sdecoret - stock.adobe.com

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

El gobierno de TI debe ponerse al día con DevSecOps, dicen los expertos

Las organizaciones gubernamentales y de servicios financieros que practican DevSecOps dicen que la gobernanza de TI debe evolucionar para mantenerse al día mediante canales de control automatizados más rápidos.

Dado que DevSecOps penetra en industrias altamente reguladas, los expertos en TI dicen que la automatización de la seguridad y las herramientas de aplicación de políticas son importantes, pero no completan la transformación.

Dichas herramientas deben ir acompañadas de canales de control automatizados que vinculen estas herramientas con la supervisión de la gestión de riesgos, un área técnica que sigue siendo incipiente, según los profesionales de TI de servicios financieros y gubernamentales en el evento virtual KubeCon + CloudNativeCon North America 2020. Idealmente, esta tecnología automatizada de gobierno de TI también debería ser de código abierto, creada en colaboración, con miras a la estandarización, dijeron.

Michael Lieberman.

"Los malos actores comparten información entre ellos sobre cómo explotar a las empresas", dijo Michael Lieberman, ingeniero senior de innovación de Mitsubishi UFJ Financial Group (MUFG), un gran banco con sede en Tokio, y copresidente del grupo de usuarios de servicios financieros Cloud Native Computing Foundation (CNCF). "Necesitamos ser más abiertos con cuáles son nuestros requisitos y estar más orientados a la comunidad sobre esto, porque hay muchas preocupaciones compartidas en las que todos podríamos hacer un mejor trabajo [comunicando]".

El banco busca tender un puente entre automatización de seguridad y los documentos de gestión de riesgos

Ya existen proyectos de código abierto que respaldan DevSecOps, una práctica en la que los principios de colaboración y automatización iterativa de DevOps se aplican para proteger las aplicaciones comerciales. El CNCF tiene un par de proyectos de autenticación de servicios de TI: Secure Production Identity Framework For Everyone (SPIFFE) y SPIFFE Runtime Environment.

También aloja tecnología de automatización de cumplimiento y seguridad de TI de alto nivel, como la herramienta de aplicación de políticas Open Policy Agent (OPA) y Falco, que ayuda a crear políticas de cumplimiento y seguridad de TI para entornos nativos de la nube. Los talleres de DevSecOps también suelen utilizar secuencias de CI/CD existentes para demostrar a los auditores que existen controles de políticas.

MUFG ha experimentado con OPA y parece prometedor, dijo Lieberman. Pero agregó que también le gustaría un vínculo más fuerte entre la aplicación automatizada de políticas disponible dentro de la infraestructura de TI y los sistemas de control de gestión de riesgos corporativos que convierten los requisitos regulatorios en especificaciones técnicas.

Las industrias altamente reguladas también necesitan una forma de verificar sistemáticamente las políticas de infraestructura con los controles regulatorios para demostrar que son efectivas para mitigar el riesgo, dijo.

"Algunas personas lo llaman secuencia de control, flujo de control o cadena de custodia para el control", dijo Lieberman. "Crear el control en sí es fácil, y podemos rastrear el control hasta [la infraestructura de TI]. Pero, ¿cómo lo asignamos a la documentación de riesgo real de los controles que estamos usando?".

Esto no impide que empresas como MUFG adopten herramientas DevSecOps, pero su uso puede introducir un costoso esfuerzo manual para los administradores de riesgos a medida que aumenta la automatización de la seguridad, dijo.

Emily Fox.

Las agencias gubernamentales enfrentan una brecha similar, según los profesionales de TI que hablaron en un panel de DevSecOps KubeCon + CloudNativeCon.

"Cualquier tipo de cumplimiento que se incorpore a la automatización nativa de la nube siempre será un desafío", dijo Emily Fox, líder de seguridad de DevOps en la Agencia de Seguridad Nacional (NSA). "La tecnología nativa de la nube está evolucionando y avanzando continuamente y la seguridad se está poniendo al día continuamente, y las herramientas de seguridad que nos permiten cumplir con el cumplimiento de una manera segura, automatizada y fácil de entender aún están atrasadas y necesitan mucho espacio para mejorar".

OSCAL de NIST muestra una promesa temprana

El Instituto Nacional de Estándares y Tecnología (NIST) está desarrollando un mecanismo, el Lenguaje de evaluación de controles de seguridad abiertos (OSCAL), que los profesionales de TI creen que podría ser la base de las canalizaciones de control regulatorio automatizadas.

NIST inició el proyecto en 2017. OSCAL, que traduce los documentos de control de seguridad en formato XML y JSON legibles por máquina para su uso con software de automatización de TI, emitió su tercera versión "preliminar" en junio. Todavía busca colaboradores, según su página de GitHub.

Nicolas Chaillan.

"Nos estamos asociando con NIST en OSCAL, y estamos tratando de incorporarlo a nuestra pila para hacer que algunas de las capas de controles sean [más fáciles]", dijo Nicolas Chaillan, director de software de la Fuerza Aérea de EE. UU., y co-líder de la Iniciativa Enterprise DevSecOps con el CIO del Departamento de Defensa. "Creo que hay algo ahí, pero es muy incipiente y hay muy pocas herramientas que respalden a OSCAL en la actualidad".

Fox, de la NSA, dijo que también ha investigado OSCAL, pero sintió que le quedaba un largo camino por recorrer. Mientras tanto, sus equipos están enfocados en construir la automatización de políticas de seguridad en las canalizaciones de CI/CD por su cuenta, comenzando con un "cambio a la izquierda" hacia los desarrolladores.

"Cuando un desarrollador va a comprometerse con un proyecto o repositorio, usted quiere asegurarse de que no está registrando ningún secreto o contraseña", dijo. "Una de las formas más fáciles de evitar que eso suceda es con los ganchos previos al compromiso. Definitivamente veo que la política es lo primero que veremos que se integra en las herramientas de desarrollo y luego se refuerza en los canales de automatización".

Investigue más sobre Gestión de la seguridad de la información

Close