Por qué la implementación de DevOps suele fracasar (y cómo solucionarlo)
Este artículo se publicó originalmente en DevOps.com. Ha sido actualizado y modificado.
Al igual que «blockchain», «big data» y «disrupción digital», el término «DevOps» es otra palabra de moda que actualmente circula en los departamentos de TI de las grandes empresas.
Muchos han reconocido (con razón) la necesidad de ciclos de desarrollo de software más rápidos; un proceso más preciso, estrechamente alineado con los objetivos empresariales y que permite un flujo de trabajo más claro y una colaboración más clara entre los equipos de desarrollo y operaciones. DevOps es, en esencia, un desarrollo «ágil» que ha madurado y está listo para satisfacer las necesidades en constante cambio y rápida evolución de la empresa moderna. Para los expertos en seguridad, se trata de una iniciativa fantástica: podemos integrar la seguridad mucho antes en el proceso y, de este modo, reducir los costes de corrección de errores y evitar posibles catástrofes en el futuro.
El problema es que solo unas pocas empresas tienen éxito realmente en la implementación de DevOps. Sin el apoyo, el cuidado y la comprensión adecuados en toda la empresa, puede convertirse rápidamente en un pozo sin fondo... Ya saben, uno de esos proyectos en los que no se menciona la guerra.
Entonces, ¿cuál es el problema? Es un debate interesante, y hay varias formas de abordar DevOps que, en mi opinión, garantizarán un proceso mucho más fluido. Un programa eficaz va más allá de unas cuantas herramientas nuevas y elegantes, títulos y reuniones de equipo. No siempre será fácil, pero dedicar tiempo a reparar una estrategia defectuosa (o implementarla correctamente desde el principio) será mucho menos doloroso a largo plazo. Y, en última instancia, esto dará lugar a un software de mayor calidad y más seguro.
Analicemos esto:
Suelta los cordones del delantal «Agile».
Existe un cierto malentendido de que una empresa debe elegir entre Agile y DevOps y, al hacerlo, debe seguir uno u otro camino sin mirar atrás.
La cuestión es que el proceso de desarrollo funciona mejor cuando ambos se consideran y se implementan como una unidad. DevOps no es una reinvención del desarrollo ágil, sino más bien una ampliación del mismo. Las ruedas tienden a caerse cuando se espera que el proceso sea exactamente igual que Agile o completamente diferente de Agile.
Agile apoya el principio de equipos multifuncionales, reúne a diseñadores, probadores y desarrolladores desde el principio y se compromete a mantener vías de comunicación abiertas durante todo el proyecto. El objetivo es acabar con el suministro aislado y reducir la duplicación del trabajo. Ambas son también ventajas del proceso DevOps. Sin embargo, DevOps va un paso más allá e incorpora sistemas, seguridad y operaciones a la mezcla para ofrecer unos conocimientos sólidos y continuos, con el objetivo final de proporcionar al cliente una entrega de software completa y funcional.
Durante los inevitables problemas que surgen al pasar a un proceso más orientado a DevOps, puede reaparecer el riesgo de un desarrollo aislado. A menudo, el equipo ágil original puede trabajar en conjunto, mientras que las ampliaciones de seguridad y operaciones siguen encontrando su camino hacia la máquina. Nadie está completamente seguro de cómo incorporarlas, qué deben hacer y cuáles son sus objetivos generales.
DevOps no funciona sin objetivos claramente definidos, una incorporación interfuncional y una comunicación directa con todas las partes implicadas. Por supuesto, habrá una fase de adaptación que requerirá una gestión cuidadosa del cambio, pero poner a todos al mismo nivel con las mejoras que traerá consigo la funcionalidad DevOps es la mitad del camino.
Cada vez más (gracias a Dios), DevOps también valora las prácticas de seguridad probadas como parte del proceso, desmitifica este paso y salva la brecha entre el equipo de seguridad y todos los demás. Como ya he dicho, aún nos queda un largo camino por recorrer para capacitar a los desarrolladores para que programen de forma segura desde el principio, pero la implementación exitosa de los métodos DevOps es una base excelente sobre la que se pueden desarrollar las competencias de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo (y no es lo más seguro).
