buscar

DevSecOps: Enfoque seguro en el desarrollo de aplicaciones

DevSecOps: Enfoque seguro en el desarrollo de aplicaciones

  • 190

En el ámbito tecnológico, el desarrollo de nuevas aplicaciones es un punto clave para mantenerse en el camino correcto, pero sin poner a un lado la seguridad que brinda el enfoque DevSecOps.

Ya que, no todo es velocidad y atractivo de la aplicación o software, muchas veces se ha dejado para último momento el aspecto de la ciberseguridad en la funcionalidad de la misma.

Esta filosofía integrada DevSecOps, permite aportar soluciones más allá de la seguridad, que serán de vital importancia en la toma de decisiones en la organización.

¿Qué es DevSecOps?

Desde hace mucho tiempo este concepto se viene aplicando en diversas empresas, pero de una forma separada o secuencial en sus procesos.

De por sí, el concepto parte de DevOps, como metodología de trabajo que enlaza el área de desarrollo (development) con los relacionados a la ejecución o de operaciones (operations), para luego aplicarle los componentes de seguridad (security): de ahí el acrónimo DevSecOps.

Entonces, DevSecOps permite utilizar de forma óptima la agilidad y la rapidez de reacción que ofrece el enfoque DevOps.

proceso del devsecops

En este concepto, los mecanismos de ciberseguridad se consideran de forma integral en el proceso desde el mismo inicio del desarrollo.

De esta manera se marca una notoria diferencia entre DevSecOps y en enfoque convencional, que aplica la seguridad una vez que se ha finalizado el desarrollo de la aplicación.

El método DevSecOps, aplicado correctamente en una empresa, se puede fusionar de forma ideal con las metodologías ágiles existentes, aportando cuantiosos beneficios a la organización y al cliente final.

Tal vez te interese leer -> Ciberseguridad en el Perú: 5 factores que debes conocer para proteger los datos de tu empresa

Características de DevSecOps.

El desarrollo de aplicaciones o software lleva implícito algunos requisitos básicos para el cliente y producto final, como lo es la fecha de entrega oportuna y la seguridad de la misma.

Por lo tanto, al momento de tener fechas muy cortas de entrega, es un desafío poder cumplir la exigencia en seguridad en cada una de las versiones con la misma rapidez que se solicitan.

Según el portal digital de Ionos Digital Guide, desde hace algunos años, este aspecto de ciberseguridad ha venido tomando un papel principal en todos los desarrollo a través del uso del enfoque DevSecOps.

Esta integración de seguridad durante el proceso de desarrollo de una aplicación, puede ser un reto cuesta arriba, ya que, hasta que no se cumpla el nivel de ciberseguridad necesario no podrá pasar a la siguiente etapa.

Para conseguir la seguridad necesaria en procesos cortos de desarrollo y de lanzamiento, es imprescindible integrar activamente esta etapa y concederle importancia desde la misma fase de desarrollo del software.

Pero una vez acoplado el equipo de trabajo bajo el enfoque DevSecOps, los procesos reducen el tiempo de desarrollo al testear cada parte de la aplicación en el momento de su incorporación.

Aquí es donde las metodologías ágiles como Scrum y Design Thinking juegan un papel importante, ya que, se distribuyen eficientemente las cargas, etapas y entregas del producto de forma consolidada.

Ejemplo de aplicación DevSecOps.

En la mayoría de las oportunidades, se puede observar que los softwares o aplicaciones constantemente están liberando nuevas versiones actualizadas de sus productos, donde han mejorado aspectos como la ciberseguridad.

Muchas de estas nuevas versiones, pueden ser parte del caso de no haber aplicado el enfoque DevSecOps, y una vez terminado el producto, es cuando se pasa a la etapa de seguridad para buscar vulnerabilidades.

ejemplo de devsecops en azure

Ejemplo del proceso DevSecOps en un entorno de desarrollo en Microsoft Azure

Este enfoque no está representado por una sola persona, y es lo que pasa cuando una compañía contrata un freelance o proveedor no garantizado, o cuando tiene un solo trabajador que se encarga de esos nuevos desafíos.

