Razones por las que la implementación de DevOps suele fracasar (y cómo solucionarlo)
Este artículo se publicó originalmente en DevOps.com. Se ha actualizado y modificado.
Al igual que «blockchain», «big data» y «innovación digital», el término «DevOps» es otra palabra de moda que está surgiendo actualmente en los departamentos de TI de las grandes organizaciones.
Muchas empresas reconocen (con precisión) la necesidad de un ciclo de vida de desarrollo de software más rápido, que es un proceso más preciso y estrechamente vinculado a los objetivos comerciales. Esto permite un flujo de trabajo y una colaboración más claros entre el equipo de desarrollo y el equipo operativo. DevOps es, en esencia, un desarrollo «ágil», y ambos están preparados para crecer y satisfacer las necesidades de innovación constante y rápida implementación de las empresas modernas. Es una iniciativa fantástica para los expertos en seguridad, ya que permite introducir la seguridad en el proceso mucho antes, lo que reduce los costes de corrección de errores y evita posibles desastres en el futuro.
El problema es que casi ninguna empresa ha logrado implementar DevOps con éxito. Sin el apoyo, la formación y la comprensión adecuados en toda la empresa, esta puede convertirse rápidamente en un elefante blanco. Como ya sabéis, la guerra es uno de esos proyectos que no hace falta mencionar.
Entonces, ¿cuál es el problema? Es un debate interesante. Hay varias formas de abordar DevOps, y creo que con ellas se puede lograr un funcionamiento mucho más fluido. Un programa eficaz va más allá de unas cuantas herramientas nuevas, títulos y reuniones de equipo. No siempre será fácil, pero dedicar tiempo a corregir estrategias erróneas o a implementarlas correctamente desde el principio será mucho menos doloroso a largo plazo. Y, en última instancia, mejorará la calidad del software y se reforzará la seguridad.
Lo explicaré con detalle.
Suelte la cinta del delantal «Agile».
Existe la idea errónea de que las organizaciones deben elegir entre Agile y DevOps. Existe la idea errónea de que hay que establecer una ruta u otra y no mirar atrás.
El problema es que el proceso de desarrollo funciona mejor cuando se considera e implementa como uno solo. DevOps no es una innovación del desarrollo ágil. Más bien es una extensión del desarrollo ágil. Cuando se espera que el proceso vaya sobre ruedas, tiende a descarrilarse. Exactamente igual que en ágil, o completamente diferente de ágil.
Agile respalda el principio de equipos interdepartamentales desde el principio, reuniendo a diseñadores, probadores y desarrolladores y estableciendo líneas de comunicación abiertas a lo largo de todo el proyecto. El objetivo es poner fin a la comunicación aislada y reducir la duplicación de tareas, dos aspectos que también son ventajas del proceso DevOps.Sin embargo, DevOps va un paso más allá y ofrece una tecnología potente y completa con el objetivo final de proporcionar al cliente un software completo y funcional mediante la integración de sistemas, seguridad y operaciones.
Al cambiar a un proceso centrado en DevOps, pueden surgir problemas inevitables que pueden provocar que vuelva a aparecer el riesgo de un desarrollo aislado. A menudo, los equipos ágiles existentes trabajan juntos sin que se hayan implementado aún correctamente las funciones adicionales de seguridad y operaciones. Nadie sabe exactamente cómo incluirlas, qué hacer ni cuáles son los objetivos generales.
DevOps no funciona sin objetivos claramente definidos, la incorporación entre departamentos y la comunicación directa con todas las partes. Por supuesto, durante el período de coordinación será necesario gestionar los cambios con mucho cuidado, pero basta con que todos comprendan de la misma manera las mejoras que aportará la función DevOps para poder realizar su trabajo.
DevOps se centra en las mejores prácticas de seguridad como parte del proceso, lo que facilita la explicación de las etapas y reduce la brecha entre el equipo de seguridad y el resto del personal. Como se ha mencionado anteriormente, aún queda mucho camino por recorrer para que los desarrolladores puedan programar de forma segura desde el principio, pero la implementación exitosa de la metodología DevOps es una base excelente para incorporar las habilidades de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo ni es lo más seguro.