Otra característica de la metodología DevOps es, hasta cierto punto, la automatización del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son los pilares de este concepto y, como probablemente pueda imaginar, dependen en gran medida de las herramientas.
Las herramientas son fantásticas, realmente lo son. Pueden acelerar el proceso de implementación de software de una manera sin precedentes y gestionar el repositorio de código, así como los elementos de prueba, mantenimiento y almacenamiento con relativa facilidad.
Es cierto que los robots podrían quitarnos todos nuestros puestos de trabajo y encerrarnos algún día, pero definitivamente aún no han llegado a ese punto. La fuerte dependencia de las herramientas y la automatización deja una gran puerta abierta a los errores. Es posible que los escaneos y las pruebas no lo detecten todo, que el código quede sin revisar y que esto provoque posteriormente enormes problemas de calidad (por no hablar de los problemas de seguridad). Un atacante solo necesita una puerta trasera para aprovechar los datos, y prescindir del componente humano en el control de calidad y seguridad puede tener consecuencias catastróficas.
El «equilibrio ideal» consiste en garantizar que exista una proporción equilibrada entre las personas y las herramientas. Las herramientas deben servir como asistentes para un equipo en el que confía para alcanzar los objetivos del proyecto. Deben:
- Planifique el tiempo suficiente para que los empleados puedan familiarizarse con la cadena de herramientas DevOps seleccionada.
- Concéntrese en una colaboración eficaz (y en cómo las herramientas pueden contribuir a ello).
- Cierre todas las brechas en el proceso, independientemente de si se basan en habilidades, conocimientos o herramientas.
En resumen, no se limite a «equiparse» y esperar lo mejor.
DevOps no es solo una palabra de moda, es una cultura. ¿Estás desarrollando la tuya?
La gestión del cambio es, en el mejor de los casos, difícil. El miedo a lo desconocido puede impedir incluso a los miembros más brillantes del equipo ampliar sus habilidades y ampliar sus horizontes.
Como pueden ver, limitarse a decir «vamos a implementar DevOps» y hacer que el equipo operativo cambie de escritorio no va a implementar mágicamente un proceso exitoso. Muchos se sentirán confundidos y los miembros más veteranos del equipo se sentirán molestos. Comunicar las expectativas es fundamental, al igual que «seguir su propio camino». DevOps es tanto un movimiento cultural como una metodología de desarrollo, y un equipo debe vivir y respirar una mentalidad colaborativa y multifuncional.
¿Cómo es una cultura DevOps excelente?
- Las personas individuales están capacitadas para aportar sus conocimientos especializados a un proceso, no solo los directivos.
- Comunicación abierta, honesta y respetuosa entre equipos
- Cada persona asume la responsabilidad del objetivo general de la calidad y la seguridad del edificio en el proceso de desarrollo.
- Todos están de acuerdo en cuanto a la definición de DevOps en la empresa, la hoja de ruta y el cómo, el qué y el porqué del papel de cada persona.
Durante años he destacado la importancia de crear culturas de seguridad positivas en los equipos de desarrollo, y DevOps no es una excepción.
Las herramientas adecuadas, los conocimientos adecuados y el apoyo adecuado son esenciales para implementar prácticas de seguridad probadas, observar una disminución en las vulnerabilidades de seguridad detectadas y concienciar al equipo sobre la importancia de proteger nuestros datos. Con DevOps, debe sentar las bases culturales para un cambio positivo: asegúrese de que todos comprendan su función, su valor y sus expectativas, así como los objetivos generales del proyecto y los pasos individuales del proceso.
¿Lo ha dominado? Estupendo. Ahora cambiemos de tema, profundicemos en el aspecto de la seguridad y hagamos de DevSecOps el plan definitivo para la excelencia del software.
