocios.
_________________
105
Tendencias tecnológicas 2019: más allá de la frontera digital
Incrustar seguridad en la secuencia de DevOps inicialmente puede parecer una propuesta sencilla. Después de
todo, si DevSecOps es solo una manera de pensar acerca de seguridad, entonces desplegarla en su fábrica de
DevOps debe ser un ascenso suave, ¿cierto? Quizás para los pocos que tienen maestría plena en DevOps. Para
todos los demás – y ello incluye la mayoría de las organizaciones – desarrollar prácticas de DevSecOps
probablemente será otro componente en las iniciativas de DevOps que todavía están en etapas tempranas. Por
ejemplo, en su 2018 Global Developer Report, GitLab encuestó cerca de 5,300 profesionales de TI acerca de sus
experiencias con DevOps. El treinta y cinco por ciento de quienes respondieron dijo que la cultura DevOps en
sus compañías estaba “de alguna manera establecida.” Solo el 23 por ciento de los encuestados iría más lejos
para describir su método de desarrollo como DevOps. 10
Cuando usted explore oportunidades de DevSecOps, hágase a usted mismo las siguientes preguntas no solo
acerca de seguridad sino acerca de cómo ellas pueden afectar sus esfuerzos actuales de DevOps.
No necesariamente. Primero, trabaje para convertir en código el conocimiento combinado del experto en
seguridad y del desarrollar. Luego, mejorar las habilidades del talento existente puede ser la única opción
viable para el personal en la medida en que la tendencia de DevSecOps progrese, pero permite que usted
retenga importante conocimiento del negocio ganado durante los años desde cada área respectiva. Además,
los desarrolladores con experticia en seguridad (y viceversa) ahora están en alta demanda y crecientemente
son difíciles de reclutar (y mantener). 11
Probablemente no. Concedido, si usted no tenía controles de seguridad antes para DevSecOps, siempre
habrá algún intercambio de eficiencia, pero DevSecOps proporciona dos beneficios importantes de
eficiencia: 1) La incorporación de seguridad en la secuencia de DevSecOps resultará en una secuencia más
rápida que el método de cascada, y 2) DevSecOps consigue tiempo más rápido cuando se mueve adelante
porque las vulnerabilidades son mitigadas con el tiempo y la eficiencia se incrementa. Los desarrolladores
también gradualmente ganan más libertad y autonomía para avanzar el producto a través de la secuencia a
causa de controles automatizados.
Sí – si algo, ayuda a facilitar la carga del mantenimiento del cumplimiento. En un estado ideal de DevSecOps,
seguridad, auditoría, monitoreo, y notificación están plenamente automatizados y monitoreados
continuamente, mejorando el cumplimiento.
_________________
114
DeVSecOps y el imperativo cibernético
• Mi proceso DevOps todavía es inmaduro. ¿Cómo puedo asegurar que mi gobierno de DevSecOps es
escalable?
Planee, elabore guiones gráficos, y comience pequeño. Los modelos sostenibles y escalables de gobierno de
DevSecOps típicamente caracterizan los siguientes componentes:
LÍNEA DE RESULTADOS
_________________
115
Tendencias tecnológicas 2019: más allá de la frontera digital
Autores
VIKRAM KUNCHALA es directivo de la práctica Cyber Risk Services de Deloitte & Touche LLP
y líder de la solución US Application Security. Con cerca de 21 años en diseño e
implementación de soluciones de seguridad y programas de administración del riesgo
cibernético, tiene experiencia en seguridad de aplicación, identidad y administración de
acceso, y administración de amenaza y vulnerabilidad cibernética. Kunchala tiene amplia
experiencia ayudando a que organizaciones técnicas y de negocio logren objetivos
estratégicos y tácticos. También lidera la práctica de Travel, Hospitality, and Leisure Cyber
Risk, de Deloitte.
KIRAN NORTON es directivo de la práctica Cyber Risk Services de Deloitte & Touche LLP y
tiene más de 20 años de experiencia de industria. También lidera la oferta de infraestructura
de seguridad, de Deloitte, donde les ayuda a clientes a transformar sus enfoques
tradicionales de seguridad en orden a permitir transformación digital, modernización de la
cadena de suministro, velocidad al mercado, reducción de costos, y otras prioridades del
negocio.
DYLAN HACK es gerente senior de Cyber Risk Services de Deloitte & Touche LLP. Tiene 20
años de experiencia en administración de proyectos de seguridad cibernética con clientes
globales centrándose en ciencias de la vida. Hack lidera implementaciones de DevSecOps, lo
cual incluye selección de herramientas, endurecimiento de la secuencia, e incorporación de
prácticas seguras de desarrollo de software. Fuera de DevSecOps, ha tenido varios roles,
incluyendo programación, administración de sistemas, planeación de la continuidad del
negocio, cumplimiento, y auditoría.
CONTRIBUYENTES SENIOR
Alex Cacchi
Senior manager
Deloitte LLP
_________________
116
DeVSecOps y el imperativo cibernético
Notas finales
1
Logz.io, “The 2018 DevOps pulse,” 2018.
2
Ibid.
3
DevOps Research and Assessment, Accelerate: 2018 State of DevOps, August 29, 2018.
4
Mark White et al., Right-speed IT, Deloitte University Press, February 24, 2016.
5
Warwick Ashford, “Firms need to move from DevOps to DevSecOps, says expert,” Computer Weekly, March 20, 2018.
6
Ayan Chatterjee and Alejandro Danylyszyn, Real-time DevOps, Deloitte University Press, February 21, 2014.
7
Chris Riley, “The how and why of shift-left security,” Twistlock, May 31, 2017.
8
Interview with Joe Croghan, chief of NIAID’s software engineering branch, November 14, 2018.
9
Interview with Christopher Kiem, senior IT project manager, US Food and Drug Administration, November 19, 2018.
10
GitLab, “2018 global developer report,” March 7, 2018.
11
Ashford, “Firms need to move from DevOps to DevSecOps, says expert.”
Documento original:
Chapter: DeVSecOps and the cyber imperative. Elevating, embedding, and evolving your risk response – Pgs. 102 –
116.
On: Tech Trends 2019. Beyond the digital frontier - Deloitte Insights, January 2019.
https://www2.deloitte.com/insights/us/en/focus/tech-trends/2019/embedding-security-devops-pipelines-
devsecops.html.
Traducción realizada por Samuel A. Mantilla, asesor de investigación contable de Deloitte &Touche Ltda., Colombia,
con la revisión técnica de César Cheng, Socio Director General de Deloitte & Touche Ltda., Colombia.
_________________
117