DevSecOps: lo que las empresas deben saber

[ad_1]

Estamos emocionados de traer de vuelta Rework 2022 en persona el 19 de julio y virtualmente del 20 al 28 de julio. Únase a los líderes de inteligencia synthetic y datos para charlas perspicaces y oportunidades emocionantes para establecer contactos. Regístrese hoy!


A medida que la tecnología se vuelve cada vez más compleja, también lo hacen los métodos de seguridad destinados a protegerla y protegerla.

Los problemas de seguridad existentes están siempre presentes y en evolución, y continuamente surgen nuevos problemas que requieren medidas de ciberseguridad cada vez más avanzadas: DevSecOps siendo uno de ellos.

DevSecOps se outline como la práctica de abordar el desarrollo, la seguridad y las operaciones simultáneamente durante todo el ciclo de vida de la aplicación.

“Las consideraciones de seguridad de datos se abordan a lo largo de la tubería en lugar de solo al last”, dijo Meredith Bell, directora ejecutiva de la empresa de plataforma DevSecOps AutoRABIT.

“Esto es para garantizar que las vulnerabilidades de seguridad se encuentren y aborden con la misma calidad, escala y velocidad que los procesos de desarrollo y prueba”, así como para ayudar a garantizar que cada actualización admita un sistema estable, dijo.

Mike O’Malley, vicepresidente sénior de estrategia de la empresa de servicios de TI SenecaGlobal, estuvo de acuerdo en que «significa pensar en la seguridad de las aplicaciones y la infraestructura desde el principio».

Los esfuerzos de ciberseguridad y desarrollo de software program se combinan, dijo, para que la seguridad se integre en cada fase del ciclo de vida del desarrollo de software program, desde el diseño inicial hasta la integración, prueba, implementación y entrega de software program.

En algunos casos, las empresas están incorporando medidas de seguridad incluso antes en el ciclo de desarrollo, una especie de «paso previo antes de DevOps» o, como lo llamó O’Malley, «PlanSecOps».

“Entonces, la seguridad no solo se está incorporando durante el desarrollo, sino que se está incorporando a los marcos incluso antes de que (los desarrolladores) comiencen a codificar”, dijo.

Superposición de DevSecOps y DevOps

Aún así, no existe una definición estándar de la industria o un enfoque para DevSecOps, dijo el analista vicepresidente de Gartner, George Spafford, lo que lo hace muy parecido a desarrolladoresde donde proviene.

El término devops se acuñó hace aproximadamente una década y el concepto implica combinar el desarrollo de software program y las operaciones de TI. El objetivo last de esto es acortar los ciclos de vida de desarrollo de sistemas y proporcionar una entrega continua y una alta calidad de software program. Devops, a su vez, abarca varios aspectos de la metodología ágil, que implica dividir los proyectos en varias fases para permitir la colaboración y la mejora continuas.

Como señaló Spafford, «DevSecOps sigue siendo devops, pero establece explícitamente que se debe colaborar con la seguridad de la información y se deben tener en cuenta los controles necesarios para mitigar el riesgo».

Las ventajas son las mismas que las devops, suponiendo que las organizaciones tengan en cuenta a «todas las partes interesadas», es decir, la capacidad mejorada para entregar valor al cliente a la cadencia/velocidad de las necesidades del cliente mientras se gestiona el riesgo.

El desarrollo ágil y DevOps/DevSecOps pueden ser poderosos cuando se combinan, particularmente cuando se trata de IA y otros esfuerzos que requieren experimentación y aprendizaje extensos y continuos.

Aún así, “no debe perseguirse únicamente porque parece una buena concept. La gente debería usar Devops/DevSecOps donde tenga sentido, donde sea necesario”, dijo Spafford.

En specific, en comparación con la metodología en cascada, un enfoque lineal para la gestión de proyectos en el que cada etapa debe completarse antes de pasar a la siguiente, la metodología ágil es beneficiosa en situaciones donde existe ambigüedad sobre las necesidades o se están produciendo cambios rápidos. El talón de Aquiles de Waterfall, dijo Spafford, es que los usuarios deben identificar los requisitos por adelantado cuando al menos se comprenden las necesidades. Esto significa que se crea un plan de proyecto con una gran cantidad de trabajo en proceso y dependencias.

Agile permite a los desarrolladores centrar sus esfuerzos en los resultados del cliente y realizar lanzamientos regulares con «la acumulación de características que se están preparando para reflejar las últimas lecciones aprendidas», dijo Spafford.

“Este es un enfoque poderoso porque permite la entrega de una curva escalonada de valor para el cliente, aprendizaje y mejora continua”, dijo Spafford.

Pero las organizaciones también deben considerar las desventajas: Superar la cultura existente y lograr que las personas aprendan y cambien. Estos pueden abordarse, señaló Spafford, pero deben tenerse en cuenta desde el principio y durante todo el proceso.

Y, en última instancia, Devops y DevSecOps “no son una progresión en la que comienzas con uno y luego pasas al otro”, dijo Spafford. “En cualquier caso, comience poco a poco, aprenda, mejore, demuestre valor y haga crecer la huella”.

concepto de crecimiento, adopción

A medida que aumentan las vulnerabilidades de seguridad, DevSecOps se outline más como concepto, además de crecer en adopción.