Otra característica de la metodología DevOps es la automatización del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son la piedra angular de este concepto y, como se puede imaginar, dependen en gran medida de las herramientas. Las herramientas de
son realmente fantásticas. Permiten gestionar de forma relativamente fluida los repositorios de código, las pruebas, el mantenimiento y el almacenamiento, lo que agiliza el proceso de entrega de software como nunca antes.
Pero aunque los robots puedan quitarnos todos nuestros puestos de trabajo y algún día incluso encerrarnos en una prisión, todavía no han llegado a ese punto. Si dependemos en exceso de las herramientas y la automatización, se abre una puerta de par en par a la posibilidad de que se produzcan errores.No todo se puede verificar mediante escaneos y pruebas, y es posible que el código no se compruebe, lo que puede dar lugar a graves problemas de calidad (por no hablar de la seguridad). Los atacantes solo necesitan una puerta trasera para aprovecharla y robar datos. Renunciar al factor humano en la gestión de la calidad y la seguridad puede tener graves consecuencias.
«Un medio feliz» es mantener el equilibrio de las personas. Y las herramientas. Las herramientas deben desempeñar un papel de apoyo a un equipo fiable para alcanzar los objetivos del proyecto. Se debe poner en práctica lo siguiente.
- Asigne tiempo suficiente para que las personas se familiaricen con la cadena de herramientas DevOps que han elegido.
- Enfoque en la colaboración eficaz (y cómo las herramientas pueden facilitarla)
- Resuelva todas las deficiencias del proceso, ya sean de tecnología, conocimientos o herramientas.
En pocas palabras, no esperes que simplemente cojan una «herramienta» y den lo mejor de sí mismos.
DevOps no es una palabra de moda, sino una cultura. ¿La está desarrollando?
La gestión del cambio es, en el mejor de los casos, una tarea difícil. El miedo a lo desconocido puede impedir que incluso los miembros más destacados del equipo perfeccionen sus habilidades y amplíen sus horizontes.
Como saben, no basta con decir «vamos a implementar DevOps» y hacer que el equipo de operaciones cambie de escritorio para que, como por arte de magia, se implemente un proceso exitoso. Muchas personas se sentirán confundidas y los miembros del equipo con más antigüedad se sentirán insatisfechos. La comunicación de las expectativas es muy importante, al igual que el «camino a seguir». DevOps es, al igual que la metodología de desarrollo, un movimiento cultural. El equipo debe adoptar una mentalidad colaborativa que trascienda los límites de los distintos departamentos.
¿Cómo sería una cultura DevOps excelente?
- Los individuos pueden aplicar sus conocimientos especializados no solo como líderes, sino también en los procesos.
- Comunicación abierta, honesta y respetuosa entre equipos.
- Cada persona es responsable del objetivo general de incorporar la calidad y la seguridad en el proceso de desarrollo.
- Todos tienen la misma comprensión de la definición de DevOps en los negocios, la hoja de ruta, y el método, objetivo y razón de la función de cada individuo.
Durante años, he insistido en la importancia de crear una cultura de seguridad positiva en los equipos de desarrollo, y DevOps no es una excepción.
Para lograr las mejores prácticas de seguridad, identificar las vulnerabilidades detectadas y garantizar que el equipo comprenda la importancia de la protección de datos, es esencial contar con las herramientas, los conocimientos y el apoyo adecuados. Al utilizar DevOps, es necesario sentar las bases culturales para un cambio positivo. Es decir, hay que asegurarse de que todo el mundo comprenda su función, su valor, las expectativas, los objetivos generales del proyecto y las etapas del proceso.
¿Lo ha dominado? Estupendo. Ahora cambiemos de perspectiva y ampliemos el aspecto de la seguridad para convertir DevSecOps en el plan definitivo para la excelencia del software.
Pocas empresas han logrado implementar con éxito DevOps. Sin embargo, el apoyo, la formación y la comprensión adecuados en toda la empresa pueden revolucionar el proceso.
Director General, Presidente y Cofundador
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Este artículo se publicó originalmente en DevOps.com. Se ha actualizado y modificado.
Al igual que «blockchain», «big data» y «innovación digital», el término «DevOps» es otra palabra de moda que está surgiendo actualmente en los departamentos de TI de las grandes organizaciones.
