Razones por las que la implementación de DevOps suele fracasar (y cómo solucionarlo)
Este artículo se publicó por primera vez en DevOps.com. Se ha actualizado y corregido.
Al igual que «cadena de bloques», «big data» y «disrupción digital», el término «DevOps» es otra palabra de moda que se utiliza actualmente en los departamentos de TI de las grandes organizaciones.
Muchas empresas reconocen (correctamente) la necesidad de un ciclo de vida de desarrollo de software que sea un proceso más preciso, estrechamente vinculado a los objetivos empresariales y que permita una colaboración más clara entre el equipo de desarrollo y el equipo operativo. DevOps es, en esencia, un desarrollo «ágil» en el que todos crecen, se renuevan constantemente y están preparados para responder a las necesidades de los negocios modernos, que se desarrollan rápidamente.Para los expertos en seguridad, se trata de una iniciativa excelente. Al poder incorporar la seguridad en el proceso en una fase mucho más temprana, se reducen los costes de corrección de errores y se evitan posibles catástrofes futuras.
El problema es que muy pocas empresas han logrado implementar DevOps con éxito. Sin el apoyo, la formación y la comprensión adecuados en toda la empresa, se puede llegar rápidamente a un punto muerto. Como ya sabéis, es uno de esos proyectos en los que «la guerra es inevitable».
Entonces, ¿cuál es el problema? Este es un debate interesante. Hay varios enfoques para DevOps que, en mi opinión, contribuyen a una transición mucho más fluida. Un programa eficaz no se limita a unas cuantas herramientas nuevas y llamativas, títulos y reuniones de equipo. Aunque no siempre es fácil, dedicar tiempo a corregir estrategias fallidas (o ejecutarlas correctamente desde el principio) reduce considerablemente el sufrimiento a largo plazo. Y, en última instancia, se obtendrá un software de mayor calidad y más seguro.
Analicémoslo:
Por favor, suelte el cordón del delantal «Ágil».
Existe la idea errónea de que las organizaciones deben elegir entre Agile o DevOps, abrirse camino en una de las dos direcciones y no mirar atrás.
Lo importante es que el proceso de desarrollo funcione mejor cuando se considera y se implementa como un todo. DevOps no es una reinvención del desarrollo Agile. Más bien, es una extensión del desarrollo Agile. Si nos centramos en el proceso, es fácil perder el rumbo. Desde un Agile idéntico o un Agile completamente diferente.
Agile apoya los principios de los equipos multifuncionales, que conectan desde el principio a diseñadores, probadores y desarrolladores, y garantizan una comunicación abierta a lo largo de todo el proyecto. El objetivo es acabar con la entrega en silos y reducir la duplicación de tareas, dos ventajas que también ofrece el proceso DevOps.Sin embargo, DevOps va un paso más allá y ofrece un conjunto de habilidades sólidas y completas cuyo objetivo final es proporcionar a los clientes un software completo y funcional que combine sistemas, seguridad y operaciones.
En medio de la inevitable transición hacia procesos más centrados en DevOps, es posible que vuelva a aumentar el riesgo de un desarrollo aislado. En muchos casos, los equipos ágiles originales colaboran, pero nadie está seguro de cómo incorporar la seguridad y las operaciones adicionales que aún están penetrando en las máquinas, qué se debe hacer y cuáles son los objetivos generales.
DevOps no puede funcionar sin objetivos claramente definidos, una incorporación que trascienda los departamentos y una comunicación directa con todas las partes interesadas. Aunque hay un período de ajuste que requiere una gestión cuidadosa del cambio, lograr que todos coincidan en la mejora que aporta la funcionalidad de DevOps es solo la mitad de la batalla.
DevOps ha comenzado a centrarse en las mejores prácticas de seguridad como parte del proceso, explicando los pasos de forma clara y cerrando la brecha entre el equipo de seguridad y el resto del personal (lo cual es muy de agradecer). Como se ha mencionado anteriormente, aún queda mucho camino por recorrer para que los desarrolladores puedan programar de forma segura desde el principio, pero la implementación exitosa de la metodología DevOps proporciona una base sólida para desarrollar habilidades de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo (ni tampoco es lo más seguro).
