No ponga la seguridad en DevOps; genere DevOps de seguridad

Muchos analistas de seguridad están analizando a nivel mundial el impacto de las DevOps en la seguridad de la información.

Siempre he observado con cierto recelo la forma en la que puede alinearse la seguridad y el DevOps.  Llevo años trabajando y asesorando equipos de TI para ayudarlos a “reducir el riesgo” y a “cumplimentar auditorías de seguridad”, y en todo ese lapso he visto con frecuencia el fracaso de muchos grupos de trabajo con enorme talento.  ¿Cuál es la razón principal por la que muchas empresas fracasan en seguridad?

La respuesta a esta pregunta puede resultar obvia, pero tanta obviedad no logra tapar la verdad que existe detrás de la realidad: el negocio en sí mismo no valoriza la seguridad, no considera rentable invertir en seguridad y pone foco en invertir donde más sabe, en el negocio mismo.

La gente de negocios entienden claramente la ventaja de ‘liberar un desarrollo más rápido’, el “time to market” gana la partida  y se justifica con el hecho y la oportunidad de “ganar más dinero”, algo que se alinea con los DevOps de forma transparente.

La enorme popularidad que ha ganado DevOps en el mundo empresario, tiene que ver con esto- Existe una mayor probabilidad de atención sobre el presupuesto que otras opciones de inversión que no tienen una correlación directa entre ésta y los ingresos, como es el caso de la seguridad.

Así que si usted es un líder InfoSec, una buena apuesta es alinearse a la iniciativa DevOps (o punta de lanza de usted mismo para el caso) y ayudar a los negocios a entender el valor de la seguridad de una manera que no mida las cosas por # de incidentes, lapso de tiempo de la vulnerabilidad a los parches o puntuación de cumplimiento.

Uno de los principales beneficios de los principios DevOps es el aporte funcional automatizado para garantizar que los tiempos de liberación de una aplicación a producción sean previsibles, breves y de calidad. Pero los profesionales de seguridad son habitualmente los aguafiestas del departamento de tecnología de cualquier empresa.

Lo que muchos pueden considerar un estereotipo amargado y serio está empezando a decaer por necesidad, aunque aún hoy en las organizaciones más ágiles del planeta, el responsable de seguridad es el último en ser consultado y se ve obligado a frenar los desarrollos, lo cual es contraproducente para el DevOps como metodología.

Por lo tanto, creo que hay algunas cosas que deben evolucionar en una compañía para amalgamar estos dos sectores tan contrapuestos:

1. “DevOps” es el comienzo de todo, lo cual no implica que sea el fin de nada.

2. Seguridad debe participar antes en desarrollo para robustecer el sistema tanto como sea factible. De la misma forma que existe un analista funcional, un analista de seguridad debe trabajar codo a codo con él.

3. La función de seguridad no es detener un desarrollo, sólo busca equilibrar las necesidades de auditoría de seguridad con los objetivos de negocio, lo cual se constituye como una ventaja a la hora de realizar implementaciones más rápidas.

4. El punto de encuentro entre seguridad, desarrollo, operaciones y pruebas es que todos necesitan adoptar una metodología similar que permita mejorar la visibilidad del proyecto y diagramar los mejores flujos de colaboración entre todo el equipo.

DevOps para una compañía ágil permite tener un diálogo en torno a la seguridad sin dejar de estar alineada con el negocio, transforma los controles de seguridad y éstos se implementan más rápido ya que se convierten en facilitadores de negocios.

Por Facundo Rojo Gil
CISA,CISM
Director General – VÍNTEGRIS