La transformación digital de los procesos de las organizaciones y de la sociedad, tal y como la conocemos, hace que la seguridad y la ciberseguridad sean exponentes máximos y requeridos. La integración de la seguridad en todos los procesos es real y necesario para todas aquellas organizaciones que no quieren desaparecer, como les pasó a los dinosaurios.
Por ello, ha nacido una nueva especialización de la Ciberseguridad, el DevSecOps.
DevSecOps, dominio de la seguridad, sistemas y el desarrollo
Por Juanjo Salvador
Director Académica de ENIIT y del Campus Internacional de Ciberseguridad
Con el nacimiento del DevSecOps, la seguridad empieza a tener cabida en entornos de desarrollo rápido y ágil, pero para poder explicarlo creo que lo mejor que podemos hacer es ir al libro “Docker: SecDevOps”, de la editorial @0xWord, escrito por Fran Ramírez, Elías Grande y Rafael Troncoso, en el que definen el DevSecOps como:
“La filosofía dentro del mundo de la tecnología que nació con vistas a cubrir de un modo más eficiente la interdependencia existente en las empresas entre el mundo de desarrollo y el de operaciones …
Con vistas a cubrir este objetivo se persigue crear un entorno automatizado tanto a nivel de entrega de software como de cambios en infraestructura, y siempre llevando a cabo los controles de calidad necesarios para mejorar tanto el Time to Market del software desarrollado, así como su fiabilidad.”
Por lo tanto, podemos decir que el DevSecOps nace de la necesidad de aunar esfuerzos en el desarrollo del software y su operación, la seguridad requerida desde el diseño, sus consecuentes fases en el ciclo de vida del desarrollo de software y la necesidad de disponer de seguridad desde el análisis y diseño de las soluciones software, así como para garantizar la seguridad en las operaciones.
La tecnología ha proporcionado una gran cantidad de herramientas para automatizar los procesos, fortificar los entornos y permitir desarrollar al máximo exponente la integración y el despliegue continuos.
Con el nacimiento del DevSecOps, la seguridad empieza a tener cabida en entornos de desarrollo rápido y ágil
Parafraseando a Pablo González en el prólogo del citado libro, “el mundo de los contenedores ha avanzado hasta límites poco antes imaginados”. El mundo del DevOps y del SecDevOps se apoyan en estas nuevas tecnologías para lograr una optimización y rendimiento máximo en el día a día”.
Los microservicios, a través de ciclos de desarrollo corto y frecuentes, son una fuente de inspiración en el mundo DevOps, que utilizan tecnologías innovadoras, permitiendo mantenerse actualizados o llevar a cabo medidas de seguridad con mínima interrupción de las operaciones. En este sentido, tecnologías como Docker han proporcionado la posibilidad de generar esos microservicios y un despliegue muy rápido y ágil.
Todo este proceso comienza con la interacción humana, pero cuanto mayor es el nivel de madurez, mayor será la automatización del proceso, facilitando esos cambios humanos en un marco de DevSecOps.
Las empresas deben considerar todo el entorno de desarrollo y operaciones, incluyendo los repositorios de control de códigos fuente, los registros de contenedores, el canal de integración e implementación continuas (CI/CD), la gestión de la interfaz de programación de aplicaciones (API), la automatización de los lanzamientos y la coordinación, y la gestión y la supervisión operativas.
Para finalizar, si te has dado cuenta, he usado indistintamente los términos SecDevOps y DevSecOps, algo habitual dependiendo de si estamos en un entorno anglosajón o no, sin embargo, en realidad, aunque tienen un trasfondo común hay ciertas diferencias tanto en su construcción como en su implementación, con sus particularidades, pros y contras.
Pero esto será cuestión de otro post …
Desarrolla un perfil todoterreno en ciberseguridad. Lidera el DevSecOps y domina seguridad, sistemas y desarrollo