Otra característica de la metodología DevOps es la automatización de cierta parte del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son la base de este concepto y, como se puede imaginar, dependen en gran medida de las herramientas. Las herramientas de
son fantásticas, realmente fantásticas. Permiten gestionar de forma relativamente fluida los elementos del repositorio de código, las pruebas, el mantenimiento y el almacenamiento, lo que aporta una velocidad sin precedentes al proceso de entrega de software.
Sin embargo, aunque es posible que algún día los robots nos quiten todos nuestros trabajos y nos encarcelen, lo cierto es que eso aún no ha sucedido. Depender en gran medida de las herramientas y la automatización aumenta considerablemente la posibilidad de que se produzcan errores. No todo se detecta mediante escaneos y pruebas, y a veces el código no se comprueba, lo que da lugar a graves problemas de calidad (y, por supuesto, de seguridad). . Los atacantes solo necesitan una puerta trasera para robar datos. Pasar por alto el factor humano en el control de calidad y la gestión de la seguridad puede tener consecuencias desastrosas.
「ハッピーミディアム」とは、人々のバランスをとることです そして ツール。ツールは、信頼できるチームがプロジェクトの目標を達成するためのアシスタントの役割を果たすべきです。次のことを行う必要があります。
- Asigne tiempo suficiente para familiarizarse con la cadena de herramientas DevOps seleccionada.
- Centrarse en la colaboración eficaz (y en cómo las herramientas pueden contribuir a ella).
- Ya sea basado en habilidades/conocimientos o en herramientas, abordamos todas las deficiencias del proceso.
En resumen, no basta con «mejorar las herramientas» y esperar obtener los mejores resultados.
DevOps no es una palabra de moda, es una cultura. ¿Está progresando el crecimiento de su empresa?
La gestión del cambio es difícil incluso en el mejor de los casos. El miedo a lo desconocido puede impedir que incluso los miembros más competentes del equipo perfeccionen sus habilidades y amplíen sus horizontes.
Verás, simplemente decir «vamos a implementar DevOps» y trasladar a los equipos de operaciones a otros escritorios no va a hacer que el proceso funcione como por arte de magia. Muchos se sentirán confundidos y los miembros del equipo con más antigüedad se sentirán frustrados. Es fundamental comunicar las expectativas y «dar un paso adelante». DevOps es tanto una metodología de desarrollo como un movimiento cultural. Los equipos deben mantener una mentalidad colaborativa e interdepartamental.
¿Cómo es una cultura DevOps excelente?
- No solo los líderes, sino también los individuos tienen la autoridad para aplicar sus conocimientos especializados al proceso.
- Comunicación abierta, sincera y respetuosa entre equipos.
- Cada uno es responsable del objetivo general de incorporar la calidad y la seguridad en el proceso de desarrollo.
- Todos los miembros de la organización comparten la misma visión sobre la definición de DevOps en el ámbito empresarial, la hoja de ruta y el método, contenido y motivos de las funciones de cada persona.
Durante muchos años, he destacado la importancia de crear una cultura de seguridad positiva en los equipos de desarrollo, y DevOps no es una excepción.
Para lograr las mejores prácticas de seguridad, confirmar la reducción de las vulnerabilidades detectadas y centrar la atención del equipo en la importancia de la protección de datos, es esencial contar con las herramientas, los conocimientos y el apoyo adecuados. En DevOps, es necesario sentar las bases culturales para lograr un cambio positivo. En otras palabras, es necesario que todos comprendan su función, su valor, sus expectativas, los objetivos generales del proyecto y los pasos del proceso.
¿Lo ha dominado? Estupendo. Entonces, cambie de estrategia, refuerce aún más la seguridad y convierta DevSecOps en el plan definitivo para la excelencia del software.
Son muy pocas las empresas que realmente han tenido éxito en la implementación de DevOps. Sin embargo, con el apoyo, la formación y la comprensión adecuados en toda la empresa, es posible cambiar el proceso.
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Este artículo se publicó por primera vez en DevOps.com. Se ha actualizado y corregido.
Al igual que «cadena de bloques», «big data» y «disrupción digital», el término «DevOps» es otra palabra de moda que se utiliza actualmente en los departamentos de TI de las grandes organizaciones.