Solo unas pocas empresas tienen realmente éxito en la implementación de DevOps. Sin embargo, el soporte adecuado, el mantenimiento adecuado y la comprensión adecuada de toda la empresa pueden transformar su proceso.
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Este artículo se publicó originalmente en DevOps.com. Ha sido actualizado y modificado.
Al igual que «blockchain», «big data» y «disrupción digital», el término «DevOps» es otra palabra de moda que actualmente circula en los departamentos de TI de las grandes empresas.
Muchos han reconocido (con razón) la necesidad de ciclos de desarrollo de software más rápidos; un proceso más preciso, estrechamente alineado con los objetivos empresariales y que permite un flujo de trabajo más claro y una colaboración más clara entre los equipos de desarrollo y operaciones. DevOps es, en esencia, un desarrollo «ágil» que ha madurado y está listo para satisfacer las necesidades en constante cambio y rápida evolución de la empresa moderna. Para los expertos en seguridad, se trata de una iniciativa fantástica: podemos integrar la seguridad mucho antes en el proceso y, de este modo, reducir los costes de corrección de errores y evitar posibles catástrofes en el futuro.
El problema es que solo unas pocas empresas tienen éxito realmente en la implementación de DevOps. Sin el apoyo, el cuidado y la comprensión adecuados en toda la empresa, puede convertirse rápidamente en un pozo sin fondo... Ya saben, uno de esos proyectos en los que no se menciona la guerra.
Entonces, ¿cuál es el problema? Es un debate interesante, y hay varias formas de abordar DevOps que, en mi opinión, garantizarán un proceso mucho más fluido. Un programa eficaz va más allá de unas cuantas herramientas nuevas y elegantes, títulos y reuniones de equipo. No siempre será fácil, pero dedicar tiempo a reparar una estrategia defectuosa (o implementarla correctamente desde el principio) será mucho menos doloroso a largo plazo. Y, en última instancia, esto dará lugar a un software de mayor calidad y más seguro.
Analicemos esto:
Suelta los cordones del delantal «Agile».
Existe un cierto malentendido de que una empresa debe elegir entre Agile y DevOps y, al hacerlo, debe seguir uno u otro camino sin mirar atrás.
La cuestión es que el proceso de desarrollo funciona mejor cuando ambos se consideran y se implementan como una unidad. DevOps no es una reinvención del desarrollo ágil, sino más bien una ampliación del mismo. Las ruedas tienden a caerse cuando se espera que el proceso sea exactamente igual que Agile o completamente diferente de Agile.
Agile apoya el principio de equipos multifuncionales, reúne a diseñadores, probadores y desarrolladores desde el principio y se compromete a mantener vías de comunicación abiertas durante todo el proyecto. El objetivo es acabar con el suministro aislado y reducir la duplicación del trabajo. Ambas son también ventajas del proceso DevOps. Sin embargo, DevOps va un paso más allá e incorpora sistemas, seguridad y operaciones a la mezcla para ofrecer unos conocimientos sólidos y continuos, con el objetivo final de proporcionar al cliente una entrega de software completa y funcional.
Durante los inevitables problemas que surgen al pasar a un proceso más orientado a DevOps, puede reaparecer el riesgo de un desarrollo aislado. A menudo, el equipo ágil original puede trabajar en conjunto, mientras que las ampliaciones de seguridad y operaciones siguen encontrando su camino hacia la máquina. Nadie está completamente seguro de cómo incorporarlas, qué deben hacer y cuáles son sus objetivos generales.
DevOps no funciona sin objetivos claramente definidos, una incorporación interfuncional y una comunicación directa con todas las partes implicadas. Por supuesto, habrá una fase de adaptación que requerirá una gestión cuidadosa del cambio, pero poner a todos al mismo nivel con las mejoras que traerá consigo la funcionalidad DevOps es la mitad del camino.