Muchas empresas reconocen (con precisión) la necesidad de un ciclo de vida de desarrollo de software más rápido, que es un proceso más preciso y estrechamente vinculado a los objetivos comerciales. Esto permite un flujo de trabajo y una colaboración más claros entre el equipo de desarrollo y el equipo operativo. DevOps es, en esencia, un desarrollo «ágil», y ambos están preparados para crecer y satisfacer las necesidades de innovación constante y rápida implementación de las empresas modernas. Es una iniciativa fantástica para los expertos en seguridad, ya que permite introducir la seguridad en el proceso mucho antes, lo que reduce los costes de corrección de errores y evita posibles desastres en el futuro.
El problema es que casi ninguna empresa ha logrado implementar DevOps con éxito. Sin el apoyo, la formación y la comprensión adecuados en toda la empresa, esta puede convertirse rápidamente en un elefante blanco. Como ya sabéis, la guerra es uno de esos proyectos que no hace falta mencionar.
Entonces, ¿cuál es el problema? Es un debate interesante. Hay varias formas de abordar DevOps, y creo que con ellas se puede lograr un funcionamiento mucho más fluido. Un programa eficaz va más allá de unas cuantas herramientas nuevas, títulos y reuniones de equipo. No siempre será fácil, pero dedicar tiempo a corregir estrategias erróneas o a implementarlas correctamente desde el principio será mucho menos doloroso a largo plazo. Y, en última instancia, mejorará la calidad del software y se reforzará la seguridad.
Lo explicaré con detalle.
Suelte la cinta del delantal «Agile».
Existe la idea errónea de que las organizaciones deben elegir entre Agile y DevOps. Existe la idea errónea de que hay que establecer una ruta u otra y no mirar atrás.
El problema es que el proceso de desarrollo funciona mejor cuando se considera e implementa como uno solo. DevOps no es una innovación del desarrollo ágil. Más bien es una extensión del desarrollo ágil. Cuando se espera que el proceso vaya sobre ruedas, tiende a descarrilarse. Exactamente igual que en ágil, o completamente diferente de ágil.
Agile respalda el principio de equipos interdepartamentales desde el principio, reuniendo a diseñadores, probadores y desarrolladores y estableciendo líneas de comunicación abiertas a lo largo de todo el proyecto. El objetivo es poner fin a la comunicación aislada y reducir la duplicación de tareas, dos aspectos que también son ventajas del proceso DevOps.Sin embargo, DevOps va un paso más allá y ofrece una tecnología potente y completa con el objetivo final de proporcionar al cliente un software completo y funcional mediante la integración de sistemas, seguridad y operaciones.
Al cambiar a un proceso centrado en DevOps, pueden surgir problemas inevitables que pueden provocar que vuelva a aparecer el riesgo de un desarrollo aislado. A menudo, los equipos ágiles existentes trabajan juntos sin que se hayan implementado aún correctamente las funciones adicionales de seguridad y operaciones. Nadie sabe exactamente cómo incluirlas, qué hacer ni cuáles son los objetivos generales.
DevOps no funciona sin objetivos claramente definidos, la incorporación entre departamentos y la comunicación directa con todas las partes. Por supuesto, durante el período de coordinación será necesario gestionar los cambios con mucho cuidado, pero basta con que todos comprendan de la misma manera las mejoras que aportará la función DevOps para poder realizar su trabajo.
DevOps se centra en las mejores prácticas de seguridad como parte del proceso, lo que facilita la explicación de las etapas y reduce la brecha entre el equipo de seguridad y el resto del personal. Como se ha mencionado anteriormente, aún queda mucho camino por recorrer para que los desarrolladores puedan programar de forma segura desde el principio, pero la implementación exitosa de la metodología DevOps es una base excelente para incorporar las habilidades de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo ni es lo más seguro.
Otra característica de la metodología DevOps es la automatización del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son la piedra angular de este concepto y, como se puede imaginar, dependen en gran medida de las herramientas. Las herramientas de
son realmente fantásticas. Permiten gestionar de forma relativamente fluida los repositorios de código, las pruebas, el mantenimiento y el almacenamiento, lo que agiliza el proceso de entrega de software como nunca antes.