El tener a la persona con conocimientos de programación no garantiza que tendrá la solución ideal para la necesidad planteada.

Cuando la empresa aplica DevSecOps en sus nuevos proyectos, integra a tres áreas esenciales de la organización, donde cada departamento pondrá su experticia en el objetivo planteado.

Por esto, muchas empresas buscan socios estratégicos especializados que ya poseen este equipo integrado, como proveedor de servicios tecnológicos de alto nivel.

De esta forma, se puede garantizar tanto el plazo de entrega como la ciberseguridad en el proyecto final. La empresa también se beneficia de ciclos más cortos entre las versiones y los usuarios, por su parte, de las actualizaciones frecuentes del software.

DevSecOps en el diseño de contenedores y los microservicios.

Para RedHat, el manejo de contenedores y microservicios en el desarrollo en una aplicación, representan un claro desafío para las prácticas tradicionales.

Esto se sustenta en que al desarrollar todas las funciones de un proyecto desde una misma aplicación, se suele fragmentar la seguridad, sobre todo cuando se habla de soluciones en la nube.

Como sabemos, las soluciones Cloud no son estáticas, y cuando se habla de ciberseguridad, una aplicación completa desde un solo contenedor puede generar vulnerabilidad.

Es por eso que, al tener presente el enfoque DevSecOps permite evaluar de forma integral, desde el inicio del desarrollo de la aplicación, el aspecto de seguridad.

De esta forma, la escalabilidad y la infraestructura se hacen más dinámicas y los niveles de ciberseguridad se logran adaptar más rápido al panorama planteado.

Recomendaciones en el enfoque DevSecOps

Para concluir, algunas de las recomendaciones propuestas por Gartner, puede ser la solución ideal al momento de aplicar esta metodología de trabajo DevSecOps.

  • El equipo de trabajo se debe adaptar a este nuevo enfoque de trabajo, y no al revés.
  • No intentar eliminar todas las vulnerabilidades durante el ciclo de desarrollo.
  • Primero, identifica y elimina las vulnerabilidades conocidas de código abierto.
  • Adaptar los análisis de las pruebas estáticas y dinámicas que se realizan, bajo el enfoque DevSecOps.
  • Brindar capacitación a los desarrolladores para enfrentar el nuevo reto, no como experto en programación, sino con el trabajo en equipo.
  • Adopta equipos de trabajo en ciberseguridad, por departamento o proyectos, que integren el enfoque DevSecOps y los aspectos de ciberseguridad. 
  • Aplica la misma filosofía de análisis de código para los despliegues automatizados, vía secuencias de comandos o de infraestructura como código.
  • Gestionar un proceso de control para las versiones del código, de esta forma se puede aprender de los errores y aciertos.
  • Hacer revisión de cómo se maneja la gestión de incidentes en la prestación de servicios , para conocer los fallos en seguridad que se presentan en el proceso.

Tal vez te interese leer -> ¿Qué son los vectores de ataque en ciberseguridad?

Conclusiones

Para que una empresa pueda obtener un producto tecnológico con alto nivel de seguridad y en un tiempo idóneo, debe aplicar dos soluciones lógicas:

  • Pagar el precio por largos ciclos de desarrollo, y posteriormente, recibir un producto que posiblemente deberá actualizarse cada vez que se consiga una vulnerabilidad de ciberseguridad.
  • O simplemente aplicar el enfoque DevSecOps para lograr el objetivo deseado, reduciendo el tiempo de entrega y la cantidad de actualizaciones. Esto no implica que no se tenga que hacer algún ajuste, pero siempre será de menor intensidad y con menor frecuencia.

Para esta segunda opción, el equipo de seguridad deberá ser parte integral del proceso de desarrollo, conformando de forma conjunta las propuestas del cliente o producto final.

Para esto se requiere una muy buena comunicación entre los diferentes grupos de trabajo, y la aplicación de metodologías ágiles acordes. Por este motivo, el carácter interdisciplinar del proceso es clave para lograr una buena implementación.






ÚLTIMAS ENTRADAS

MÁS POPULARES