Muchas empresas reconocen (correctamente) la necesidad de un ciclo de vida de desarrollo de software que sea un proceso más preciso, estrechamente vinculado a los objetivos empresariales y que permita una colaboración más clara entre el equipo de desarrollo y el equipo operativo. DevOps es, en esencia, un desarrollo «ágil» en el que todos crecen, se renuevan constantemente y están preparados para responder a las necesidades de los negocios modernos, que se desarrollan rápidamente.Para los expertos en seguridad, se trata de una iniciativa excelente. Al poder incorporar la seguridad en el proceso en una fase mucho más temprana, se reducen los costes de corrección de errores y se evitan posibles catástrofes futuras.
El problema es que muy pocas empresas han logrado implementar DevOps con éxito. Sin el apoyo, la formación y la comprensión adecuados en toda la empresa, se puede llegar rápidamente a un punto muerto. Como ya sabéis, es uno de esos proyectos en los que «la guerra es inevitable».
Entonces, ¿cuál es el problema? Este es un debate interesante. Hay varios enfoques para DevOps que, en mi opinión, contribuyen a una transición mucho más fluida. Un programa eficaz no se limita a unas cuantas herramientas nuevas y llamativas, títulos y reuniones de equipo. Aunque no siempre es fácil, dedicar tiempo a corregir estrategias fallidas (o ejecutarlas correctamente desde el principio) reduce considerablemente el sufrimiento a largo plazo. Y, en última instancia, se obtendrá un software de mayor calidad y más seguro.
Analicémoslo:
Por favor, suelte el cordón del delantal «Ágil».
Existe la idea errónea de que las organizaciones deben elegir entre Agile o DevOps, abrirse camino en una de las dos direcciones y no mirar atrás.
Lo importante es que el proceso de desarrollo funcione mejor cuando se considera y se implementa como un todo. DevOps no es una reinvención del desarrollo Agile. Más bien, es una extensión del desarrollo Agile. Si nos centramos en el proceso, es fácil perder el rumbo. Desde un Agile idéntico o un Agile completamente diferente.
Agile apoya los principios de los equipos multifuncionales, que conectan desde el principio a diseñadores, probadores y desarrolladores, y garantizan una comunicación abierta a lo largo de todo el proyecto. El objetivo es acabar con la entrega en silos y reducir la duplicación de tareas, dos ventajas que también ofrece el proceso DevOps.Sin embargo, DevOps va un paso más allá y ofrece un conjunto de habilidades sólidas y completas cuyo objetivo final es proporcionar a los clientes un software completo y funcional que combine sistemas, seguridad y operaciones.
En medio de la inevitable transición hacia procesos más centrados en DevOps, es posible que vuelva a aumentar el riesgo de un desarrollo aislado. En muchos casos, los equipos ágiles originales colaboran, pero nadie está seguro de cómo incorporar la seguridad y las operaciones adicionales que aún están penetrando en las máquinas, qué se debe hacer y cuáles son los objetivos generales.
DevOps no puede funcionar sin objetivos claramente definidos, una incorporación que trascienda los departamentos y una comunicación directa con todas las partes interesadas. Aunque hay un período de ajuste que requiere una gestión cuidadosa del cambio, lograr que todos coincidan en la mejora que aporta la funcionalidad de DevOps es solo la mitad de la batalla.
DevOps ha comenzado a centrarse en las mejores prácticas de seguridad como parte del proceso, explicando los pasos de forma clara y cerrando la brecha entre el equipo de seguridad y el resto del personal (lo cual es muy de agradecer). Como se ha mencionado anteriormente, aún queda mucho camino por recorrer para que los desarrolladores puedan programar de forma segura desde el principio, pero la implementación exitosa de la metodología DevOps proporciona una base sólida para desarrollar habilidades de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo (ni tampoco es lo más seguro).
Otra característica de la metodología DevOps es la automatización de cierta parte del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son la base de este concepto y, como se puede imaginar, dependen en gran medida de las herramientas. Las herramientas de
son fantásticas, realmente fantásticas. Permiten gestionar de forma relativamente fluida los elementos del repositorio de código, las pruebas, el mantenimiento y el almacenamiento, lo que aporta una velocidad sin precedentes al proceso de entrega de software.