Cada vez más (gracias a Dios), DevOps también valora las prácticas de seguridad probadas como parte del proceso, desmitifica este paso y salva la brecha entre el equipo de seguridad y todos los demás. Como ya he dicho, aún nos queda un largo camino por recorrer para capacitar a los desarrolladores para que programen de forma segura desde el principio, pero la implementación exitosa de los métodos DevOps es una base excelente sobre la que se pueden desarrollar las competencias de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo (y no es lo más seguro).
Otra característica de la metodología DevOps es, hasta cierto punto, la automatización del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son los pilares de este concepto y, como probablemente pueda imaginar, dependen en gran medida de las herramientas.
Las herramientas son fantásticas, realmente lo son. Pueden acelerar el proceso de implementación de software de una manera sin precedentes y gestionar el repositorio de código, así como los elementos de prueba, mantenimiento y almacenamiento con relativa facilidad.
Es cierto que los robots podrían quitarnos todos nuestros puestos de trabajo y encerrarnos algún día, pero definitivamente aún no han llegado a ese punto. La fuerte dependencia de las herramientas y la automatización deja una gran puerta abierta a los errores. Es posible que los escaneos y las pruebas no lo detecten todo, que el código quede sin revisar y que esto provoque posteriormente enormes problemas de calidad (por no hablar de los problemas de seguridad). Un atacante solo necesita una puerta trasera para aprovechar los datos, y prescindir del componente humano en el control de calidad y seguridad puede tener consecuencias catastróficas.
El «equilibrio ideal» consiste en garantizar que exista una proporción equilibrada entre las personas y las herramientas. Las herramientas deben servir como asistentes para un equipo en el que confía para alcanzar los objetivos del proyecto. Deben:
- Planifique el tiempo suficiente para que los empleados puedan familiarizarse con la cadena de herramientas DevOps seleccionada.
- Concéntrese en una colaboración eficaz (y en cómo las herramientas pueden contribuir a ello).
- Cierre todas las brechas en el proceso, independientemente de si se basan en habilidades, conocimientos o herramientas.
En resumen, no se limite a «equiparse» y esperar lo mejor.
DevOps no es solo una palabra de moda, es una cultura. ¿Estás desarrollando la tuya?
La gestión del cambio es, en el mejor de los casos, difícil. El miedo a lo desconocido puede impedir incluso a los miembros más brillantes del equipo ampliar sus habilidades y ampliar sus horizontes.
Como pueden ver, limitarse a decir «vamos a implementar DevOps» y hacer que el equipo operativo cambie de escritorio no va a implementar mágicamente un proceso exitoso. Muchos se sentirán confundidos y los miembros más veteranos del equipo se sentirán molestos. Comunicar las expectativas es fundamental, al igual que «seguir su propio camino». DevOps es tanto un movimiento cultural como una metodología de desarrollo, y un equipo debe vivir y respirar una mentalidad colaborativa y multifuncional.
¿Cómo es una cultura DevOps excelente?
- Las personas individuales están capacitadas para aportar sus conocimientos especializados a un proceso, no solo los directivos.
- Comunicación abierta, honesta y respetuosa entre equipos
- Cada persona asume la responsabilidad del objetivo general de la calidad y la seguridad del edificio en el proceso de desarrollo.
- Todos están de acuerdo en cuanto a la definición de DevOps en la empresa, la hoja de ruta y el cómo, el qué y el porqué del papel de cada persona.
Durante años he destacado la importancia de crear culturas de seguridad positivas en los equipos de desarrollo, y DevOps no es una excepción.
Las herramientas adecuadas, los conocimientos adecuados y el apoyo adecuado son esenciales para implementar prácticas de seguridad probadas, observar una disminución en las vulnerabilidades de seguridad detectadas y concienciar al equipo sobre la importancia de proteger nuestros datos. Con DevOps, debe sentar las bases culturales para un cambio positivo: asegúrese de que todos comprendan su función, su valor y sus expectativas, así como los objetivos generales del proyecto y los pasos individuales del proceso.