Pero aunque los robots puedan quitarnos todos nuestros puestos de trabajo y algún día incluso encerrarnos en una prisión, todavía no han llegado a ese punto. Si dependemos en exceso de las herramientas y la automatización, se abre una puerta de par en par a la posibilidad de que se produzcan errores.No todo se puede verificar mediante escaneos y pruebas, y es posible que el código no se compruebe, lo que puede dar lugar a graves problemas de calidad (por no hablar de la seguridad). Los atacantes solo necesitan una puerta trasera para aprovecharla y robar datos. Renunciar al factor humano en la gestión de la calidad y la seguridad puede tener graves consecuencias.
«Un medio feliz» es mantener el equilibrio de las personas. Y las herramientas. Las herramientas deben desempeñar un papel de apoyo a un equipo fiable para alcanzar los objetivos del proyecto. Se debe poner en práctica lo siguiente.
- Asigne tiempo suficiente para que las personas se familiaricen con la cadena de herramientas DevOps que han elegido.
- Enfoque en la colaboración eficaz (y cómo las herramientas pueden facilitarla)
- Resuelva todas las deficiencias del proceso, ya sean de tecnología, conocimientos o herramientas.
En pocas palabras, no esperes que simplemente cojan una «herramienta» y den lo mejor de sí mismos.
DevOps no es una palabra de moda, sino una cultura. ¿La está desarrollando?
La gestión del cambio es, en el mejor de los casos, una tarea difícil. El miedo a lo desconocido puede impedir que incluso los miembros más destacados del equipo perfeccionen sus habilidades y amplíen sus horizontes.
Como saben, no basta con decir «vamos a implementar DevOps» y hacer que el equipo de operaciones cambie de escritorio para que, como por arte de magia, se implemente un proceso exitoso. Muchas personas se sentirán confundidas y los miembros del equipo con más antigüedad se sentirán insatisfechos. La comunicación de las expectativas es muy importante, al igual que el «camino a seguir». DevOps es, al igual que la metodología de desarrollo, un movimiento cultural. El equipo debe adoptar una mentalidad colaborativa que trascienda los límites de los distintos departamentos.
¿Cómo sería una cultura DevOps excelente?
- Los individuos pueden aplicar sus conocimientos especializados no solo como líderes, sino también en los procesos.
- Comunicación abierta, honesta y respetuosa entre equipos.
- Cada persona es responsable del objetivo general de incorporar la calidad y la seguridad en el proceso de desarrollo.
- Todos tienen la misma comprensión de la definición de DevOps en los negocios, la hoja de ruta, y el método, objetivo y razón de la función de cada individuo.
Durante años, he insistido en la importancia de crear una cultura de seguridad positiva en los equipos de desarrollo, y DevOps no es una excepción.
Para lograr las mejores prácticas de seguridad, identificar las vulnerabilidades detectadas y garantizar que el equipo comprenda la importancia de la protección de datos, es esencial contar con las herramientas, los conocimientos y el apoyo adecuados. Al utilizar DevOps, es necesario sentar las bases culturales para un cambio positivo. Es decir, hay que asegurarse de que todo el mundo comprenda su función, su valor, las expectativas, los objetivos generales del proyecto y las etapas del proceso.
¿Lo ha dominado? Estupendo. Ahora cambiemos de perspectiva y ampliemos el aspecto de la seguridad para convertir DevSecOps en el plan definitivo para la excelencia del software.
Este artículo se publicó originalmente en DevOps.com. Se ha actualizado y modificado.
Al igual que «blockchain», «big data» y «innovación digital», el término «DevOps» es otra palabra de moda que está surgiendo actualmente en los departamentos de TI de las grandes organizaciones.
Muchas empresas reconocen (con precisión) la necesidad de un ciclo de vida de desarrollo de software más rápido, que es un proceso más preciso y estrechamente vinculado a los objetivos comerciales. Esto permite un flujo de trabajo y una colaboración más claros entre el equipo de desarrollo y el equipo operativo. DevOps es, en esencia, un desarrollo «ágil», y ambos están preparados para crecer y satisfacer las necesidades de innovación constante y rápida implementación de las empresas modernas. Es una iniciativa fantástica para los expertos en seguridad, ya que permite introducir la seguridad en el proceso mucho antes, lo que reduce los costes de corrección de errores y evita posibles desastres en el futuro.