Sin embargo, aunque es posible que algún día los robots nos quiten todos nuestros trabajos y nos encarcelen, lo cierto es que eso aún no ha sucedido. Depender en gran medida de las herramientas y la automatización aumenta considerablemente la posibilidad de que se produzcan errores. No todo se detecta mediante escaneos y pruebas, y a veces el código no se comprueba, lo que da lugar a graves problemas de calidad (y, por supuesto, de seguridad). . Los atacantes solo necesitan una puerta trasera para robar datos. Pasar por alto el factor humano en el control de calidad y la gestión de la seguridad puede tener consecuencias desastrosas.
「ハッピーミディアム」とは、人々のバランスをとることです そして ツール。ツールは、信頼できるチームがプロジェクトの目標を達成するためのアシスタントの役割を果たすべきです。次のことを行う必要があります。
- Asigne tiempo suficiente para familiarizarse con la cadena de herramientas DevOps seleccionada.
- Centrarse en la colaboración eficaz (y en cómo las herramientas pueden contribuir a ella).
- Ya sea basado en habilidades/conocimientos o en herramientas, abordamos todas las deficiencias del proceso.
En resumen, no basta con «mejorar las herramientas» y esperar obtener los mejores resultados.
DevOps no es una palabra de moda, es una cultura. ¿Está progresando el crecimiento de su empresa?
La gestión del cambio es difícil incluso en el mejor de los casos. El miedo a lo desconocido puede impedir que incluso los miembros más competentes del equipo perfeccionen sus habilidades y amplíen sus horizontes.
Verás, simplemente decir «vamos a implementar DevOps» y trasladar a los equipos de operaciones a otros escritorios no va a hacer que el proceso funcione como por arte de magia. Muchos se sentirán confundidos y los miembros del equipo con más antigüedad se sentirán frustrados. Es fundamental comunicar las expectativas y «dar un paso adelante». DevOps es tanto una metodología de desarrollo como un movimiento cultural. Los equipos deben mantener una mentalidad colaborativa e interdepartamental.
¿Cómo es una cultura DevOps excelente?
- No solo los líderes, sino también los individuos tienen la autoridad para aplicar sus conocimientos especializados al proceso.
- Comunicación abierta, sincera y respetuosa entre equipos.
- Cada uno es responsable del objetivo general de incorporar la calidad y la seguridad en el proceso de desarrollo.
- Todos los miembros de la organización comparten la misma visión sobre la definición de DevOps en el ámbito empresarial, la hoja de ruta y el método, contenido y motivos de las funciones de cada persona.
Durante muchos años, he destacado la importancia de crear una cultura de seguridad positiva en los equipos de desarrollo, y DevOps no es una excepción.
Para lograr las mejores prácticas de seguridad, confirmar la reducción de las vulnerabilidades detectadas y centrar la atención del equipo en la importancia de la protección de datos, es esencial contar con las herramientas, los conocimientos y el apoyo adecuados. En DevOps, es necesario sentar las bases culturales para lograr un cambio positivo. En otras palabras, es necesario que todos comprendan su función, su valor, sus expectativas, los objetivos generales del proyecto y los pasos del proceso.
¿Lo ha dominado? Estupendo. Entonces, cambie de estrategia, refuerce aún más la seguridad y convierta DevSecOps en el plan definitivo para la excelencia del software.
Este artículo se publicó por primera vez en DevOps.com. Se ha actualizado y corregido.
Al igual que «cadena de bloques», «big data» y «disrupción digital», el término «DevOps» es otra palabra de moda que se utiliza actualmente en los departamentos de TI de las grandes organizaciones.
Muchas empresas reconocen (correctamente) la necesidad de un ciclo de vida de desarrollo de software que sea un proceso más preciso, estrechamente vinculado a los objetivos empresariales y que permita una colaboración más clara entre el equipo de desarrollo y el equipo operativo. DevOps es, en esencia, un desarrollo «ágil» en el que todos crecen, se renuevan constantemente y están preparados para responder a las necesidades de los negocios modernos, que se desarrollan rápidamente.Para los expertos en seguridad, se trata de una iniciativa excelente. Al poder incorporar la seguridad en el proceso en una fase mucho más temprana, se reducen los costes de corrección de errores y se evitan posibles catástrofes futuras.