¿Lo ha dominado? Estupendo. Ahora cambiemos de tema, profundicemos en el aspecto de la seguridad y hagamos de DevSecOps el plan definitivo para la excelencia del software.
Este artículo se publicó originalmente en DevOps.com. Ha sido actualizado y modificado.
Al igual que «blockchain», «big data» y «disrupción digital», el término «DevOps» es otra palabra de moda que actualmente circula en los departamentos de TI de las grandes empresas.
Muchos han reconocido (con razón) la necesidad de ciclos de desarrollo de software más rápidos; un proceso más preciso, estrechamente alineado con los objetivos empresariales y que permite un flujo de trabajo más claro y una colaboración más clara entre los equipos de desarrollo y operaciones. DevOps es, en esencia, un desarrollo «ágil» que ha madurado y está listo para satisfacer las necesidades en constante cambio y rápida evolución de la empresa moderna. Para los expertos en seguridad, se trata de una iniciativa fantástica: podemos integrar la seguridad mucho antes en el proceso y, de este modo, reducir los costes de corrección de errores y evitar posibles catástrofes en el futuro.
El problema es que solo unas pocas empresas tienen éxito realmente en la implementación de DevOps. Sin el apoyo, el cuidado y la comprensión adecuados en toda la empresa, puede convertirse rápidamente en un pozo sin fondo... Ya saben, uno de esos proyectos en los que no se menciona la guerra.
Entonces, ¿cuál es el problema? Es un debate interesante, y hay varias formas de abordar DevOps que, en mi opinión, garantizarán un proceso mucho más fluido. Un programa eficaz va más allá de unas cuantas herramientas nuevas y elegantes, títulos y reuniones de equipo. No siempre será fácil, pero dedicar tiempo a reparar una estrategia defectuosa (o implementarla correctamente desde el principio) será mucho menos doloroso a largo plazo. Y, en última instancia, esto dará lugar a un software de mayor calidad y más seguro.
Analicemos esto:
Suelta los cordones del delantal «Agile».
Existe un cierto malentendido de que una empresa debe elegir entre Agile y DevOps y, al hacerlo, debe seguir uno u otro camino sin mirar atrás.
La cuestión es que el proceso de desarrollo funciona mejor cuando ambos se consideran y se implementan como una unidad. DevOps no es una reinvención del desarrollo ágil, sino más bien una ampliación del mismo. Las ruedas tienden a caerse cuando se espera que el proceso sea exactamente igual que Agile o completamente diferente de Agile.
Agile apoya el principio de equipos multifuncionales, reúne a diseñadores, probadores y desarrolladores desde el principio y se compromete a mantener vías de comunicación abiertas durante todo el proyecto. El objetivo es acabar con el suministro aislado y reducir la duplicación del trabajo. Ambas son también ventajas del proceso DevOps. Sin embargo, DevOps va un paso más allá e incorpora sistemas, seguridad y operaciones a la mezcla para ofrecer unos conocimientos sólidos y continuos, con el objetivo final de proporcionar al cliente una entrega de software completa y funcional.
Durante los inevitables problemas que surgen al pasar a un proceso más orientado a DevOps, puede reaparecer el riesgo de un desarrollo aislado. A menudo, el equipo ágil original puede trabajar en conjunto, mientras que las ampliaciones de seguridad y operaciones siguen encontrando su camino hacia la máquina. Nadie está completamente seguro de cómo incorporarlas, qué deben hacer y cuáles son sus objetivos generales.
DevOps no funciona sin objetivos claramente definidos, una incorporación interfuncional y una comunicación directa con todas las partes implicadas. Por supuesto, habrá una fase de adaptación que requerirá una gestión cuidadosa del cambio, pero poner a todos al mismo nivel con las mejoras que traerá consigo la funcionalidad DevOps es la mitad del camino.
