Novedades del sitio

Equipos de seguridad deben adoptar prácticas DevOps o quedarse atrás

 
Picture of System Administrator
Equipos de seguridad deben adoptar prácticas DevOps o quedarse atrás
by System Administrator - Thursday, 14 September 2017, 6:29 PM
Group Colaboradores y Partners

Equipos de seguridad deben adoptar prácticas DevOps o quedarse atrás

Las prácticas DevOps pueden ayudar a mejorar la seguridad empresarial. Frank Kim, del Instituto SANS, explica cómo los equipos de seguridad de la información pueden adoptarlas.

Todas las empresas, ya se den cuenta o no, son empresas de tecnología. La tecnología digital está transformando los negocios. Está cambiando el modo en que las empresas operan y cómo entregan valor a los clientes.

Esta mayor dependencia en la tecnología está impulsada por el deseo de traer nuevos productos y servicios al mercado de una manera más rápida y eficiente para satisfacer la demanda de los clientes. La nueva tecnología, incluyendo microservicios y la nube pública, así como varias prácticas de DevOps, ahora se utiliza comúnmente para llevar los productos al mercado más rápido. A pesar de los muchos beneficios asociados con la transformación digital, hay nuevos desafíos que muchas empresas están luchando por enfrentar.

Para entender estos retos, es útil echar un vistazo a cómo se manejó el desarrollo antes de la transformación digital. En el pasado, muchas organizaciones tradicionales desplegaron un nuevo producto, servicio o sitio web con poca frecuencia, tal vez incluso solo una vez al año. Con los avances en la tecnología, esta línea de tiempo ha cambiado drásticamente.

Hoy, muchas organizaciones están desplegando un nuevo servicio a producción 10, 20 e incluso 50 veces al día. Esta creciente tasa de cambio tecnológico ha creado una situación alarmante para los equipos de seguridad, equipos de TI y equipos de riesgo. Estos equipos están ahora encargados de encontrar nuevas maneras para que su organización pueda utilizar mejor las prácticas de DevOps y apoyar la tecnología que la organización quiere usar, sin poner a la empresa en riesgo.

La nueva ruta de seguridad

DevOps y la nube están cambiando radicalmente la forma en que las organizaciones diseñan, construyen y operan sistemas. En los enfoques tradicionales de seguridad, la respuesta por defecto a las nuevas tecnologías y enfoques a menudo es no. En el entorno moderno de hoy en día no funcionará un simple no. La acelerada tasa de cambio que demandan las empresas está obligando a la seguridad a adoptar un enfoque diferente.

En este nuevo mundo, los equipos de seguridad deben hacer tres cosas.

  1. Entender DevOps. Los equipos de seguridad deben aprender las complejidades de cómo funciona DevOps, cómo se utilizan los sistemas de integración continua/entrega continua (CI/CD) para llevar productos al mercado más rápidamente, y cómo la capacidad de desplegar cambios rápidamente no es un riesgo, sino su mayor activo de seguridad.
  2. Habilitar equipos de desarrollo. Los equipos de seguridad deben aprender cómo inyectar seguridad en el sistema DevOps de CI/CD sin ser bloqueadores. En lugar de decir a los equipos de desarrollo qué no hacer y cómo no hacer algo, deben estar de acuerdo en los resultados comunes.
  3. Utilizar las prácticas de DevOps dentro de la seguridad. Los equipos de seguridad deben practicar lo que predican y utilizar internamente las prácticas DevOps para implementar productos de seguridad de forma más rápida, confiable y con mayor eficacia.

Una mirada hacia adelante

En la búsqueda para determinar cómo apoyar el rápido ritmo de cambio, DevOps jugará un papel clave. Las prácticas DevOps se basan en una serie de principios fundamentales diferentes, incluida la automatización. Esta es una buena noticia, teniendo en cuenta que gran parte del despliegue de infraestructura hoy en día está, de hecho, automatizado. La cuestión, por lo tanto, no es cómo mantenerse al día con DevOps, sino cómo los equipos de seguridad pueden beneficiarse de DevOps y el traslado a la nube.

DevOps puede ayudar a reducir el riesgo cuando la seguridad se integra en el proceso de desarrollo. Los equipos de seguridad tienen la oportunidad de moverse más rápido porque pueden implementar actualizaciones a la funcionalidad y las funciones más rápidamente en DevOps. Y cuando el problema de seguridad inevitable se encuentra en una aplicación, puede ser parchado mucho más rápidamente. Esto permite que las organizaciones y los equipos de seguridad se muevan más rápido.

La tecnología digital no se limita a transformar las empresas. Con la ayuda de DevOps, también está transformando la seguridad. DevOps es el futuro del desarrollo y, como resultado, es el futuro tanto de TI, como de la seguridad de la información.

Nota del editor: Frank Kim impartirá un curso sobre introducción práctica para asegurar DevOps en un próximo evento SANS en Las Vegas en septiembre.

Sobre el autor: Frank Kim es el director de currículo del SANS Institute y fundador de ThinkSec, una firma de consultoría de seguridad y asesoría para CISO. Anteriormente, como CISO en el Instituto SANS, Frank lideró la función de riesgo de información para la fuente más confiable de entrenamiento en seguridad informática y certificación en el mundo. En su nuevo cargo en SANS, continúa dirigiendo los planes de estudios de gestión y seguridad de software, ayudando a desarrollar la próxima generación de líderes de seguridad.

Link: http://searchdatacenter.techtarget.com