El problema es que muy pocas empresas han logrado implementar DevOps con éxito. Sin el apoyo, la formación y la comprensión adecuados en toda la empresa, se puede llegar rápidamente a un punto muerto. Como ya sabéis, es uno de esos proyectos en los que «la guerra es inevitable».
Entonces, ¿cuál es el problema? Este es un debate interesante. Hay varios enfoques para DevOps que, en mi opinión, contribuyen a una transición mucho más fluida. Un programa eficaz no se limita a unas cuantas herramientas nuevas y llamativas, títulos y reuniones de equipo. Aunque no siempre es fácil, dedicar tiempo a corregir estrategias fallidas (o ejecutarlas correctamente desde el principio) reduce considerablemente el sufrimiento a largo plazo. Y, en última instancia, se obtendrá un software de mayor calidad y más seguro.
Analicémoslo:
Por favor, suelte el cordón del delantal «Ágil».
Existe la idea errónea de que las organizaciones deben elegir entre Agile o DevOps, abrirse camino en una de las dos direcciones y no mirar atrás.
Lo importante es que el proceso de desarrollo funcione mejor cuando se considera y se implementa como un todo. DevOps no es una reinvención del desarrollo Agile. Más bien, es una extensión del desarrollo Agile. Si nos centramos en el proceso, es fácil perder el rumbo. Desde un Agile idéntico o un Agile completamente diferente.
Agile apoya los principios de los equipos multifuncionales, que conectan desde el principio a diseñadores, probadores y desarrolladores, y garantizan una comunicación abierta a lo largo de todo el proyecto. El objetivo es acabar con la entrega en silos y reducir la duplicación de tareas, dos ventajas que también ofrece el proceso DevOps.Sin embargo, DevOps va un paso más allá y ofrece un conjunto de habilidades sólidas y completas cuyo objetivo final es proporcionar a los clientes un software completo y funcional que combine sistemas, seguridad y operaciones.
En medio de la inevitable transición hacia procesos más centrados en DevOps, es posible que vuelva a aumentar el riesgo de un desarrollo aislado. En muchos casos, los equipos ágiles originales colaboran, pero nadie está seguro de cómo incorporar la seguridad y las operaciones adicionales que aún están penetrando en las máquinas, qué se debe hacer y cuáles son los objetivos generales.
DevOps no puede funcionar sin objetivos claramente definidos, una incorporación que trascienda los departamentos y una comunicación directa con todas las partes interesadas. Aunque hay un período de ajuste que requiere una gestión cuidadosa del cambio, lograr que todos coincidan en la mejora que aporta la funcionalidad de DevOps es solo la mitad de la batalla.
DevOps ha comenzado a centrarse en las mejores prácticas de seguridad como parte del proceso, explicando los pasos de forma clara y cerrando la brecha entre el equipo de seguridad y el resto del personal (lo cual es muy de agradecer). Como se ha mencionado anteriormente, aún queda mucho camino por recorrer para que los desarrolladores puedan programar de forma segura desde el principio, pero la implementación exitosa de la metodología DevOps proporciona una base sólida para desarrollar habilidades de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo (ni tampoco es lo más seguro).
Otra característica de la metodología DevOps es la automatización de cierta parte del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son la base de este concepto y, como se puede imaginar, dependen en gran medida de las herramientas. Las herramientas de
son fantásticas, realmente fantásticas. Permiten gestionar de forma relativamente fluida los elementos del repositorio de código, las pruebas, el mantenimiento y el almacenamiento, lo que aporta una velocidad sin precedentes al proceso de entrega de software.
Sin embargo, aunque es posible que algún día los robots nos quiten todos nuestros trabajos y nos encarcelen, lo cierto es que eso aún no ha sucedido. Depender en gran medida de las herramientas y la automatización aumenta considerablemente la posibilidad de que se produzcan errores. No todo se detecta mediante escaneos y pruebas, y a veces el código no se comprueba, lo que da lugar a graves problemas de calidad (y, por supuesto, de seguridad). . Los atacantes solo necesitan una puerta trasera para robar datos. Pasar por alto el factor humano en el control de calidad y la gestión de la seguridad puede tener consecuencias desastrosas.
