TRANSFORMANDO EL EQUIPO DE SEGURIDAD EN UN SOCIO DE DEVOPS

Por: Josh Kirkwood

Asegurar los entornos DevOps es una preocupación cada vez más importante para los directores de seguridad de la información (CISO por sus siglas en inglés) y los equipos de seguridad. Si bien los desarrolladores a menudo reconocen que la seguridad es importante, no es su máxima prioridad. Más comúnmente, el equipo de DevOps prioriza la entrega de nuevas capacidades y características para el negocio y los clientes. A menudo como parte de una iniciativa de transformación digital más amplia. Y, los desarrolladores a menudo ven la seguridad como algo que ralentizará las implementaciones.

Usualmente los equipos de seguridad tienen un conocimiento o experiencia limitada de DevOps. Muy a menudo, el resultado es que la adopción de DevOps comienza e incluso se establece dentro de una organización antes de que el equipo de seguridad se involucre. Como consecuencia, las vulnerabilidades de seguridad no siempre se abordan adecuadamente en entornos DevOps y pueden generar riesgos innecesarios.

Integrando seguridad en DevOps

La prioridad es que el equipo de seguridad lidere la integración de seguridad en los procesos de DevOps antes de que se arraiguen las malas prácticas. Pero como ambos equipos suelen estar aislados y no tienden a trabajar en colaboración. ¿Cómo pueden los equipos de seguridad comprometerse, energizarse y colaborar mejor con sus contrapartes de DevOps para lograr el equilibrio correcto? En pocas palabras ¿cómo pueden las organizaciones alinear sus equipos de DevOps y seguridad y establecer una colaboración para una seguridad general más sólida?

Hay algunos pasos cruciales que se deben tener en cuenta para lograr una verdadera integración de la seguridad y DevOps.

  1. Establecer las habilidades necesarias para obtener el asiento del conductor. La colaboración efectiva requiere una comunicación efectiva. Si bien los desarrolladores escriben el código real, es importante que los equipos de seguridad adquieran conocimiento sobre los lenguajes de programación junto con la forma en que las aplicaciones se crean, prueban e implementan automáticamente. Esto les ayudará a tener discusiones más significativas y conversaciones creíbles. Los profesionales de seguridad pueden comenzar aprendiendo algunos de los fundamentos: PowerShell, Pyhton y Rust, así como también cómo las herramientas DevOps usan las llamadas REST y las tecnologías de contenedorización, en particular Docker y Kubernetes.
  2. Facilitar a los desarrolladores hacer lo correcto. No puede ser el engranaje manual en su proceso completamente automatizado. Facilite a los desarrolladores hacer lo correcto capacitándolos en prácticas de codificación segura e implementando un modelo de autoservicio para capacidades de seguridad. Por ejemplo, podría proporcionar una política de seguridad como código que se pueda integrar en los procesos automatizados de los desarrolladores.
  3. Establecer maneras efectivas de colaboración. Fije sistemas formales para garantizar que los profesionales de DevOps entiendan los riesgos de la seguridad e implemente buenas prácticas de seguridad en la organización. Considere cómo implementar de la mejor manera recursos de seguridad en modelos y estructuras organizativas nuevas o existentes. Esto incluye establecer centros de excelencia, líderes de comunidad, defensores de la seguridad e integrar a los miembros del equipo de seguridad dentro de los equipos de desarrollo.
  4. Hacer que los desarrolladores piensesn como atacantes. Eduque a los equipos de DevOps sobre tácticas de ataque específicas, muestre cómo los módulos de código de muestra podrían exponer secretos y proporcione ejemplos como historias de usuarios. Por ejemplo, “como atacante, escanearía los repositorios de código de la organización en busca de secretos”. Lleve al equipo a través de un ejercicio de prueba de penetración o contrate a un equipo rojo para demostrar cómo un atacante comprometería una tubería de CI/ CD.
  5. Adoptar métodos ágiles y DevOs. La seguridad debería comenzar a utilizar métodos ágiles y DevOps dentro de sus propios equipos, no solo para obtener una comprensión más profunda de las metodologías DevOps, sino también para lograr una mayor eficiencia mediante la automatización de tareas o la entrega de capacidades en incrementos más pequeños con mayor frecuencia.

El resultado final es que es crucial comprender cómo otras empresas abordan los desafíos de gestión de secretos en DevOps y entornos de nube. Esto puede ayudar a fomentar la colaboración y acelerar los propios esfuerzos del equipo de seguridad. En última instancia, esto garantiza que la agilidad no solo se implemente en aras de la innovación, sino que las empresas reflexionen sobre sus procesos y prioricen la seguridad para aprovechar al máximo su transformación.

Transforming the Security Team Into a DevOps Partner


16 de Enero de 2019

Scroll hacia arriba