Adoptar Secure DevOps:

Este informe describe los componentes principales para el desarrollo de programa de Secure  DevOps, desglosado por unidades de negocios tradicionales. Ello generará un mejor entendimiento de los objetivos y métodos detrás de las diferentes actividades de Secure DevOps. La información provista puede ser aplicada a cualquier organización a gran o pequeña escala, y puede ayudar en el traspaso hacia una solución moderna y segura. 

DevOps es una filosofía basada en combinar los roles y las responsabilidades tradicionales de los equipos de desarrollo y de los equipos de operaciones de TI para acelerar la generación de valor comercial a través de ambos equipos.  Cuando el trabajo fluye sin inconvenientes a través del desarrollo y las operaciones de TI, surgen nuevas funciones de software con mayor frecuencia, y el negocio se vuelve más competitivo y adaptable a un mercado en constante cambio.

El concepto central de Secure DevOps es la Integración mejorada del desarrollo, de las operaciones de TI, y de la seguridad. Al añadir la seguridad en el mix original, la velocidad de los cambios en seguridad también aumenta. Se reduce el riesgo de que se introduzcan vulnerabilidades y la organización logra mitigar más rápidamente los riesgos remanentes. 

Es esencial que la organización se centre en una implementación a medida para sus entornos y objetivos propios. Ello incluye debatir medidas tangibles de TI, desarrollo y seguridad que permitan mejorar la cultura, los procesos y las tecnologías existentes en la transición hacia las capacidades de Secure DevOps.

Los cambios necesarios en las culturas de los grupos son similares en los tres casos. Debido a los grandes cambios que sufrirán los diferentes procesos, las personas afectadas deben estar dispuestas a comprometerse con los programas y los procesos nuevos, y a abordar el trabajo tradicional desde enfoques diferentes. Uno de los diferenciadores clave de las DevOps respecto de la cultura es la forma de abordar el fracaso. Debido a la variedad de nuevos procesos y tecnologías implementadas como soporte de las Secure DevOps, es esencial que la organización aliente al personal a compartir sus desafíos y fracasos.

TI

Facilitar la implementación de DevOps a menudo recae en la función de TI, dado que son ellos quienes realizan el pase a producción, lo que tradicionalmente es una responsabilidad de TI.  TI también es responsable de equipar a las organizaciones con herramientas, lo que resulta una tarea dificultosa en un mercado saturado de herramientas para DevOps. Pero TI también se beneficia si logra implementar un sistema de DevOps donde se reduzcan los costos y se brinde la posibilidad de que el equipo utilice recursos adicionales, que tradicionalmente eran consumidos en tareas engorrosas e innecesarias como las migraciones de producción.

Acciones sugeridas:

- Adoptar y/o mejorar las capacidades existentes para la administración de flujo de trabajo centrados en reducir la cantidad de elementos en proyecto.

- Buscar la automatización cuando sea aplicable.

- Investigar estrategias alternativas, como el despliegue azul-verde.

Desarrollo

Si bien TI a menudo es considerado el facilitador de las DevOps, el equipo de desarrollo suele ser visto como el punto focal de los cambios observables en un entorno DevOps.

El área de desarrollo es responsable de capitalizar la capacidad aportada por TI, y de rediseñar el proceso de desarrollo; pero al mismo tiempo cuenta con muchas oportunidades de realizar micro-mejoras dentro de la unidad de negocios sin necesidad de contar con una total cooperación organizacional.

Acciones sugeridas:

- Reducir la cantidad de códigos enviados a producción.

- Permitir que los desarrolladores escriban sus propias pruebas de unidades automatizadas.

- Utilizar sistemas de control de versiones.

- Aprovechar los mecanismos de trabajo en equipo, como la programación en parejas para el aprendizaje colectivo.

Seguridad

Con DevOps y los nuevos cambios en la estructura de la organización, la seguridad debe adaptarse según las nuevas mejoras organizativas. Sin embargo, la seguridad también puede mejorar en la nueva estructura a través de procesos refinados y la utilización de las capacidades técnicas disponibles.

Acciones sugeridas:

- Considerar  programas de defensa de seguridad que permitan el “giro hacia la izquierda”.

- Integrar las revisiones de código seguras en todo el desarrollo en lugar de solo antes de la producción.

- Examinar oportunidades para implementaciones SAST / DAST.

- Iniciar un programa de bug bounty de base.