Cada vez más (gracias a Dios), DevOps también valora las prácticas de seguridad probadas como parte del proceso, desmitifica este paso y salva la brecha entre el equipo de seguridad y todos los demás. Como ya he dicho, aún nos queda un largo camino por recorrer para capacitar a los desarrolladores para que programen de forma segura desde el principio, pero la implementación exitosa de los métodos DevOps es una base excelente sobre la que se pueden desarrollar las competencias de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo (y no es lo más seguro).
Otra característica de la metodología DevOps es, hasta cierto punto, la automatización del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son los pilares de este concepto y, como probablemente pueda imaginar, dependen en gran medida de las herramientas.
Las herramientas son fantásticas, realmente lo son. Pueden acelerar el proceso de implementación de software de una manera sin precedentes y gestionar el repositorio de código, así como los elementos de prueba, mantenimiento y almacenamiento con relativa facilidad.
Es cierto que los robots podrían quitarnos todos nuestros puestos de trabajo y encerrarnos algún día, pero definitivamente aún no han llegado a ese punto. La fuerte dependencia de las herramientas y la automatización deja una gran puerta abierta a los errores. Es posible que los escaneos y las pruebas no lo detecten todo, que el código quede sin revisar y que esto provoque posteriormente enormes problemas de calidad (por no hablar de los problemas de seguridad). Un atacante solo necesita una puerta trasera para aprovechar los datos, y prescindir del componente humano en el control de calidad y seguridad puede tener consecuencias catastróficas.
El «equilibrio ideal» consiste en garantizar que exista una proporción equilibrada entre las personas y las herramientas. Las herramientas deben servir como asistentes para un equipo en el que confía para alcanzar los objetivos del proyecto. Deben:
- Planifique el tiempo suficiente para que los empleados puedan familiarizarse con la cadena de herramientas DevOps seleccionada.
- Concéntrese en una colaboración eficaz (y en cómo las herramientas pueden contribuir a ello).
- Cierre todas las brechas en el proceso, independientemente de si se basan en habilidades, conocimientos o herramientas.
En resumen, no se limite a «equiparse» y esperar lo mejor.
DevOps no es solo una palabra de moda, es una cultura. ¿Estás desarrollando la tuya?
La gestión del cambio es, en el mejor de los casos, difícil. El miedo a lo desconocido puede impedir incluso a los miembros más brillantes del equipo ampliar sus habilidades y ampliar sus horizontes.
Como pueden ver, limitarse a decir «vamos a implementar DevOps» y hacer que el equipo operativo cambie de escritorio no va a implementar mágicamente un proceso exitoso. Muchos se sentirán confundidos y los miembros más veteranos del equipo se sentirán molestos. Comunicar las expectativas es fundamental, al igual que «seguir su propio camino». DevOps es tanto un movimiento cultural como una metodología de desarrollo, y un equipo debe vivir y respirar una mentalidad colaborativa y multifuncional.
¿Cómo es una cultura DevOps excelente?
- Las personas individuales están capacitadas para aportar sus conocimientos especializados a un proceso, no solo los directivos.
- Comunicación abierta, honesta y respetuosa entre equipos
- Cada persona asume la responsabilidad del objetivo general de la calidad y la seguridad del edificio en el proceso de desarrollo.
- Todos están de acuerdo en cuanto a la definición de DevOps en la empresa, la hoja de ruta y el cómo, el qué y el porqué del papel de cada persona.
Durante años he destacado la importancia de crear culturas de seguridad positivas en los equipos de desarrollo, y DevOps no es una excepción.
Las herramientas adecuadas, los conocimientos adecuados y el apoyo adecuado son esenciales para implementar prácticas de seguridad probadas, observar una disminución en las vulnerabilidades de seguridad detectadas y concienciar al equipo sobre la importancia de proteger nuestros datos. Con DevOps, debe sentar las bases culturales para un cambio positivo: asegúrese de que todos comprendan su función, su valor y sus expectativas, así como los objetivos generales del proyecto y los pasos individuales del proceso.
