Pensar en la seguridad en cada proceso, donde todos somos responsables por ella, requiere cambiar la forma tradicional de hacer las cosas, dejar atrás el pensar primero en la funcionalidad y de último en la seguridad.
En la siguiente imagen, se muestra la Visión de DevSecOps (“Dev” de Development o Desarrollo, “Sec” de Security o Seguridad y “Ops” de Operations u Operaciones), la cual implica la incorporación de los esquemas de seguridad en cada paso en la ruta de DevOps:
Le invitamos a leer el siguiente extracto del artículo tomado de: https://revistabyte.es
Shift-left: la colaboración entre los equipos de seguridad y los desarrolladores
La tendencia de shift-left (cambio a la izquierda), que supone el traslado de la seguridad desde el final del ciclo de vida del desarrollo de software a un punto previo del proceso, puede marcar una diferencia real.
Al emplear herramientas de seguridad como parte del proceso de desarrollo, los desarrolladores pueden poner fin a su pesadilla de intentar solucionar los fallos de seguridad al final de un proceso.
“DevSecOps” es el término que resume el cambio cultural que debe ocurrir para poner fin a estas y otras deficiencias. Significa integrar la seguridad en todo para que todos los puntos de contacto, en el ciclo de vida del desarrollo de software, contengan un elemento de seguridad para que sean más eficientes y permitir detectar posibles problemas mucho antes.
Abriendo las líneas de comunicación
Entonces, con esto en mente, ¿Cuáles son los elementos clave para el éxito? Uno obvio es cómo derribar las barreras que existen entre los equipos de desarrollo y seguridad de una manera positiva.
Existen varios enfoques, como incorporar a una persona de seguridad en un equipo de desarrollo o capacitar a los desarrolladores sobre las mejores prácticas de seguridad. Cualquiera que sea el enfoque elegido, un paso fundamental es superar las barreras de comunicación.
Un error común es que la seguridad trate solo de decir “no” a cualquier solicitud, solo para reducir el riesgo. Desde una perspectiva de seguridad, existe otra idea errónea de que los desarrolladores solo se preocupan por entregar código, y la seguridad significa menos para ellos. Ninguno de los dos puntos de vista es totalmente verdad.
|
Shift-left supone el traslado de la seguridad desde el final del ciclo de vida del desarrollo de software a un punto previo del proceso |
Como todo el mundo, los equipos de seguridad quieren que la empresa tenga éxito y que sucedan cosas interesantes. Los desarrolladores también se preocupan por algo más que la entrega de código; además, saben que, si sale algo mal, hay implicaciones importantes que quieren evitar.
Si bien las líneas abiertas de comunicación y el entendimiento mutuo son clave, es igualmente importante que los equipos de DevSecOps tengan un conjunto de herramientas que estén igualmente integradas y sean capaces de rastrear y abordar los cambios que podrían estar sucediendo en su empresa.
Quizás la mayor dificultad a la que se enfrentan las empresas cuando intentan integrar la seguridad en el desarrollo es que, con demasiada frecuencia, todo el mundo quiere una respuesta fácil. En otras palabras, “seguridad suficientemente buena”, pero esa nunca es una buena idea.
Desafiar esto requiere un duro trabajo en la forma en que la mentalidad de seguridad de una organización evidencia que habrá algo de trabajo por parte de todos. No hay un camino sencillo e intermedio.
El cambio a la izquierda (shift-left) y cultivar DevSecOps requerirá tiempo. Hay un doble trabajo a la hora de invertir en herramientas que permitan a los desarrolladores y los equipos de seguridad trabajar juntos; y hacer un esfuerzo real para eliminar las barreras de comunicación, desarrollar la cultura adecuada y establecer procesos que permitan a los desarrolladores y profesionales de la seguridad trabajar juntos con un propósito común.
Lea también:
- ¿Qué es DepOps? (ingresar)
- El ciclo de vida de DevOps (ingresar)
- Ventajas de adoptar una cultura DevOps (ingresar)