Según Emergen Analysis, el mercado world de DevSecOps alcanzará los 23 420 millones de dólares en 2028. Eso representa una tasa de crecimiento anual compuesta (CAGR) significativa del 32,2 % frente a los 2550 millones de dólares de 2020.

Esto sigue el ritmo del crecimiento del mercado devops, que se espera que registre ganancias de más del 20 % entre 2022 y 2028, según World Market Insights. La firma espera que el segmento aumente de aproximadamente $ 7 mil millones a más de $ 30 mil millones durante ese período.

Una creciente necesidad de procesos adaptables y repetibles, seguridad de códigos personalizados y monitoreo y pruebas automatizados está impulsando este crecimiento, informa Emergen. Y está surgiendo un número creciente (y una iteración) de plataformas y herramientas, como Unisys, Kryptowire, Crimson Hat y Rackner.

Mayor protección en un paisaje ‘feo’

“DevSecOps ya no es una opción”, es una necesidad”, dijo Bell. Asimismo, “la seguridad no es una concept de último momento”. Más bien, debe integrarse en cada fase del ciclo de desarrollo de DevOps.

O’Malley estuvo de acuerdo y señaló que la práctica común ha sido agregar seguridad al software program al last del ciclo de desarrollo.

Este no fue un problema importante hasta que las nuevas prácticas de desarrollo, incluidas las ágiles y devops, se hicieron cada vez más frecuentes como un medio para reducir los ciclos de desarrollo, señaló. En medio de esta adopción, el enfoque de agregación generó muchos retrasos o se omitió por completo para enviar nuevas funciones a los clientes, creando así más brechas de seguridad.

DevSecOps se está «volviendo aún más crítico», dijo O’Malley, y subrayó que «la seguridad es fea».

En specific, los piratas informáticos se han vuelto más inteligentes y sofisticados. Están desarrollando cada vez más formas de eludir directamente autenticación multifactor a través de puntos de acceso en nubes públicas, aplicaciones, dispositivos móviles e IoT; atacar directamente a las organizaciones y obligarlas a pagar un rescate; y usar las llamadas aplicaciones de «stalkerware» para registrar conversaciones, ubicación y todo lo que un usuario escribe, «todo mientras está camuflado como una calculadora o calendario», dijo O’Malley.

También señaló la incorporación de la computación en la nube como un issue. Como predijo Gartner, el 70 % de todas las cargas de trabajo empresariales se implementarán en la nube para 2023, frente al 40 % en 2020. Además, se espera que las empresas de todas las industrias tengan al menos nueve entornos de nube diferentes para 2023.

El alojamiento de datos y aplicaciones en tantos lugares agrega un nivel de complejidad que puede dificultar la administración de las operaciones de seguridad en la nube (o CloudSecOps). Y si bien tiene numerosos beneficios, entre los que se encuentran el costo y la flexibilidad, la nube también abre más puntos de entrada. Las organizaciones tienen áreas más grandes para asegurar, y con acceso no limitado a la ubicación física, «cualquiera y todos son una amenaza potencial», dijo O’Malley.

Los atacantes pueden usar aplicaciones de terceros, credenciales de empleados y bots para obtener acceso, lo que aumenta la necesidad de medidas modernas de ciberseguridad.

El cambio al trabajo remoto y la transformación digital continua han aumentado las vulnerabilidades de las organizaciones, señaló Bell. Las aplicaciones seguras y las actualizaciones continuas permiten a las empresas adaptarse a esto sin exponerse a ataques.

“Las empresas que implementan soluciones DevSecOps experimentarán menos simulacros de incendio en etapas posteriores y entregarán un código más seguro y de mayor calidad”, dijo Bell. “Impulsar un proyecto de desarrollo a través de la producción y crear deuda técnica es una receta para el desastre”.

Lograr la ‘resiliencia cibernética’

Cuando se trata de protección, las herramientas adecuadas son cruciales, dijo Bell.

La gestión de versiones automatizada es un aspecto esencial de cada estrategia de DevSecOps. Este es el proceso de planificación y trabajo a través de la línea de desarrollo de la aplicación, desde las primeras etapas de preparación hasta el desarrollo, las pruebas, la implementación y el monitoreo continuo después del lanzamiento.

Las herramientas de integración continua y despliegue continuo (CI/CD) ayudan a fortalecer los procesos de prueba, apuntalando áreas potenciales de ataque antes de la etapa de producción, dijo Bell. Las herramientas de respaldo de datos también se pueden emplear para enrutar automáticamente los datos a su ubicación adecuada y mantener una interfaz consistente tanto para los empleados como para los clientes.

La protección también se cut back a ayudar a los empleados a ser más «ciberresilientes».

Desde comunicar las mejores prácticas, como permisos de usuario actualizados, hasta implementar contraseñas seguras y reforzar la capacidad de detectar intentos de phishing, Bell subrayó que «la comunicación abierta es clave para el éxito».

La misión de VentureBeat es ser una plaza pública digital para que los responsables de la toma de decisiones técnicas adquieran conocimientos sobre tecnología empresarial transformadora y realicen transacciones. Obtenga más información sobre la membresía.

[ad_2]