「ハッピーミディアム」とは、人々のバランスをとることです そして ツール。ツールは、信頼できるチームがプロジェクトの目標を達成するためのアシスタントの役割を果たすべきです。次のことを行う必要があります。
- Asigne tiempo suficiente para familiarizarse con la cadena de herramientas DevOps seleccionada.
- Centrarse en la colaboración eficaz (y en cómo las herramientas pueden contribuir a ella).
- Ya sea basado en habilidades/conocimientos o en herramientas, abordamos todas las deficiencias del proceso.
En resumen, no basta con «mejorar las herramientas» y esperar obtener los mejores resultados.
DevOps no es una palabra de moda, es una cultura. ¿Está progresando el crecimiento de su empresa?
La gestión del cambio es difícil incluso en el mejor de los casos. El miedo a lo desconocido puede impedir que incluso los miembros más competentes del equipo perfeccionen sus habilidades y amplíen sus horizontes.
Verás, simplemente decir «vamos a implementar DevOps» y trasladar a los equipos de operaciones a otros escritorios no va a hacer que el proceso funcione como por arte de magia. Muchos se sentirán confundidos y los miembros del equipo con más antigüedad se sentirán frustrados. Es fundamental comunicar las expectativas y «dar un paso adelante». DevOps es tanto una metodología de desarrollo como un movimiento cultural. Los equipos deben mantener una mentalidad colaborativa e interdepartamental.
¿Cómo es una cultura DevOps excelente?
- No solo los líderes, sino también los individuos tienen la autoridad para aplicar sus conocimientos especializados al proceso.
- Comunicación abierta, sincera y respetuosa entre equipos.
- Cada uno es responsable del objetivo general de incorporar la calidad y la seguridad en el proceso de desarrollo.
- Todos los miembros de la organización comparten la misma visión sobre la definición de DevOps en el ámbito empresarial, la hoja de ruta y el método, contenido y motivos de las funciones de cada persona.
Durante muchos años, he destacado la importancia de crear una cultura de seguridad positiva en los equipos de desarrollo, y DevOps no es una excepción.
Para lograr las mejores prácticas de seguridad, confirmar la reducción de las vulnerabilidades detectadas y centrar la atención del equipo en la importancia de la protección de datos, es esencial contar con las herramientas, los conocimientos y el apoyo adecuados. En DevOps, es necesario sentar las bases culturales para lograr un cambio positivo. En otras palabras, es necesario que todos comprendan su función, su valor, sus expectativas, los objetivos generales del proyecto y los pasos del proceso.
¿Lo ha dominado? Estupendo. Entonces, cambie de estrategia, refuerce aún más la seguridad y convierta DevSecOps en el plan definitivo para la excelencia del software.
Haga clic en el siguiente enlace para descargar el PDF de este recurso.
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Mostrar informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Este artículo se publicó por primera vez en DevOps.com. Se ha actualizado y corregido.
Al igual que «cadena de bloques», «big data» y «disrupción digital», el término «DevOps» es otra palabra de moda que se utiliza actualmente en los departamentos de TI de las grandes organizaciones.
Muchas empresas reconocen (correctamente) la necesidad de un ciclo de vida de desarrollo de software que sea un proceso más preciso, estrechamente vinculado a los objetivos empresariales y que permita una colaboración más clara entre el equipo de desarrollo y el equipo operativo. DevOps es, en esencia, un desarrollo «ágil» en el que todos crecen, se renuevan constantemente y están preparados para responder a las necesidades de los negocios modernos, que se desarrollan rápidamente.Para los expertos en seguridad, se trata de una iniciativa excelente. Al poder incorporar la seguridad en el proceso en una fase mucho más temprana, se reducen los costes de corrección de errores y se evitan posibles catástrofes futuras.
El problema es que muy pocas empresas han logrado implementar DevOps con éxito. Sin el apoyo, la formación y la comprensión adecuados en toda la empresa, se puede llegar rápidamente a un punto muerto. Como ya sabéis, es uno de esos proyectos en los que «la guerra es inevitable».
