[Originalmente presentado en Gartner Security & Risk Management Summit 2018, “Seguridad en un mundo DevOps” examina los desafíos y beneficios de integrar la tecnología de seguridad y el pensamiento en el proceso de desarrollo en las primeras etapas.]
Problema
Todos estamos atrapados en una respuesta rápida, la recuperación y el ciclo repetido de la ciberseguridad. Raramente retrocedemos y evaluamos si nuestro enfoque actual y nuestras estructuras organizacionales se alinean con nuestro resultado deseado.
Creo firmemente en cómo estructuramos la seguridad dentro de una organización y nuestro enfoque general ha llegado al límite de su eficacia.
Es hora de un cambio radical.
Esto no quiere decir que debamos alzar la mesa y comenzar todo de nuevo. El método actual es ineficiente, no escala y es muy costoso. Así que se puede hacer mejor.
Cambio cultural
El cambio cultural es complejo, es una de las cosas más difíciles que una organización puede emprender, se necesita persistencia y dedicación. Es un camino difícil para viajar.
Pero hay ejemplos positivos, uno de ellos es la cascada a las metodologías ágiles de desarrollo la cual siguió rápidamente al empuje cultural hacia una mentalidad de “DevOps” y todo se reduce a este breve tweet de Sonia Gupta:
What is DevOps? It's two things, per @jsnover:
1) Do work in small batches so you can learn.
2) Stop being a jerk to your coworkers.Wisdom.#MSBuild
— Sonia Gupta @ JSConfUS (@soniagupta504) May 7, 2018
El objetivo es descomponer los depósitos de la organización y acortar las reacciones generales. Resulta que estos dos ajustes pueden cambiar drásticamente la forma en que se entregan los servicios de TI.
El objetivo de la seguridad
Para alinear los esfuerzos de seguridad con un cambio cultural, necesitamos entender claramente el objetivo de la seguridad. Pero para mí, hay una serie de definiciones que dejan ver el simple objetivo de la seguridad.
La seguridad funciona para garantizar que sus sistemas funcionen según lo previsto … y solo según lo previsto.
No se puede lograr este objetivo sólo desde el equipo de ciberseguridad. Requiere colaboración y cooperación con el resto de la organización.
Así es como abordaremos las brechas en las habilidades de seguridad. No entrenando más y más de lo que actualmente pensamos como “personas de seguridad”, sino elevando el nivel de conocimiento de seguridad en toda la organización.
El movimiento DevOps representa la oportunidad más significativa para que la implementación de seguridad se alinee con los resultados deseados en la generación pasada. Eso suena dramático, pero también es preciso.
Nosotros, la comunidad de seguridad, nos debemos a nosotros mismos y a nuestras organizaciones para aprovechar esta oportunidad.
Proceso de Desarrollo
Para vincular los resultados de seguridad con este cambio cultural, el trabajo debe “cambiar hacia la izquierda”. Esto se refiere al movimiento de la visualización del flujo de trabajo para el desarrollo común.
Pasar al lado izquierdo del diagrama donde se realiza todo el “desarrollo” aumentará la efectividad de los esfuerzos de seguridad al mismo tiempo que reducirá su costo total.
Comenzando con la fase de planificación, el conocimiento de seguridad ayuda a los desarrolladores y otros equipos a tomar decisiones de diseño más inteligentes. Crear sistemas que tengan una seguridad profundamente integrada y respeten la privacidad por diseño, es la forma más efectiva de aumentar nuestra postura general de seguridad.
Nadie quiere escribir sobre un software vulnerable de mala calidad. Pero intentar cerrar la brecha a la seguridad, continuamos permitiendo este resultado.
Tomar decisiones de diseño inteligentes como el cifrado por defecto, el uso de bibliotecas bien mantenidas y aceptadas, y la reducción de la cantidad de información personal almacenada, significa que los errores tienen menos posibilidades de exponer información valiosa.
En la frase de codificación, el pensamiento de seguridad ayuda a garantizar que la cobertura de prueba sea adecuada para los datos que se procesan. Esto ayuda a los desarrolladores a utilizar patrones seguros y bien entendidos para la administración de secretos y otras prácticas de codificación flexibles.
Durante la fase de prueba, las herramientas de seguridad pueden ayudar a reducir el riesgo de depender de un tercero, mediante la identificación de problemas conocidos y la implementación de pruebas unitarias para controles de seguridad básicos.
Finalmente, en la fase de implementación, toda la información sobre la última interacción del ciclo de desarrollo se puede utilizar para informar los controles de seguridad en la producción. Esto garantiza que dichos controles estén al tanto de los cambios más recientes en la aplicación y que los sistemas de monitoreo tengan una idea mucho más clara de cómo es el comportamiento “normal” de la aplicación.
¿Qué sigue?
Crear una cultura de pensamiento de seguridad es una gran empresa. El enfoque actual de un equipo aislado que intenta coordinar y colaborar con el resto de la organización ha alcanzado su límite de escala.
Es hora de un cambio.
Nosotros, la comunidad de seguridad, somos afortunados de que el cambio hacia una cultura DevOps esté comenzando. Esto presenta una oportunidad única para aprovechar este esfuerzo y combinar fuerzas.
Podemos usar el impulso generado hacia DevOps para hacer la seguridad correcta. Podemos integrar la seguridad en el tejido de la prestación del servicio y asegurarnos de que nuestros sistemas funcionen según lo previsto.
Por Mark Nunnikhoven (Vice President, Cloud Research)
Leave a Reply