¿Lo ha dominado? Estupendo. Ahora cambiemos de tema, profundicemos en el aspecto de la seguridad y hagamos de DevSecOps el plan definitivo para la excelencia del software.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Este artículo se publicó originalmente en DevOps.com. Ha sido actualizado y modificado.
Al igual que «blockchain», «big data» y «disrupción digital», el término «DevOps» es otra palabra de moda que actualmente circula en los departamentos de TI de las grandes empresas.
Muchos han reconocido (con razón) la necesidad de ciclos de desarrollo de software más rápidos; un proceso más preciso, estrechamente alineado con los objetivos empresariales y que permite un flujo de trabajo más claro y una colaboración más clara entre los equipos de desarrollo y operaciones. DevOps es, en esencia, un desarrollo «ágil» que ha madurado y está listo para satisfacer las necesidades en constante cambio y rápida evolución de la empresa moderna. Para los expertos en seguridad, se trata de una iniciativa fantástica: podemos integrar la seguridad mucho antes en el proceso y, de este modo, reducir los costes de corrección de errores y evitar posibles catástrofes en el futuro.
El problema es que solo unas pocas empresas tienen éxito realmente en la implementación de DevOps. Sin el apoyo, el cuidado y la comprensión adecuados en toda la empresa, puede convertirse rápidamente en un pozo sin fondo... Ya saben, uno de esos proyectos en los que no se menciona la guerra.
Entonces, ¿cuál es el problema? Es un debate interesante, y hay varias formas de abordar DevOps que, en mi opinión, garantizarán un proceso mucho más fluido. Un programa eficaz va más allá de unas cuantas herramientas nuevas y elegantes, títulos y reuniones de equipo. No siempre será fácil, pero dedicar tiempo a reparar una estrategia defectuosa (o implementarla correctamente desde el principio) será mucho menos doloroso a largo plazo. Y, en última instancia, esto dará lugar a un software de mayor calidad y más seguro.
Analicemos esto:
Suelta los cordones del delantal «Agile».
Existe un cierto malentendido de que una empresa debe elegir entre Agile y DevOps y, al hacerlo, debe seguir uno u otro camino sin mirar atrás.
La cuestión es que el proceso de desarrollo funciona mejor cuando ambos se consideran y se implementan como una unidad. DevOps no es una reinvención del desarrollo ágil, sino más bien una ampliación del mismo. Las ruedas tienden a caerse cuando se espera que el proceso sea exactamente igual que Agile o completamente diferente de Agile.
Agile apoya el principio de equipos multifuncionales, reúne a diseñadores, probadores y desarrolladores desde el principio y se compromete a mantener vías de comunicación abiertas durante todo el proyecto. El objetivo es acabar con el suministro aislado y reducir la duplicación del trabajo. Ambas son también ventajas del proceso DevOps. Sin embargo, DevOps va un paso más allá e incorpora sistemas, seguridad y operaciones a la mezcla para ofrecer unos conocimientos sólidos y continuos, con el objetivo final de proporcionar al cliente una entrega de software completa y funcional.
Durante los inevitables problemas que surgen al pasar a un proceso más orientado a DevOps, puede reaparecer el riesgo de un desarrollo aislado. A menudo, el equipo ágil original puede trabajar en conjunto, mientras que las ampliaciones de seguridad y operaciones siguen encontrando su camino hacia la máquina. Nadie está completamente seguro de cómo incorporarlas, qué deben hacer y cuáles son sus objetivos generales.
DevOps no funciona sin objetivos claramente definidos, una incorporación interfuncional y una comunicación directa con todas las partes implicadas. Por supuesto, habrá una fase de adaptación que requerirá una gestión cuidadosa del cambio, pero poner a todos al mismo nivel con las mejoras que traerá consigo la funcionalidad DevOps es la mitad del camino.
Cada vez más (gracias a Dios), DevOps también valora las prácticas de seguridad probadas como parte del proceso, desmitifica este paso y salva la brecha entre el equipo de seguridad y todos los demás. Como ya he dicho, aún nos queda un largo camino por recorrer para capacitar a los desarrolladores para que programen de forma segura desde el principio, pero la implementación exitosa de los métodos DevOps es una base excelente sobre la que se pueden desarrollar las competencias de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo (y no es lo más seguro).