Entonces, ¿cuál es el problema? Este es un debate interesante. Hay varios enfoques para DevOps que, en mi opinión, contribuyen a una transición mucho más fluida. Un programa eficaz no se limita a unas cuantas herramientas nuevas y llamativas, títulos y reuniones de equipo. Aunque no siempre es fácil, dedicar tiempo a corregir estrategias fallidas (o ejecutarlas correctamente desde el principio) reduce considerablemente el sufrimiento a largo plazo. Y, en última instancia, se obtendrá un software de mayor calidad y más seguro.
Analicémoslo:
Por favor, suelte el cordón del delantal «Ágil».
Existe la idea errónea de que las organizaciones deben elegir entre Agile o DevOps, abrirse camino en una de las dos direcciones y no mirar atrás.
Lo importante es que el proceso de desarrollo funcione mejor cuando se considera y se implementa como un todo. DevOps no es una reinvención del desarrollo Agile. Más bien, es una extensión del desarrollo Agile. Si nos centramos en el proceso, es fácil perder el rumbo. Desde un Agile idéntico o un Agile completamente diferente.
Agile apoya los principios de los equipos multifuncionales, que conectan desde el principio a diseñadores, probadores y desarrolladores, y garantizan una comunicación abierta a lo largo de todo el proyecto. El objetivo es acabar con la entrega en silos y reducir la duplicación de tareas, dos ventajas que también ofrece el proceso DevOps.Sin embargo, DevOps va un paso más allá y ofrece un conjunto de habilidades sólidas y completas cuyo objetivo final es proporcionar a los clientes un software completo y funcional que combine sistemas, seguridad y operaciones.
En medio de la inevitable transición hacia procesos más centrados en DevOps, es posible que vuelva a aumentar el riesgo de un desarrollo aislado. En muchos casos, los equipos ágiles originales colaboran, pero nadie está seguro de cómo incorporar la seguridad y las operaciones adicionales que aún están penetrando en las máquinas, qué se debe hacer y cuáles son los objetivos generales.
DevOps no puede funcionar sin objetivos claramente definidos, una incorporación que trascienda los departamentos y una comunicación directa con todas las partes interesadas. Aunque hay un período de ajuste que requiere una gestión cuidadosa del cambio, lograr que todos coincidan en la mejora que aporta la funcionalidad de DevOps es solo la mitad de la batalla.
DevOps ha comenzado a centrarse en las mejores prácticas de seguridad como parte del proceso, explicando los pasos de forma clara y cerrando la brecha entre el equipo de seguridad y el resto del personal (lo cual es muy de agradecer). Como se ha mencionado anteriormente, aún queda mucho camino por recorrer para que los desarrolladores puedan programar de forma segura desde el principio, pero la implementación exitosa de la metodología DevOps proporciona una base sólida para desarrollar habilidades de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo (ni tampoco es lo más seguro).
Otra característica de la metodología DevOps es la automatización de cierta parte del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son la base de este concepto y, como se puede imaginar, dependen en gran medida de las herramientas. Las herramientas de
son fantásticas, realmente fantásticas. Permiten gestionar de forma relativamente fluida los elementos del repositorio de código, las pruebas, el mantenimiento y el almacenamiento, lo que aporta una velocidad sin precedentes al proceso de entrega de software.
Sin embargo, aunque es posible que algún día los robots nos quiten todos nuestros trabajos y nos encarcelen, lo cierto es que eso aún no ha sucedido. Depender en gran medida de las herramientas y la automatización aumenta considerablemente la posibilidad de que se produzcan errores. No todo se detecta mediante escaneos y pruebas, y a veces el código no se comprueba, lo que da lugar a graves problemas de calidad (y, por supuesto, de seguridad). . Los atacantes solo necesitan una puerta trasera para robar datos. Pasar por alto el factor humano en el control de calidad y la gestión de la seguridad puede tener consecuencias desastrosas.
「ハッピーミディアム」とは、人々のバランスをとることです そして ツール。ツールは、信頼できるチームがプロジェクトの目標を達成するためのアシスタントの役割を果たすべきです。次のことを行う必要があります。
- Asigne tiempo suficiente para familiarizarse con la cadena de herramientas DevOps seleccionada.
