Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.
Este artículo es parte de nuestra guía: Guía esencial: DevOps, más allá de un estilo de desarrollo de software

DevOps no está mejorando la seguridad, según estudio

A pesar de la promesa de una seguridad mejorada de aplicaciones, DevOps no está cumpliendo debido a algunos obstáculos clave, muestra un estudio de HPE.

Muchas organizaciones que están combinando los equipos de desarrollo de aplicaciones y operaciones del sistema están fallando en mejorar la seguridad con este enfoque DevOps, ha revelado un estudio.

Esto es a pesar de la promesa del desarrollo de software más seguro al permitir a las organizaciones encontrar y corregir las vulnerabilidades con más frecuencia y más temprano en el ciclo de vida de la aplicación.

La investigación indica una brecha entre la percepción y la realidad para DevOps seguro y subraya la importancia de alinear la seguridad y DevOps, de acuerdo con el Reporte de Seguridad de Aplicaciones y DevOps 2016, publicado por Hewlett Packard Enterprise (HPE).

El informe utiliza datos y análisis de los equipos de HPE Security, líderes de la industria, empresas y desarrolladores para poner de relieve las deficiencias y las barreras entre la promesa y la realidad de DevOps seguro. También examina los desafíos que enfrentan muchas organizaciones en la integración de la seguridad a través de DevOps, y proporciona recomendaciones para fortalecer estas iniciativas.

De acuerdo con el informe, 99% de los encuestados están de acuerdo en que la adopción de una cultura DevOps tiene la oportunidad de mejorar la seguridad de las aplicaciones.

Sin embargo, solo el 20% está haciendo pruebas de seguridad de aplicaciones durante el desarrollo, y 17% está utilizando ninguna tecnología para proteger sus aplicaciones. Esto pone de relieve una desconexión significativa entre la percepción y la realidad de DevOps seguro, según el informe.

"Nuestra investigación muestra que los líderes de seguridad y los desarrolladores creen que el movimiento DevOps tiene el potencial de mejorar significativamente la seguridad de aplicaciones, pero las organizaciones están luchando hasta ahora para hacer realidad ese potencial", dijo Jason Schmitt, vicepresidente y gerente general del negocio Fortify en HPE Security.

"Al entender el estado actual de DevOps y las mejores prácticas para integrar la seguridad en la cultura de desarrollo, las organizaciones pueden asegurar el software con éxito en este nuevo mundo DevOps sin obstaculizar la velocidad y la agilidad que trae", dijo.

Elimine las barreras

El informe identifica barreras clave y brechas que impiden que las organizaciones integren la seguridad y DevOps con éxito, como las barreras organizativas entre los profesionales de seguridad y los desarrolladores.

El reporte muestra una desconexión significativa entre los desarrolladores y los equipos de seguridad y, en algunos casos, los encuestados admitieron no conocer siquiera a sus equipos de seguridad. Esto condujo a un 90% de los profesionales de seguridad que indica que la integración de la seguridad en las aplicaciones se ha vuelto más difícil desde que sus organizaciones desplegaron DevOps.

El informe también analizó la falta de conciencia, énfasis y entrenamiento de seguridad para los desarrolladores. De las más de 100 ofertas de trabajo para desarrolladores de software en compañías de Fortune 1000, ninguna especificaba la experiencia y conocimiento en seguridad o en codificación segura como parte de las habilidades requeridas.

Una escasez de talento de seguridad de las aplicaciones también fue identificada por el informe como un problema. Por cada 80 desarrolladores en las organizaciones encuestadas, solo hay un profesional de seguridad de las aplicación. La falta de personal de seguridad, según el reporte, junto con el ciclo de desarrollo cada vez más rápido, hacen extremadamente difícil el desarrollo seguro.

"La adopción de un proceso de DevOps puede ayudar a hacer las aplicaciones más seguras, ya que los entornos de desarrollo y de producción se construyen de la misma manera y para los mismos estándares de seguridad y pruebas", dijo John Meakin, oficial del grupo de seguridad de la información en Burberry.

"Sin embargo, se requiere un compromiso de toda la organización para dar prioridad a la seguridad, e incorporar pruebas más automatizadas para que sea más fácil recopilar información en tiempo real y remediar las vulnerabilidades a lo largo del proceso de desarrollo", dijo.

Integre la seguridad con DevOps

A medida que las organizaciones adoptan la cultura DevOps, el reporte recomienda medidas para eliminar las barreras para el desarrollo de aplicaciones seguras y para integrar la seguridad con DevOps.

El informe recomienda que la seguridad debe ser una responsabilidad compartida en toda la organización para eliminar las barreras. Debe estar integrada en todas las fases del proceso de desarrollo, dijo el informe, con el apoyo de la dirección y las métricas para que los equipos se mantengan responsables del desarrollo seguro. Estas métricas deben centrarse en el tiempo medio hasta el triaje y el tiempo medio al arreglo.

Las empresas deben esforzarse por superar las brechas en conciencia, énfasis y formación haciendo más fluido y más intuitivo para los desarrolladores practicar el desarrollo seguro.

Las organizaciones deben integrar herramientas de seguridad en el ecosistema de desarrollo, dijo el reporte, para permitir a los desarrolladores encontrar y corregir vulnerabilidades en tiempo real, conforme escriben código. Esto hace que sea fácil y eficiente desarrollar de forma segura, y educa al desarrollador en la codificación segura en el proceso, según el informe.

El reporte también dijo que las empresas deben utilizar la automatización y la analítica como multiplicadores de la fuerza de la seguridad en las aplicaciones.

Las organizaciones deben utilizar la automatización de la seguridad de aplicaciones de nivel empresarial con analítica incorporada para automatizar el proceso de auditoría de pruebas de seguridad de las aplicaciones, y permitir que sus profesionales de seguridad de aplicaciones se centren exclusivamente en los riesgos de mayor prioridad.

Esto reduce el número de problemas de seguridad que requieren revisión manual, según el informe, ahorrando tiempo y recursos, al tiempo que reduce la exposición a riesgos globales.

Próximos pasos

Más sobre DevOps:

Tome estos 10 pasos para construir su carrera DevOps

Cómo un proceso DevOps puede impulsar mejores experiencias de usuarios finales

La infraestructura como código es el principal reto de TI para DevOps

Este artículo se actualizó por última vez en octubre 2016

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close