781e3878

Que es SecOps y cómo puedes aplicarlo a tu organización.

Que es SecOps y cómo puedes aplicarlo a tu organización.

SecOps también conocido como DevSecOps es una cultura y una mentalidad basada en la idea de que todos son responsables de la seguridad, con el objetivo de distribuir las decisiones de seguridad a velocidad y escala dentro de un modelo de DevOps ágil para aquellos que tienen el nivel más alto de contexto, sin sacrificar la seguridad requerida.

Se podría decir que DevSecOps es una evolución de la metodología DevOps

De la misma manera que DevOps fusiona codificación, construcción y prueba con las funciones de operaciones de lanzamiento, implementación y supervisión de los sistemas, DevSecOps capas sobre la evaluación de riesgos, modelado de amenazas, pruebas de penetración, revisión de código y validación de cumplimiento para garantizar que la seguridad esté estrechamente alineada con procesos y objetivos de negocio. Hace que las prácticas de seguridad sean repetibles, coherentes e integradas en el desarrollo de principio a fin.

En un escenario ideal, una organización con mentalidad de DevSecOps que funcione perfectamente sería transparente, alineada, de alto rendimiento y con lanzamientos rápidos. Pero en la práctica, alinear estas tres organizaciones puede resultar difícil. Tradicionalmente, la mayoría de los desarrolladores, operaciones o DevOps ven a los equipos de seguridad como un obstáculo: un retraso en la salida del código. Y por otro lado, muchas organizaciones de seguridad carecen de personal en relación con los equipos de desarrollo o utilizan metodologías muy obsoletas que se centran en priorizar la reactividad sobre la proactividad. El resultado es que cuando estas dos o tres organizaciones se unen, pueden carecer de contexto sobre las prioridades de cada uno, lo que puede llevar a una falta de comunicación.

Afortunadamente, DevSecOps es una mejor manera, pero requerirá aceptación.

Así es como DevSecOps mantiene un punto de unión DevOps. El equipo de operaciones es el que se encarga de colaborar con el equipo de seguridad para establecer las normas que la empresa en la que operan tiene que seguir, así como los procesos que han de ejecutar y las herramientas a utilizar para que el desarrollo de software sea siempre seguro.

Para poder aplicar la metodología del DevSecOps a la empresa hay 5 puntos fundamentales a seguir.

  1. Comprenda que DevSecOps es un cambio cultural

Adoptar un enfoque DevSecOps sería un gran compromiso para la mayoría de las empresas, así que sea empático con el gran cambio de cultura que es. Abra un diálogo, sea audaz y sea el que dé el primer paso hacia el cambio. Si participa con un enfoque claro y simple que resalte los beneficios comerciales, de eficiencia y seguridad para cada organización, será más fácil encontrar puntos en común y tener una mentalidad compartida.

  1. Alinee sus prácticas de seguridad con su flujo de trabajo de desarrollo, no al revés.

Es importante que cuando entre en discusiones con los equipos de desarrollo, no lleve sus prácticas de seguridad actuales al equipo de desarrollo y espere que cambien la forma en que desarrollan el código.

Obviamente, no debe ignorar cuáles son sus requisitos de seguridad en términos de monitoreo, evaluación de riesgos, etc., pero debe estar dispuesto a cambiar su práctica de seguridad para alinearse con el flujo de trabajo de desarrollo. Si intentara orientar su enfoque de DevSecOps en torno a la forma en que tradicionalmente aborda la seguridad, toda la velocidad y la cadencia de sus versiones de producción se estancarían. Por lo tanto, sean flexibles y hagan que la prioridad sea la producción de valor juntos claro.

  1. Demuestre que la seguridad puede seguir el ritmo de la velocidad.

Como se mencionó antes, probablemente habrá una vacilación natural por parte de sus equipos de desarrollo, operaciones o DevOps para dar la bienvenida a sus equipos de seguridad o profesionales en su “forma de hacer las cosas”. Puede contrarrestar esta vacilación ofreciéndose a brindar servicios de visibilidad y monitoreo, y trabajando juntos para mapear sus procesos juntos y encontrar oportunidades para respaldar la agilidad.

Al principio, debería estar menos interesado en la aplicación, el bloqueo de actividades y la ralentización de la canalización, y debería invertir más en demostrar que la seguridad puede seguir el ritmo de la velocidad con la que sus equipos de desarrollo están construyendo tanto producto, para garantizar que la canalización funcione. suavemente.

  1. Pasar de la prevención a la identificación de vulnerabilidades.

Una vez que la seguridad ha encontrado su base en el flujo de trabajo de desarrollo, puede considerar expandirse desde un rol de monitoreo y visibilidad al uso de su experiencia para identificar de manera proactiva las vulnerabilidades en el código. Aquí es donde el equipo de seguridad puede convertirse en el mejor amigo del equipo de desarrollo.

  1. Redirigir el presupuesto de seguridad para respaldar el flujo de trabajo de desarrollo.

Finalmente, eche un vistazo a su propio presupuesto de seguridad. A medida que cambia sus prácticas para alinearse con el flujo de trabajo de desarrollo, ¿hay lugares en los que pueda redirigir parte del presupuesto de seguridad a ese flujo de trabajo? Si lo hace, demostrará su compromiso con la sostenibilidad de la seguridad en cada versión.

La seguridad es responsabilidad de todos

Puede parecer abrumador dirigirse hacia un cambio cultural como DevSecOps, pero es importante recordar que los cambios culturales no ocurren en un día, ni siquiera en un mes o año. Con solo comenzar la conversación, ya está bien encaminado hacia un futuro de seguridad más ágil y sostenible.

Si su empresa ya es una máquina DevOps bien engrasada, o si está en las etapas iniciales de adoptar una nueva metodología de desarrollo de software, una cosa es segura: la seguridad de su producto es una de las principales preocupaciones. Y con más brechas de seguridad públicas y altamente visibles que nunca, es posible que esté evaluando cómo puede incorporar una mentalidad de seguridad en toda su organización sin sacrificar la agilidad o comprometer los programas de lanzamiento.

Responder a la seguridad simplemente como un punto en el tiempo, problemas puntuales, o peor aún, tomar solo después de que usted se haya visto comprometido, ya no es una posición viable o defendible. Debe considerar cómo puede crear un modelo de seguridad sostenible. La clave de esto viene incorporando la seguridad en el proceso de desarrollo de su software.

Y ahí es donde entra en juego una estrategia de DevSecOps.