El problema es que casi ninguna empresa ha logrado implementar DevOps con éxito. Sin el apoyo, la formación y la comprensión adecuados en toda la empresa, esta puede convertirse rápidamente en un elefante blanco. Como ya sabéis, la guerra es uno de esos proyectos que no hace falta mencionar.
Entonces, ¿cuál es el problema? Es un debate interesante. Hay varias formas de abordar DevOps, y creo que con ellas se puede lograr un funcionamiento mucho más fluido. Un programa eficaz va más allá de unas cuantas herramientas nuevas, títulos y reuniones de equipo. No siempre será fácil, pero dedicar tiempo a corregir estrategias erróneas o a implementarlas correctamente desde el principio será mucho menos doloroso a largo plazo. Y, en última instancia, mejorará la calidad del software y se reforzará la seguridad.
Lo explicaré con detalle.
Suelte la cinta del delantal «Agile».
Existe la idea errónea de que las organizaciones deben elegir entre Agile y DevOps. Existe la idea errónea de que hay que establecer una ruta u otra y no mirar atrás.
El problema es que el proceso de desarrollo funciona mejor cuando se considera e implementa como uno solo. DevOps no es una innovación del desarrollo ágil. Más bien es una extensión del desarrollo ágil. Cuando se espera que el proceso vaya sobre ruedas, tiende a descarrilarse. Exactamente igual que en ágil, o completamente diferente de ágil.
Agile respalda el principio de equipos interdepartamentales desde el principio, reuniendo a diseñadores, probadores y desarrolladores y estableciendo líneas de comunicación abiertas a lo largo de todo el proyecto. El objetivo es poner fin a la comunicación aislada y reducir la duplicación de tareas, dos aspectos que también son ventajas del proceso DevOps.Sin embargo, DevOps va un paso más allá y ofrece una tecnología potente y completa con el objetivo final de proporcionar al cliente un software completo y funcional mediante la integración de sistemas, seguridad y operaciones.
Al cambiar a un proceso centrado en DevOps, pueden surgir problemas inevitables que pueden provocar que vuelva a aparecer el riesgo de un desarrollo aislado. A menudo, los equipos ágiles existentes trabajan juntos sin que se hayan implementado aún correctamente las funciones adicionales de seguridad y operaciones. Nadie sabe exactamente cómo incluirlas, qué hacer ni cuáles son los objetivos generales.
DevOps no funciona sin objetivos claramente definidos, la incorporación entre departamentos y la comunicación directa con todas las partes. Por supuesto, durante el período de coordinación será necesario gestionar los cambios con mucho cuidado, pero basta con que todos comprendan de la misma manera las mejoras que aportará la función DevOps para poder realizar su trabajo.
DevOps se centra en las mejores prácticas de seguridad como parte del proceso, lo que facilita la explicación de las etapas y reduce la brecha entre el equipo de seguridad y el resto del personal. Como se ha mencionado anteriormente, aún queda mucho camino por recorrer para que los desarrolladores puedan programar de forma segura desde el principio, pero la implementación exitosa de la metodología DevOps es una base excelente para incorporar las habilidades de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo ni es lo más seguro.
Otra característica de la metodología DevOps es la automatización del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son la piedra angular de este concepto y, como se puede imaginar, dependen en gran medida de las herramientas. Las herramientas de
son realmente fantásticas. Permiten gestionar de forma relativamente fluida los repositorios de código, las pruebas, el mantenimiento y el almacenamiento, lo que agiliza el proceso de entrega de software como nunca antes.
Pero aunque los robots puedan quitarnos todos nuestros puestos de trabajo y algún día incluso encerrarnos en una prisión, todavía no han llegado a ese punto. Si dependemos en exceso de las herramientas y la automatización, se abre una puerta de par en par a la posibilidad de que se produzcan errores.No todo se puede verificar mediante escaneos y pruebas, y es posible que el código no se compruebe, lo que puede dar lugar a graves problemas de calidad (por no hablar de la seguridad). Los atacantes solo necesitan una puerta trasera para aprovecharla y robar datos. Renunciar al factor humano en la gestión de la calidad y la seguridad puede tener graves consecuencias.
