DevOps al desnudo: Cómo afrontar la transición a DevSecOps

claranet-como-hacer-transicion-a-devsecops.jpg

Hace unos meses entrevistamos en el Reino Unido a 100 responsables de TI acerca de DevOps, y la mayoría (un 88%) afirmó haber adoptado este enfoque o planear hacerlo en los próximos años.

Gene Kim, coautor del best-seller The Phoenix Project: A Novel about IT, DevOps, and Helping Your Business Win, escribe en el artículo de su blog titulado Why We Need DevOps Now, muchas razones por las que deberían hacerlo:

“By putting DevOps patterns into practice, organizations like Etsy, Netflix, Facebook, Amazon, Twitter and Google are achieving levels of performance that were unthinkable even five years ago: tens or even hundreds of code deploys per day, while delivering world-class stability, reliability and security.”

Hasta aquí bien, pero esta afirmación de que DevOps dirige inevitablemente a una mejor seguridad nos ha hecho reflexionar. De hecho, cuando preguntamos a los participantes de nuestra encuesta solo el 19% afirmó estar plenamente seguros de su capacidad de integrar seguridad en el proceso (lo que habitualmente se llama DevSecOps).

Un 19% frente a un 88% es como una señal de peligro con luces parpadeantes. Moverse rápido con DevOps puede representar un empujón en cuanto a la agilidad del negocio, pero no se puede ignorar los potenciales riesgos de seguridad que se introducen en el proceso.

Cómo hemos llegado hasta aquí

Tradicionalmente, muchos negocios han visto la seguridad más como algo que se administra por separado del ciclo de desarrollo que una disciplina que debe ser totalmente incorporada de extremo a extremo.

El reto suele ser un reto de tiempo. Los equipos DevOps a menudo quieren moverse con una rapidez mayor de la que están acostumbrados los equipos de Seguridad con procesos de legacy. Por ejemplo, los equipos DevOps no pueden esperar las mismas semanas que habitualmente requeriría actualizar el aprovisionamiento de infraestructura y las reglas de firewall. A pesar de ello, este sigue siendo el estatus quo en la mayoría de las organizaciones.

Una entidad por separado

Dados los frecuentes ciclos de desarrollo, característica inherente de un enfoque DevOps, ver la seguridad como una entidad por separado puede, en realidad, ralentizar los procesos y reducir la eficiencia. Esto lleva o bien a comprometer la agilidad – aspecto esencial para cualquier filosofía DevOps – o bien posibles ventanas con vulnerabilidades que no serán identificadas hasta el siguiente ciclo de testeo de seguridad.

Para poner remedio a este problema y ayudar a TI a hacer la transición a DevSecOps de forma eficiente es esencial formar a todo el equipo del departamento, como también lo es adoptar nuevos enfoques respecto a los testeos de seguridad: incluir monitorización y análisis continuos a lo largo de todo el ciclo de vida DevOps (ya sea la fase de planificación, programación, preproducción o incluso de desmantelamiento).

Seguridad integrada

Mientras los beneficios del DevSecOps son evidentes, llevarlo al plano real es un proceso complejo que no puede completarse de la noche a la mañana. Resolver cómo implementar y automatizar la seguridad de aplicaciones – como la monitorización continua o el análisis estático – dentro de los pipelines de CI/CD lleva tiempo y esfuerzo. Además, se debe estar al día y comprender bien los últimos enfoques en testeo de seguridad (como el continuous security testing) para asegurar que nuestro enfoque en security testing puede seguir el ritmo de cambio que el enfoque DevOps permite.

Estas pautas deben diseñarse a medida para todo aquél involucrado en el proceso DevSecOps. Los equipos de desarrollo han de ser formados para potenciar su conciencia de seguridad (o security awareness) y resolver cómo trabajar con sus colegas de Seguridad. Los equipos de seguridad se beneficiarán sin duda al aprender cómo encajan sus roles dentro del ecosistema DevOps y apreciarán más las responsabilidades de sus colegas desarrolladores. Si lo que antes eran componentes dispares ahora pueden unir esfuerzos, una filosofía DevSecOps efectiva se dará de forma natural.

Restaurando el equilibrio

Como hemos visto, el hecho de que una quinta parte de las empresas duden de su capacidad de cumplir con DevSecOps pone en evidencia una desconexión significativa entre las capacidades de DevOps y la rapidez de DevSecOps.

Es verdad que la agilidad es central en cualquier empresa moderna que quiera competir a nivel global. Los equipos DevOps comprensiblemente no quieren renunciar a esta agilidad conseguida con tanto esfuerzo. No obstante, con el aumento de amenazas de ciberseguridad y nuevas regulaciones, las empresas necesitan dar con el equilibrio adecuado entre agilidad y seguridad.

Ideas clave:

  • DevOps se ha convertido rápidamente en la manera de trabajar de facto de la gran mayoría de departamentos de TI.
  • Pero pocos más de uno de cada cinco confían plenamente en su capacidad de integrar seguridad en el proceso.
  • Para asegurarse de no exponerse a ataques, los negocios necesitan incorporar las mejores prácticas en seguridad en todo el ciclo de vida DevOps.
  • Nuevos enfoques, como el continuous security testing, hacen que los ciclos de desarrollo puedan ser más rápidos y seguros.