4 Recomendaciones para integrar seguridad mediante DevOps

Todas las empresas buscan maneras de acelerar el desarrollo al mismo tiempo que incorporan el nivel de seguridad adecuado. Las compañías están logrando esto con éxito adoptando el enfoque DevOps, que aumenta la agilidad en muchas áreas, como la seguridad, la TI y el desarrollo. Pero este logro no viene sin desafíos.

Andrew Storm, quien fue parte del panel de expertos de DevOps en RSA 2017, asegura que para algunos, tomar este nuevo enfoque implica un cierto miedo porque, a diferencia de la seguridad, DevOps no está regulado o guiado por estándares de cumplimiento. Asimismo, otros se preocupan por cómo incorporar la seguridad cuando la estructura de la compañía evita los cambios o no hay una persona que conduzca al éxito.

Una investigación reciente de DigiCert muestra que las compañías ya están invirtiendo en la incorporación de seguridad mediante DevOps: 49% de las organizaciones analizadas aseguraron que están en el proceso de integrar seguridad a través de DevOps y 49% afirmaron ya la habían integrado. El nuevo informe también discute algunos de los obstáculos y soluciones para las empresas y entrega cuatro recomendaciones para las empresas que están integrando o planean integrar soluciones de seguridad en sus iniciativas de DevOps.

En esta instancia, queremos ofrecer más información sobre nuestras cuatro recomendaciones.

  1. Designa un líder social

Para la mayoría de las empresas, integrar prioridades de seguridad con una metodología DevOps significa hacer algunos cambios estructurales e ideológicos y, como con cualquier cambio, es difícil ir más allá del concepto inicial si no hay una o muchas personas impulsando un cambio en la cultura.

Tal como afirma Christopher Mims en la revista Wall Street Journal, “en una era en que las industrias de software y tecnología están en constante cambio, un líder tiene que adaptarse al ritmo y hacer apuestas más riesgosas anticipadamente, o de lo contrario…”.

Identifica a una o varias personas de tu empresa para que sean los agentes de cambio y ellos podrán definir los cambios que afectarán a los equipos de TI y Seguridad a medida que la seguridad se vuelve parte del enfoque DevOps. Estos líderes sociales pertenecen a menudo a TI y Seguridad y ayudarán a avanzar en esta transición y, lo más importante, tienen la responsabilidad de defender el cambio cultural para un SecDevOps exitoso.

  1. Preocúpate de la seguridad

Cuando la seguridad se implementa correctamente, DevOps puede reducir los riesgos de seguridad en el desarrollo de software. Un experto en seguridad debe participar en el proceso de integración. Designa un líder de seguridad para cada iniciativa de DevOps y asegúrate de que todos los equipos participen desde el principio. Esto te dará la oportunidad de obtener la aceptación de cada equipo y ayudar a todos a entender los cambios.

Algunas de las prácticas de seguridad recomendadas incluyen el control de los accesos, la firma y el cifrado de todos los proyectos, la automatización de PKI y la detección de vulnerabilidades, la gestión de parches, el análisis estático del código fuente y el modelado de amenazas.

  1. Invierte en Automatización

Optimiza el proceso de desarrollo para que incluya procesos de seguridad y automatiza todo lo que puedas.

Para mantener una buena posición en cuanto a la seguridad de una red y garantizar la integridad de la información se debe incluir la autenticación, el cifrado e identidad apropiados. Los certificados PKI ofrecen estos tres componentes claves.

La administración de certificados puede ser difícil de monitorear en entornos de desarrollo de alta velocidad. Una vez que se tengan los parámetros y controles adecuados, invertir en automatización es clave para lograr tener controles de seguridad apropiados y consistentes en DevOps.

Para evitar tener problemas con la gestión de certificados durante las etapas de producción, puede incluir certificados digitales en contenedores, también en ambientes de desarrollo y de pruebas. Esto ayudará a asegurar que los certificados estén correctamente configurados desde el principio de un proyecto. Automatiza la configuración de seguridad, incluyendo la implementación de certificados digitales.

Utilizando la API de DigiCert, los equipos de seguridad y TI pueden automatizar las solicitudes y proporcionar un certificado para cada nuevo proyecto. Existen muchas opciones de certificados disponibles, dependiendo de si en tu caso usaras confianza pública o PKI privada. Nuestra API se integra con aplicaciones y herramientas de terceros, por ejemplo, hace poco nos asociamos con Venafi para ofrecer otra forma más conveniente de hacer el despliegue de certificados. La automatización aumenta la facilidad de uso y facilita la gestión de PKI para los equipos de TI.

Los equipos pueden tomar más medidas para automatizar más áreas, como la detección de vulnerabilidades y administración de parches. Automatiza la detección de vulnerabilidades en contenedores y crea herramientas que te permitan conocer más rápidamente los posibles riesgos de seguridad. Un parche consistente y actualizado es fundamental para garantizar la seguridad, pero puede tomar mucho tiempo. Al automatizar la gestión de parches, este proceso se vuelve apto para entornos de desarrollo rápido.

  1. Integra y estandarizar

Una vez que hayas integrado las prácticas de seguridad, vas a querer implementar los controles adecuados para los procesos y plataformas y así integrar y estandarizar completamente la forma en que se ejecutarán los equipos de DevOps. Cuanto más integrados sean tus procesos y herramientas, más visibilidad tendrás en el ciclo de vida del desarrollo.

Aplicar estas cuatro recomendaciones a tu seguridad y la integración de DevOps ayudará a cualquier compañía a encontrar el equilibrio entre la agilidad y la seguridad. Si deseas más información sobre nuestras soluciones de automatización de PKI, escríbenos al correo.