«Un medio feliz» es mantener el equilibrio de las personas. Y las herramientas. Las herramientas deben desempeñar un papel de apoyo a un equipo fiable para alcanzar los objetivos del proyecto. Se debe poner en práctica lo siguiente.
- Asigne tiempo suficiente para que las personas se familiaricen con la cadena de herramientas DevOps que han elegido.
- Enfoque en la colaboración eficaz (y cómo las herramientas pueden facilitarla)
- Resuelva todas las deficiencias del proceso, ya sean de tecnología, conocimientos o herramientas.
En pocas palabras, no esperes que simplemente cojan una «herramienta» y den lo mejor de sí mismos.
DevOps no es una palabra de moda, sino una cultura. ¿La está desarrollando?
La gestión del cambio es, en el mejor de los casos, una tarea difícil. El miedo a lo desconocido puede impedir que incluso los miembros más destacados del equipo perfeccionen sus habilidades y amplíen sus horizontes.
Como saben, no basta con decir «vamos a implementar DevOps» y hacer que el equipo de operaciones cambie de escritorio para que, como por arte de magia, se implemente un proceso exitoso. Muchas personas se sentirán confundidas y los miembros del equipo con más antigüedad se sentirán insatisfechos. La comunicación de las expectativas es muy importante, al igual que el «camino a seguir». DevOps es, al igual que la metodología de desarrollo, un movimiento cultural. El equipo debe adoptar una mentalidad colaborativa que trascienda los límites de los distintos departamentos.
¿Cómo sería una cultura DevOps excelente?
- Los individuos pueden aplicar sus conocimientos especializados no solo como líderes, sino también en los procesos.
- Comunicación abierta, honesta y respetuosa entre equipos.
- Cada persona es responsable del objetivo general de incorporar la calidad y la seguridad en el proceso de desarrollo.
- Todos tienen la misma comprensión de la definición de DevOps en los negocios, la hoja de ruta, y el método, objetivo y razón de la función de cada individuo.
Durante años, he insistido en la importancia de crear una cultura de seguridad positiva en los equipos de desarrollo, y DevOps no es una excepción.
Para lograr las mejores prácticas de seguridad, identificar las vulnerabilidades detectadas y garantizar que el equipo comprenda la importancia de la protección de datos, es esencial contar con las herramientas, los conocimientos y el apoyo adecuados. Al utilizar DevOps, es necesario sentar las bases culturales para un cambio positivo. Es decir, hay que asegurarse de que todo el mundo comprenda su función, su valor, las expectativas, los objetivos generales del proyecto y las etapas del proceso.
¿Lo ha dominado? Estupendo. Ahora cambiemos de perspectiva y ampliemos el aspecto de la seguridad para convertir DevSecOps en el plan definitivo para la excelencia del software.
Haga clic en el siguiente enlace y descargue el PDF de este recurso.
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Ver informeReserva de demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Este artículo se publicó originalmente en DevOps.com. Se ha actualizado y modificado.
Al igual que «blockchain», «big data» y «innovación digital», el término «DevOps» es otra palabra de moda que está surgiendo actualmente en los departamentos de TI de las grandes organizaciones.
Muchas empresas reconocen (con precisión) la necesidad de un ciclo de vida de desarrollo de software más rápido, que es un proceso más preciso y estrechamente vinculado a los objetivos comerciales. Esto permite un flujo de trabajo y una colaboración más claros entre el equipo de desarrollo y el equipo operativo. DevOps es, en esencia, un desarrollo «ágil», y ambos están preparados para crecer y satisfacer las necesidades de innovación constante y rápida implementación de las empresas modernas. Es una iniciativa fantástica para los expertos en seguridad, ya que permite introducir la seguridad en el proceso mucho antes, lo que reduce los costes de corrección de errores y evita posibles desastres en el futuro.
El problema es que casi ninguna empresa ha logrado implementar DevOps con éxito. Sin el apoyo, la formación y la comprensión adecuados en toda la empresa, esta puede convertirse rápidamente en un elefante blanco. Como ya sabéis, la guerra es uno de esos proyectos que no hace falta mencionar.
