A medida que los profesionales de TI se adaptan a los modelos de trabajo híbridos y remotos, los roles se redefinen para ampliar y diversificar la experiencia y los conjuntos de habilidades. Un área de enfoque particular que continúa evolucionando es la naturaleza de las prácticas de seguridad en los roles y entornos de TI.
A medida que las prácticas de DevOps continúan penetrando en las industrias y las organizaciones TI, las tácticas y medidas de seguridad están a la vanguardia de los viajes de transformación digital. Las prácticas de DevSecOps deben abordar inherentemente los entornos de trabajo remotos e híbridos, lo que agrega otra capa de complejidad a la ecuación.
Para comprender mejor cómo el trabajo remoto ha afectado las prácticas de DevSecOps, Aquí vemos algunos puntos que transformarán el entorno laboral:
Aceleración de iniciativas de transformación digital
DevSecOps, es un aumento de DevOps para permitir que las prácticas de seguridad estén bien integradas en éstas prácticas, se ha disparado a medida que el trabajo remoto obligó a muchas organizaciones a acelerar las iniciativas de transformación digital. Para abordar las demandas de esas iniciativas aceleradas, el equipo de seguridad centralizado debe adoptar un modelo federado para permitir que cada equipo de entrega de software tenga en cuenta los controles de seguridad adecuados en sus prácticas de DevOps.
Dheeraj Nayal, embajador de la comunidad global y jefe regional para Asia Pacífico, Medio Oriente y África en el Instituto DevOps, indicó que las organizaciones deben comunicar la importancia de la seguridad e implementar modelos de seguridad «en lo más profundo del ciclo de vida de la entrega» para generar mercado. ventajas, fortalecer la reputación de la marca y mejorar el valor para el cliente.
A pesar de todas las herramientas relacionadas con la comunicación, la colaboración y la productividad, ejecutar y administrar de manera efectiva una fuerza de trabajo distribuida no es fácil. Sin embargo, dado que los equipos distribuidos ahora se han convertido en la norma, «considerar la seguridad como un obstáculo para el desarrollo rápido de aplicaciones es demasiado arriesgado.
La seguridad se desplaza hacia el desarrollador
Dado que el último año y medio aceleró la transformación digital de innumerables empresas, los equipos evalúan un cambio a la nube y la adopción de prácticas DevOps. Esto ejerce más presión sobre los equipos de desarrollo de software, ya que el enfoque en la seguridad se está desplazando hacia una etapa más temprana del ciclo de vida de entrega de software.
Y, a su vez, esto ha llevado a un aumento en las prácticas y herramientas de seguridad para desarrolladores dentro de la empresa, que proporciona herramientas para ayudar a los desarrolladores a encontrar y corregir errores de seguridad.
Los equipos de seguridad saben que la única forma de mantenerse al día con el ritmo y la escala de DevOps es introducir herramientas de seguridad automatizadas y centradas en el desarrollador. En última instancia, este cambio dará como resultado que la empresa entregue funciones de manera más rápida y segura.
De acuerdo a los expertos, el cambio más obvio es que los desarrolladores ya no pueden enviar código desde una red interna estrictamente controlada en un entorno de oficina. Esto puede parecer menor, pero requirió un cambio en las prácticas de TI para permitir el desarrollo seguro desde ubicaciones remotas.
Como resultado, esto hizo que las organizaciones reconsideraran la seguridad desde cero, lo que en algunos casos provocó una auditoría que de otro modo nunca hubiera ocurrido.
Ha aumentado la necesidad de abordar las vulnerabilidades de seguridad en las oficinas remotas
Los equipos distribuidos tienen una mayor propensión a exponer a las organizaciones a las posibilidades de la red, el software y otras amenazas y vulnerabilidades. Si bien es fundamental proporcionar a los equipos herramientas que se integren fácilmente con la infraestructura y la tecnología sin causar interrupciones ni imponer curvas de aprendizaje drásticas, los trabajadores remotos deben poder ser productivos desde el primer día.
Para los equipos de desarrollo, en lo que respecta a la seguridad, es importante la capacidad de realizar una verificación de cordura en el código antes de enviarlo a un área de integración.
Aquí también es donde realmente ha aparecido el análisis de composición de software. Puede ser mucho más fácil para un trabajador remoto introducir malware u otros problemas en su entorno a través de una red Wi-Fi doméstica, olvidarse de usar una VPN o simplemente no tener acceso a repositorios conocidos que estarían disponibles en una oficina segura.
Ahora hay un mayor énfasis en las relaciones y la comunicación
El trabajo remoto no cambia la necesidad de interactuar con las personas, solo los medios por los cuales lo hacemos. Pero los equipos tienen que trabajar más duro para garantizar la colaboración. Es diferente cuando el experto en seguridad se sienta en el Scrum diario en lugar de simplemente marcar y ser una cara más en la multitud.
Con la situación del trabajo remoto, a menos que la comunicación constante ya esté en el ADN de una empresa, hemos perdido muchas de las oportunidades ad hoc para conectarnos, construir relaciones y tener una conciencia informal de las prioridades y los problemas de nuestros equipos de entrega de software.
El trabajo remoto hace que sea aún más importante que DevSecOps esté integrado en la estructura de una organización de desarrollo y entrega de software. Esto incluye la necesidad de pruebas de seguridad automatizadas, cambiar la seguridad y las pruebas en el proceso de desarrollo, capacitar a los desarrolladores sobre cómo codificar con prácticas de seguridad ágiles y realizar un monitoreo continuo.
Hemos llegado a un punto de inflexió
El trabajo remoto y las nuevas formas de colaboración en línea han aumentado rápidamente la confianza de las personas en los sistemas tecnológicos para la transferencia y el almacenamiento de datos. Más que nunca, la seguridad debe ser una parte fundamental e inclusiva de la estrategia de TI de una empresa, hoy y no mañana.
Un ejemplo reciente fue cometer el error de publicar fragmentos de código fuente en línea para su revisión, que es la forma en que los piratas informáticos pudieron ingresar al motor Frostbite de EA Games para obtener información confidencial y violar el gigante de la publicación de juegos.
La información es ahora el recurso más grande y más valioso en este planeta. Las organizaciones que solían poder mantenerlo principalmente dentro de cuatro paredes ahora tienen personas que lo transmiten rápidamente a través de las ondas de aire y lo almacenan en lugares lejos de casa.
La resiliencia digital depende del factor humano
Quizás el mayor desafío para permitir prácticas de seguridad reforzadas hoy en día son las personas. Los humanos son humanos; todos cometemos errores. Pero es cómo aprendemos a hacernos más resistentes al cambio y a las amenazas emergentes lo que importa ahora más que nunca. Hablamos todo el tiempo sobre incorporar prácticas, procesos y herramientas de seguridad en nuestras formas de trabajar. Pero primero debemos invertir en lo que más importa: los elementos humanos de DevSecOps.
imagen: @DCStudio