Otra característica de la metodología DevOps es, hasta cierto punto, la automatización del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son los pilares de este concepto y, como probablemente pueda imaginar, dependen en gran medida de las herramientas.
Las herramientas son fantásticas, realmente lo son. Pueden acelerar el proceso de implementación de software de una manera sin precedentes y gestionar el repositorio de código, así como los elementos de prueba, mantenimiento y almacenamiento con relativa facilidad.
Es cierto que los robots podrían quitarnos todos nuestros puestos de trabajo y encerrarnos algún día, pero definitivamente aún no han llegado a ese punto. La fuerte dependencia de las herramientas y la automatización deja una gran puerta abierta a los errores. Es posible que los escaneos y las pruebas no lo detecten todo, que el código quede sin revisar y que esto provoque posteriormente enormes problemas de calidad (por no hablar de los problemas de seguridad). Un atacante solo necesita una puerta trasera para aprovechar los datos, y prescindir del componente humano en el control de calidad y seguridad puede tener consecuencias catastróficas.
El «equilibrio ideal» consiste en garantizar que exista una proporción equilibrada entre las personas y las herramientas. Las herramientas deben servir como asistentes para un equipo en el que confía para alcanzar los objetivos del proyecto. Deben:
- Planifique el tiempo suficiente para que los empleados puedan familiarizarse con la cadena de herramientas DevOps seleccionada.
- Concéntrese en una colaboración eficaz (y en cómo las herramientas pueden contribuir a ello).
- Cierre todas las brechas en el proceso, independientemente de si se basan en habilidades, conocimientos o herramientas.
En resumen, no se limite a «equiparse» y esperar lo mejor.
DevOps no es solo una palabra de moda, es una cultura. ¿Estás desarrollando la tuya?
La gestión del cambio es, en el mejor de los casos, difícil. El miedo a lo desconocido puede impedir incluso a los miembros más brillantes del equipo ampliar sus habilidades y ampliar sus horizontes.
Como pueden ver, limitarse a decir «vamos a implementar DevOps» y hacer que el equipo operativo cambie de escritorio no va a implementar mágicamente un proceso exitoso. Muchos se sentirán confundidos y los miembros más veteranos del equipo se sentirán molestos. Comunicar las expectativas es fundamental, al igual que «seguir su propio camino». DevOps es tanto un movimiento cultural como una metodología de desarrollo, y un equipo debe vivir y respirar una mentalidad colaborativa y multifuncional.
¿Cómo es una cultura DevOps excelente?
- Las personas individuales están capacitadas para aportar sus conocimientos especializados a un proceso, no solo los directivos.
- Comunicación abierta, honesta y respetuosa entre equipos
- Cada persona asume la responsabilidad del objetivo general de la calidad y la seguridad del edificio en el proceso de desarrollo.
- Todos están de acuerdo en cuanto a la definición de DevOps en la empresa, la hoja de ruta y el cómo, el qué y el porqué del papel de cada persona.
Durante años he destacado la importancia de crear culturas de seguridad positivas en los equipos de desarrollo, y DevOps no es una excepción.
Las herramientas adecuadas, los conocimientos adecuados y el apoyo adecuado son esenciales para implementar prácticas de seguridad probadas, observar una disminución en las vulnerabilidades de seguridad detectadas y concienciar al equipo sobre la importancia de proteger nuestros datos. Con DevOps, debe sentar las bases culturales para un cambio positivo: asegúrese de que todos comprendan su función, su valor y sus expectativas, así como los objetivos generales del proyecto y los pasos individuales del proceso.
¿Lo ha dominado? Estupendo. Ahora cambiemos de tema, profundicemos en el aspecto de la seguridad y hagamos de DevSecOps el plan definitivo para la excelencia del software.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