Entonces, ¿cuál es el problema? Es un debate interesante. Hay varias formas de abordar DevOps, y creo que con ellas se puede lograr un funcionamiento mucho más fluido. Un programa eficaz va más allá de unas cuantas herramientas nuevas, títulos y reuniones de equipo. No siempre será fácil, pero dedicar tiempo a corregir estrategias erróneas o a implementarlas correctamente desde el principio será mucho menos doloroso a largo plazo. Y, en última instancia, mejorará la calidad del software y se reforzará la seguridad.
Lo explicaré con detalle.
Suelte la cinta del delantal «Agile».
Existe la idea errónea de que las organizaciones deben elegir entre Agile y DevOps. Existe la idea errónea de que hay que establecer una ruta u otra y no mirar atrás.
El problema es que el proceso de desarrollo funciona mejor cuando se considera e implementa como uno solo. DevOps no es una innovación del desarrollo ágil. Más bien es una extensión del desarrollo ágil. Cuando se espera que el proceso vaya sobre ruedas, tiende a descarrilarse. Exactamente igual que en ágil, o completamente diferente de ágil.
Agile respalda el principio de equipos interdepartamentales desde el principio, reuniendo a diseñadores, probadores y desarrolladores y estableciendo líneas de comunicación abiertas a lo largo de todo el proyecto. El objetivo es poner fin a la comunicación aislada y reducir la duplicación de tareas, dos aspectos que también son ventajas del proceso DevOps.Sin embargo, DevOps va un paso más allá y ofrece una tecnología potente y completa con el objetivo final de proporcionar al cliente un software completo y funcional mediante la integración de sistemas, seguridad y operaciones.
Al cambiar a un proceso centrado en DevOps, pueden surgir problemas inevitables que pueden provocar que vuelva a aparecer el riesgo de un desarrollo aislado. A menudo, los equipos ágiles existentes trabajan juntos sin que se hayan implementado aún correctamente las funciones adicionales de seguridad y operaciones. Nadie sabe exactamente cómo incluirlas, qué hacer ni cuáles son los objetivos generales.
DevOps no funciona sin objetivos claramente definidos, la incorporación entre departamentos y la comunicación directa con todas las partes. Por supuesto, durante el período de coordinación será necesario gestionar los cambios con mucho cuidado, pero basta con que todos comprendan de la misma manera las mejoras que aportará la función DevOps para poder realizar su trabajo.
DevOps se centra en las mejores prácticas de seguridad como parte del proceso, lo que facilita la explicación de las etapas y reduce la brecha entre el equipo de seguridad y el resto del personal. Como se ha mencionado anteriormente, aún queda mucho camino por recorrer para que los desarrolladores puedan programar de forma segura desde el principio, pero la implementación exitosa de la metodología DevOps es una base excelente para incorporar las habilidades de seguridad dentro del equipo de desarrollo.
La automatización no lo es todo ni es lo más seguro.
Otra característica de la metodología DevOps es la automatización del proceso de desarrollo de software. Los principios de integración continua y entrega continua (CI/CD) son la piedra angular de este concepto y, como se puede imaginar, dependen en gran medida de las herramientas. Las herramientas de
son realmente fantásticas. Permiten gestionar de forma relativamente fluida los repositorios de código, las pruebas, el mantenimiento y el almacenamiento, lo que agiliza el proceso de entrega de software como nunca antes.
Pero aunque los robots puedan quitarnos todos nuestros puestos de trabajo y algún día incluso encerrarnos en una prisión, todavía no han llegado a ese punto. Si dependemos en exceso de las herramientas y la automatización, se abre una puerta de par en par a la posibilidad de que se produzcan errores.No todo se puede verificar mediante escaneos y pruebas, y es posible que el código no se compruebe, lo que puede dar lugar a graves problemas de calidad (por no hablar de la seguridad). Los atacantes solo necesitan una puerta trasera para aprovecharla y robar datos. Renunciar al factor humano en la gestión de la calidad y la seguridad puede tener graves consecuencias.
«Un medio feliz» es mantener el equilibrio de las personas. Y las herramientas. Las herramientas deben desempeñar un papel de apoyo a un equipo fiable para alcanzar los objetivos del proyecto. Se debe poner en práctica lo siguiente.
- Asigne tiempo suficiente para que las personas se familiaricen con la cadena de herramientas DevOps que han elegido.
