DevOps es el nuevo motor para el crecimiento global del negocio. En todo el planeta, las organizaciones son cada vez más sensibles a las cambiantes demandas del mercado gracias al despliegue de procesos de desarrollo ágiles y automatizados. Sin embargo, hay desafíos. La ciberseguridad sigue siendo el principal obstáculo para la ejecución eficaz de los proyectos. Según una nueva encuesta global de Trend Micro, un abrumador 94 % de los líderes de TI afirmó que la implementación de las iniciativas DevOps causaría importantes problemas de seguridad.
En muchos casos, la respuesta no está solo en dotar a los equipos de seguridad TI de los recursos adecuados, sino en la tarea mucho más difícil de impulsar el cambio cultural en toda la organización. Esa es la única manera de superar los desafíos clave, incluidos los silos de TI y la falta de propiedad, para lograr un éxito duradero.
Tomando el control del mundo
DevOps está en todas partes. Nuestra investigación reveló que más de un tercio (37 %) de las organizaciones mundiales ya ha implementado proyectos, y otro 44 % lo está haciendo actualmente. La mayoría (79 %) dijo que DevOps es una prioridad mayor si se compara con hace un año. ¿Por qué está pasando esto? Debido a las recompensas que se ofrecen: todo, desde la mejora de la eficiencia de los procesos hasta la aceleración de la velocidad de implementación. Irónicamente, aquellos con los que hablamos también señalaron que las mejoras en la seguridad TI son uno de los principales beneficios empresariales de DevOps. Sin embargo, al llegar allí, también están preocupados por la posibilidad de que DevOps los exponga a un mayor riesgo de ciberataques e infracciones.
Parte de los retos de seguridad que presenta DevOps radican en las nuevas arquitecturas de TI que se están utilizando y en la abrumadora necesidad de velocidad. Estas prácticas de desarrollo han dado paso a una nueva era de microservicios horizontales. Potencialmente actualizadas varias veces al día, están muy lejos de las aplicaciones verticales monolíticas de antaño, que se cambiaban a lo sumo una vez al mes. Asegurar un entorno tan cambiante y fluido puede ser complicado, especialmente si la seguridad sigue siendo considerada como reactiva, centrada en el perímetro, lenta y manejada manualmente. A menudo, el imperativo de la velocidad de comercialización implica que los desarrolladores toman atajos de seguridad: un informe publicado en marzo afirmaba que las violaciones de seguridad relacionadas con el uso de componentes de software de código abierto han aumentado en un 71 % en los últimos cinco años.
Es hora de cambiar
Con esto en mente, parece que lo que todas las organizaciones necesitan la mejora de las soluciones de seguridad para impulsar el éxito en DevOps. Después de todo, menos de la mitad de los responsables de TI (49 %) ha declarado que tienen todas las herramientas que necesitan. Sin embargo, los problemas son mucho más profundos. Como ya se ha mencionado, parte del problema es la percepción obsoleta de la función de seguridad TI. Esto puede ser perpetuado por las acciones del propio equipo de seguridad: el 40% de los encuestados afirma que la seguridad no es suficientemente si se tiene en cuenta la necesidad de una innovación ágil, y un número similar (39 %) dijo que en realidad ralentiza la velocidad de DevOps.
Sin embargo, los problemas van más allá del departamento de seguridad TI. A pesar de que la mayoría de los encuestados (72 %) reconocen que la participación mínima de seguridad en DevOps crea riesgos, un tercio señaló que no siempre consulta a los equipos de seguridad. Además, solo dos quintas partes (42 %) declararon que su departamento de seguridad TI está totalmente equipado con las habilidades para asegurar los proyectos DevOps. Esto es particularmente alarmante si se tiene en cuenta que el aumento de la complejidad de la seguridad y la infraestructura se citó como el principal obstáculo para el éxito.
Aún más revelador: descubrimos serios desafíos de comunicación y liderazgo entre muchas organizaciones que implementan DevOps. Una quinta parte dijo que la falta de liderazgo es un obstáculo importante, una cuarta parte afirmó que está luchando para conseguir la participación de los altos ejecutivos y una abrumadora mayoría señaló a los silos de TI.
Hacia la seguridad por diseño
Como resultado, no es de extrañar que solo el 38 % de las organizaciones globales con las que hablamos puedan presumir de tener una estrategia DevOps completamente formada. Es indicativo, quizás, de la cultura en demasiadas compañías de que para hacer cosas grandes se necesitan asumir grandes riesgos. En lugar de ello, tenemos que sustituirlo por uno de seguridad por diseño: un reconocimiento a todos los niveles de la organización de la necesidad de que la seguridad se incorpore en todas las partes de la empresa, desde el principio. Esto significa no limitarse a prestar atención a la seguridad o hablar de boquilla sobre la seguridad, sino darse cuenta de su importancia central como motor del valor empresarial, así como de la mitigación de riesgos.
El cambio cultural es notoriamente difícil, por supuesto. Pero involucrar a los miembros de la junta sería un buen comienzo: tomar posesión de los proyectos y reunir a los equipos de desarrollo, operaciones y seguridad. Cada equipo debe obtener una apreciación de los desafíos diarios que enfrentan los otros equipos, tal vez estableciendo objetivos comunes entre los equipos. La creación de una cultura de establecimiento de objetivos y medición del desempeño ayudará a evaluar el progreso de las iniciativas y recompensará el éxito.
Esto debe estar respaldado por las herramientas y la tecnología adecuadas, por supuesto. La automatización de procesos también puede ayudar a reducir los errores humanos, mientras que la seguridad que es adaptable, contextual y basada en software debe ser priorizada. Una vez que la funcionalidad de seguridad se expone como servicio a través de las APIs, es más fácil integrarla en los flujos de trabajo de DevOps de forma automatizada. Puede habilitar capacidades cruciales como el escaneo continuo de imágenes de contenedores en busca de errores y malware, junto con la protección en tiempo de ejecución. Al menos en las primeras etapas de un proyecto, puede ser una buena idea priorizar la visibilidad y la monitorización en lugar de la imposición y el bloqueo, de modo que la seguridad no sea vista como un obstáculo para la innovación.
La integración completa de la seguridad por diseño llevará algún tiempo en toda la organización y puede resultar beneficiosa si se asigna un presupuesto a un nuevo equipo de DevSecOps. Con DevOps, la seguridad integrada es un requisito previo esencial para el éxito. Después de todo, los frenos no están ahí para ralentizar, sino que están para que se pueda llegar al destino de forma más rápida y segura.
José de la Cruz
Director técnico de Trend Micro Iberia