- Centrarse en la colaboración eficaz (y en cómo las herramientas pueden contribuir a ella).
- Ya sea basado en habilidades/conocimientos o en herramientas, abordamos todas las deficiencias del proceso.
En resumen, no basta con «mejorar las herramientas» y esperar obtener los mejores resultados.
DevOps no es una palabra de moda, es una cultura. ¿Está progresando el crecimiento de su empresa?
La gestión del cambio es difícil incluso en el mejor de los casos. El miedo a lo desconocido puede impedir que incluso los miembros más competentes del equipo perfeccionen sus habilidades y amplíen sus horizontes.
Verás, simplemente decir «vamos a implementar DevOps» y trasladar a los equipos de operaciones a otros escritorios no va a hacer que el proceso funcione como por arte de magia. Muchos se sentirán confundidos y los miembros del equipo con más antigüedad se sentirán frustrados. Es fundamental comunicar las expectativas y «dar un paso adelante». DevOps es tanto una metodología de desarrollo como un movimiento cultural. Los equipos deben mantener una mentalidad colaborativa e interdepartamental.
¿Cómo es una cultura DevOps excelente?
- No solo los líderes, sino también los individuos tienen la autoridad para aplicar sus conocimientos especializados al proceso.
- Comunicación abierta, sincera y respetuosa entre equipos.
- Cada uno es responsable del objetivo general de incorporar la calidad y la seguridad en el proceso de desarrollo.
- Todos los miembros de la organización comparten la misma visión sobre la definición de DevOps en el ámbito empresarial, la hoja de ruta y el método, contenido y motivos de las funciones de cada persona.
Durante muchos años, he destacado la importancia de crear una cultura de seguridad positiva en los equipos de desarrollo, y DevOps no es una excepción.
Para lograr las mejores prácticas de seguridad, confirmar la reducción de las vulnerabilidades detectadas y centrar la atención del equipo en la importancia de la protección de datos, es esencial contar con las herramientas, los conocimientos y el apoyo adecuados. En DevOps, es necesario sentar las bases culturales para lograr un cambio positivo. En otras palabras, es necesario que todos comprendan su función, su valor, sus expectativas, los objetivos generales del proyecto y los pasos del proceso.
¿Lo ha dominado? Estupendo. Entonces, cambie de estrategia, refuerce aún más la seguridad y convierta DevSecOps en el plan definitivo para la excelencia del software.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior le ayuda a proteger el código a lo largo de todo el ciclo de vida del desarrollo de software y a crear una cultura que dé prioridad a la ciberseguridad. Tanto si es gestor de seguridad de aplicaciones, desarrollador, CISO o responsable de seguridad, le ayudamos a reducir los riesgos asociados al código inseguro.
Reservar una demostración[Descargar]Recursos para empezar
Temas y contenidos de la formación en código seguro
Nuestro contenido, líder en el sector, evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo siempre en cuenta las funciones de nuestros clientes. Abarca todo tipo de temas, desde la inteligencia artificial hasta la inyección de XQuery, y está diseñado para satisfacer las necesidades de diversos perfiles, desde arquitectos e ingenieros hasta gestores de productos y responsables de control de calidad. Echemos un vistazo al contenido que ofrece nuestro catálogo, clasificado por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ya está disponible bajo demanda.
Ahora se puede jugar a «Cybermon 2025 Beat the Boss» en SCW durante todo el año. Introduzca retos de seguridad avanzados de IA/LLM y refuerce a gran escala el desarrollo seguro de la IA.
Explicación de la Ley de Resiliencia Cibernética: su significado para el desarrollo de software seguro desde el diseño
Descubra qué exige la Ley de Resiliencia Cibernética (CRA) de la UE, a quién se aplica y cómo puede prepararse el equipo de ingeniería para las prácticas de seguridad desde el diseño, la prevención de vulnerabilidades y el desarrollo de las capacidades de los desarrolladores.
Enable 1: Criterios de éxito predefinidos y medibles
Enabler 1 es la primera parte de la serie Enablers of Success, compuesta por diez partes, y presenta cómo madurar un programa a largo plazo vinculando la codificación segura con resultados empresariales como la reducción de riesgos y la velocidad.
