Cinco consejos para desarrollar una cultura de DevOps seguro

No es fácil dar un salto precipitado para sustituir el ciclo de DevOps tradicional por el ciclo de DevOps centrado en la seguridad que conocemos como «DevOps seguro». Para que la seguridad esté en el centro de tu ciclo de DevOps, hace falta transparencia, confiabilidad, aceptación de todas las partes y una colaboración y optimización continuas. En definitiva, se necesita un cambio de cultura. 

El DevOps seguro se presenta de distintas maneras según la empresa, ya que se trata de un nuevo enfoque. Por ejemplo, puede que, en la canalización de pruebas, tu CI ejecute una herramienta de análisis estático para comprobar las vulnerabilidades en las dependencias. También puede que el equipo de operaciones documente un plan para ofrecer información práctica contra amenazas para cuando sea necesario, o que tu empresa invierta en formación para garantizar que el equipo cuente con conocimientos sólidos sobre los conceptos básicos de desarrollo seguro.

No importa el tipo de implementación que se realice. En realidad, desde un punto de vista práctico, se trata de buscar oportunidades en toda la ruta CI/CD para que tus equipos de seguridad, operaciones y desarrollo tomen decisiones conjuntas de seguridad. A continuación, te daré cinco consejos que servirán a tu equipo para crear un ambiente propicio para que el DevOps seguro prospere.

Invierte en DevOps seguro para ahorrar tiempo a la larga

Una de las cosas que más preocupan a los desarrolladores cuando se implementa la seguridad en el ciclo de DevOps es si eso va a ralentizar su progreso. No obstante, si inviertes en crear un ciclo de vida de DevOps seguro acorde con tu equipo, tu aplicación contará con unos cimientos seguros desde el primer día y no tendrás que volver a ellos más tarde para repararlos o cambiarlos. Si automatizas correctamente el DevOps seguro, ahorrarás tiempo, dinero, disgustos e incluso posibles pleitos a largo plazo.

Rodéate de compañeros que crean en el cambio

Tener a las personas adecuadas al mando en cada departamento puede ser decisivo para que todo el equipo acepte este nuevo proceso, así que busca compañeros y homólogos que valoren igual que tú el DevOps seguro y lo apoyen. Al crear un ambiente colectivo favorable, la empresa se impregnará de él y se empezará a crear una cultura donde se acepte positivamente el ciclo de vida del DevOps seguro. Además, estas alianzas serán una muestra de cómo tus equipos colaboran entre sí y sacan partido de las fortalezas de los demás.

Favorece la curiosidad y el aprendizaje

Para que el DevOps seguro tenga éxito, los desarrolladores deben contar con una formación completa sobre las prácticas modernas de seguridad de aplicaciones, por lo que será conveniente crear un espacio para compartir artículos y vídeos útiles, asistir a webinars y probar nuevas herramientas. Si potencias una cultura de aprendizaje, no solo os beneficiaréis tu equipo y tú, ya que la empresa también demostrará que se preocupa por su gente y quiere alcanzar el proceso de DevOps seguro con éxito. 

Automatiza todo lo que puedas y optimiza todo lo demás

Cualquier cosa que ralentice la canalización del CI provocará que los desarrolladores vayan con prisas, se salten pasos fundamentales o no quieran realizar el despliegue. La velocidad sigue siendo clave en el ciclo de CI/CD incluso cuando está presente el DevOps seguro, así que ofrece a tu equipo todas las herramientas de automatización que necesite para comunicarse, realizar pruebas, supervisar, crear un modelo de las amenazas, etc. Por ejemplo, en Fastly utilizamos soluciones automatizadas para apoyar la integración como Bandit, Brakeman, Cargo Audit, Dawn Scanner y Trufflehog, que se introducen en la cadena de herramientas de DevOps para que los desarrolladores puedan realizar pruebas en sus propios entornos. 

Sin embargo, siempre se puede aprovechar el potencial del desfasado cerebro humano, en cuyo caso es conveniente tener los procesos documentados en orden para que el ciclo siga en funcionamiento, y la revisión por pares es un ejemplo perfecto de ello. Los linters y analizadores estáticos son ideales para garantizar que se compila el código y no contiene errores comunes, y también se puede corroborar que el código funciona como es debido si se utiliza un conjunto de pruebas fiable. Sin embargo, una revisión por pares manual puede servir para identificar de manera rápida y sencilla funcionalidades nuevas e inesperadas o encontrar errores que las herramientas de análisis han pasado por alto. Y con los controles de acceso también surte efecto el mismo procedimiento. Con las herramientas automatizadas se puede gestionar fácilmente los controles de accesos según la suscripción por grupo o equipo, pero al final lo mejor es controlar los privilegios de acceso con un proceso de aprobación manual para asegurarnos de que la automatización no corre riesgo de ser utilizada por los atacantes para acceder a los sistemas confidenciales. En definitiva, la revisión por pares se puede complementar sencillamente con herramientas, pero a menudo el componente humano es muy importante para controlar algunas variables que la automatización pasa por alto.

Si quieres documentarte más antes de decidir cuáles son las mejores herramientas de DevOps seguro para tu empresa, consulta nuestro whitepaper donde describimos cuatro funcionalidades que hay que tener en cuenta.

Marca las expectativas e insiste en la transparencia

En la primera fase de implementación de DevOps seguro, reúne a los equipos de desarrollo, seguridad y operaciones para decidir qué pueden esperar los unos de los otros. ¿Qué es sensato hacer y qué no lo es? ¿Qué amenazas se deberían notificar? ¿Qué deben considerar como alerta de sobrecarga? ¿A qué cuellos de botella podrían enfrentarse y cómo pueden evitarlos?

También es de suma importancia que todos los equipos dispongan de visibilidad del producto y sus registros, ya que, si tienes una visión ininterrumpida y directa del tráfico, podrás detectar amenazas potenciales y actuar en consecuencia lo antes posible. 

La integración de la seguridad en el centro de tu ciclo de DevOps puede resultar abrumadora, pero tengo buenas noticias: lo mejor es empezar poco a poco. Elije una iniciativa pequeña, pon el proceso en marcha, ponlo en funcionamiento, demuestra su valor y empieza a crear desde ahí. Con poner una o dos prácticas a punto, te bastará para estar preparado para crear más aplicaciones seguras con mayor rapidez, lo que puede beneficiar a todos.