- Enfoque en la colaboración eficaz (y cómo las herramientas pueden facilitarla)
- Resuelva todas las deficiencias del proceso, ya sean de tecnología, conocimientos o herramientas.
En pocas palabras, no esperes que simplemente cojan una «herramienta» y den lo mejor de sí mismos.
DevOps no es una palabra de moda, sino una cultura. ¿La está desarrollando?
La gestión del cambio es, en el mejor de los casos, una tarea difícil. El miedo a lo desconocido puede impedir que incluso los miembros más destacados del equipo perfeccionen sus habilidades y amplíen sus horizontes.
Como saben, no basta con decir «vamos a implementar DevOps» y hacer que el equipo de operaciones cambie de escritorio para que, como por arte de magia, se implemente un proceso exitoso. Muchas personas se sentirán confundidas y los miembros del equipo con más antigüedad se sentirán insatisfechos. La comunicación de las expectativas es muy importante, al igual que el «camino a seguir». DevOps es, al igual que la metodología de desarrollo, un movimiento cultural. El equipo debe adoptar una mentalidad colaborativa que trascienda los límites de los distintos departamentos.
¿Cómo sería una cultura DevOps excelente?
- Los individuos pueden aplicar sus conocimientos especializados no solo como líderes, sino también en los procesos.
- Comunicación abierta, honesta y respetuosa entre equipos.
- Cada persona es responsable del objetivo general de incorporar la calidad y la seguridad en el proceso de desarrollo.
- Todos tienen la misma comprensión de la definición de DevOps en los negocios, la hoja de ruta, y el método, objetivo y razón de la función de cada individuo.
Durante años, he insistido en la importancia de crear una cultura de seguridad positiva en los equipos de desarrollo, y DevOps no es una excepción.
Para lograr las mejores prácticas de seguridad, identificar las vulnerabilidades detectadas y garantizar que el equipo comprenda la importancia de la protección de datos, es esencial contar con las herramientas, los conocimientos y el apoyo adecuados. Al utilizar DevOps, es necesario sentar las bases culturales para un cambio positivo. Es decir, hay que asegurarse de que todo el mundo comprenda su función, su valor, las expectativas, los objetivos generales del proyecto y las etapas del proceso.
¿Lo ha dominado? Estupendo. Ahora cambiemos de perspectiva y ampliemos el aspecto de la seguridad para convertir DevSecOps en el plan definitivo para la excelencia del software.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior está aquí para ayudar a las organizaciones a proteger el código durante todo el ciclo de vida del desarrollo de software y a crear una cultura que priorice la ciberseguridad. Ya seas administrador de AppSec, desarrollador, CISO o cualquier persona relacionada con la seguridad, podemos ayudarte a reducir los riesgos asociados al código inseguro en tu organización.
Reserva de demostraciónDescargarRecursos útiles para empezar
Temas y contenidos de la formación sobre códigos de seguridad
El mejor contenido del sector evoluciona constantemente para adaptarse al entorno de desarrollo de software en constante cambio, teniendo en cuenta el papel de los clientes. Se ofrecen temas que abarcan desde la inteligencia artificial hasta la inyección de XQuery, para diversas funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo al contenido que ofrece el catálogo por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos útiles para empezar
Cybermon ha vuelto: la misión de IA para derrotar al jefe ahora está disponible bajo demanda.
Cybermon 2025 Bit the Boss ya está disponible en SCW durante todo el año. Implemente tareas de seguridad avanzadas de IA/LLM para impulsar el desarrollo de IA de seguridad a gran escala.
Explicación de la Ley de Resiliencia Cibernética: El significado del diseño de seguridad en el desarrollo de software
Descubra los requisitos y el ámbito de aplicación de la Ley de Resiliencia Cibernética (CRA) de la UE, y cómo el equipo de ingeniería puede prepararse de forma segura mediante el diseño, las prácticas, la prevención de vulnerabilidades y la creación de un entorno de desarrollo.
Factor de éxito 1: Criterios de éxito definidos y medibles
El habilitador 1 ofrece una serie de 10 partes sobre los habilitadores del éxito, mostrando cómo la codificación segura puede mejorar los resultados empresariales, como la reducción de riesgos y costes y la aceleración de la madurez de los programas a largo plazo.
