Cuatro consejos en torno a las personas para inculcar una cultura de la seguridad en tu organización de ingeniería
La cultura de la empresa lo es todo cuando se trata de inculcar una mentalidad de seguridad dentro de una organización de ingeniería. Sin los valores adecuados, a menudo los equipos de desarrollo y seguridad no trabajan en tándem, por lo que resulta difícil sacar proyectos adelante y hacer que el negocio avance.
En una mesa redonda reciente, nuestro Global Head of Security Product Strategy, Zane Lackey, y nuestro Chief Product Architect, Sean Leach, hablaron con Sandy Carielli, de Forrester, acerca de los retos y las ventajas de inculcar una cultura de DevOps seguro en una época de rápida transformación digital. Por resumir, toda la organización debe entender el valor de esta actitud, y el primer paso para lograrlo consiste en confiar y dar las facilidades necesarias a tu equipo. Estos fueron algunos de los puntos destacados de la charla:
1. Fomenta la confianza entre los equipos de seguridad y desarrollo
Puede que los equipos de desarrollo y seguridad no siempre se lleven del todo bien, pero desde el punto de vista de la relación, los desarrolladores y el personal de DevOps deben confiar no solo en la tecnología, sino también en las personas con las que trabajan. En Fastly, hemos tomado medidas para generar confianza incorporando personal de seguridad en los equipos de desarrollo, y desarrolladores en los equipos de seguridad, para que entre todos trabajen con vistas a los mismos objetivos. Esto promueve el compañerismo y, con ello, la confianza. Así, los equipos pueden relajarse y disfrutar del valor que aporta la seguridad al ciclo de vida de las aplicaciones: observabilidad, protección y visibilidad.
Sean cree que la mejor inversión consiste simplemente en reunir a los equipos en un ambiente distendido, como una videollamada para almorzar o una happy hour virtual. Los equipos se ponen a charlar y se implican en la seguridad al comprender cómo afecta a su parte del negocio.
Crear confianza a nivel interno también beneficia a los clientes. Nuestra estructura colaborativa lleva a los ingenieros y al personal de seguridad a trabajar en equipo, por lo que funcionamos como un reloj suizo a la hora de atender a clientes que necesitan escalar con urgencia.
2. Encontrad juntos la manera de decir «sí»
Los equipos de seguridad tienen fama de decir «no». Zane compara decir que no con la alarma de incendios de la oficina: puede que sea de utilidad, pero no tiene que sonar todos los días.
Para evitar que otros equipos saquen adelante sus proyectos sin contar con la seguridad, es esencial encontrar la manera de decir que sí todos juntos. La seguridad debería permitir que una empresa avance. Averigua cuál es la función o capacidad que buscan tus compañeros: ¿qué es lo que necesitan para completar el trabajo? Una vez que entiendas la necesidad, quita los palos de las ruedas. Siempre que sea posible, no te limites a decir que no; plantea soluciones alternativas y crea maneras más seguras de desarrollar la función o capacidad. Si propones una forma mejor de hacer algo, los trabajadores la adoptarán.
Además, al trabajar con otros equipos y tener en mente factores como políticas, tecnología, arquitectura y todo el flujo, desarrollo y seguridad irán de la mano y desplegarán aplicaciones de forma segura.
3. Contrata ingenieros pensando también en la seguridad
Para evitar el típico tira y afloja entre los equipos de seguridad y de desarrollo, Sean y Zane coinciden en que es clave sondear la actitud hacia la seguridad durante las entrevistas, independientemente del lado de DevOps seguro en el que vaya a trabajar el candidato. Los candidatos con la mentalidad de seguridad adecuada demuestran voluntad de colaboración, tienen la mente abierta y trabajan en pos de objetivos colectivos.
Pregúntales cómo han manejado en el pasado conflictos internos entre seguridad y desarrollo. La empatía debe ser una parte esencial de la cultura de tu equipo. Por esta razón, entender las batallas diarias a las que se enfrentan tus compañeros y ser capaz de ponerse en su piel ayudará a crear vínculos más fuertes entre tus equipos y promoverá el éxito a largo plazo.
Una vez más, todo se reduce a la confianza. Contar con compañeros de confianza que comprendan los objetivos generales de la organización puede reforzar la cultura de la seguridad.
4. Consigue que todo el mundo se comprometa con la seguridad utilizando marketing interno
Los profesionales de la seguridad altamente cualificados pasan la mayor parte de su tiempo enfrascados en proyectos de ingeniería de la seguridad. Una habilidad que no suelen tener es saber cómo dar a conocer sus servicios a nivel interno. Si consiguen que el resto de la organización esté al tanto de lo que hacen, eso contribuirá a crear una cultura de colaboración y confianza y ampliará la credibilidad de la seguridad a todo el entorno de DevOps.
En este sentido, un programa de líderes de seguridad puede añadir mucho valor. Los líderes de seguridad, así como los desarrolladores que se erigen en paladines de la seguridad, ayudan a concienciar a toda la empresa. Enseñan lo último en herramientas y plataformas de seguridad, cómo se usan y por qué son importantes. En Fastly tenemos un canal de Slack dedicado exclusivamente a las últimas investigaciones, técnicas y herramientas de seguridad, y a los empleados les encanta ese canal porque les permite entender cómo aplicamos en la práctica la seguridad de la que tanto hablamos.
Para saber más sobre cómo formar equipos de DevOps seguro que trabajen unidos, mira la conversación entera.