SolisImages - stock.adobe.com

Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Profesionales DevSecOps luchan con cambios de tecnología y mandatos de la gerencia

El creciente interés de la alta dirección en DevSecOps aumenta las apuestas para los profesionales de TI mientras se enfrentan a aplicaciones nativas de la nube en rápida evolución.

DevSecOps se ocupa de la tecnología nativa de la nube en constante cambio, pero sus desafíos fundamentales siguen siendo los mismos a medida que se acerca un nuevo año. Lo que es diferente ahora es el nivel sin precedentes de urgencia y escrutinio que atrae ahora la disciplina.

DevSecOps ha sido un tema candente en los círculos ágil y DevOps durante al menos tres años, pero las empresas aún tienen que ponerse al día con las técnicas de los atacantes, y además comenzar a prevenir las infracciones de forma proactiva. COVID-19 ha complicado los problemas de SecOps, y los profesionales de TI en industrias altamente reguladas también luchan por alinear las herramientas de DevSecOps con sistemas más amplios de gobierno de TI y gestión de riesgos comerciales.

Estas tendencias solo han empeorado a pesar de la creciente conciencia y los intentos de revertirlas. Durante años, el gasto empresarial en seguridad de TI ha crecido rápidamente, pero también lo ha hecho el número de ataques y violaciones. El gasto en ciberseguridad se desaceleró este año como resultado de la pandemia de COVID-19, según Gartner. Pero aún se espera que alcance los $ 123,8 mil millones para fines de 2020, un aumento del 2,4% con respecto a 2019. Aún así, solo durante la primera mitad de 2020, el servicio de búsqueda de amenazas de seguridad CrowdStrike detectó 41.000 intrusiones potenciales, en comparación con las 35.000 que registró para todo el 2019.

Ahora, DevSecOps está recibiendo nueva atención y, con ella, la presión de los ejecutivos corporativos, según un panel de oradores en un seminario web reciente llamado "Cyber ​​Risk & The C-Suite: CFO, CIO y Academic Perspectives".

"Por primera vez en mi carrera, nuestro directorio y la propiedad de nuestra empresa han adoptado una [postura] más agresiva, casi agitada, sobre la ciberseguridad", dijo Donald Rowley, CIO de ATX Networks Corp., un fabricante de equipos de internet con sede en Ontario durante el webinar. "En el pasado, era común que necesitáramos impulsar la seguridad hacia arriba ... [pero ahora] se está impulsando desde arriba".

Los líderes de la empresa están realizando su propio análisis de ciberseguridad en ATX y otras empresas de su cartera y contrataron a una empresa consultora externa para evaluar la postura de seguridad de la empresa, dijo Rowley. Esto tendrá importantes ramificaciones para el plan operativo de TI de su equipo para 2021 y más allá, dijo, aunque los detalles seguían sin conocerse en el momento del seminario web.

"Uno cree que está preparado para ese momento en el que la junta se interesa", dijo Rowley. "Pero no voy a mentir, hay un pequeño momento de pánico de: '¿Realmente lo hemos diseñado con precisión para que un nuevo par de ojos se concentre en ello?'".

El cambio tecnológico aún supera ampliamente al cambio organizativo

Mientras tanto, los profesionales de TI aún no están seguros de cómo las empresas heredadas se mantendrán al día con el vertiginoso ritmo de cambio en la tecnología nativa de la nube, incluso con un mayor soporte ejecutivo.

Michael Lieberman.

Los viejos métodos de capacitación y educación de los empleados no funcionarán en esta era más que las herramientas de seguridad de TI obsoletas, dijo Michael Lieberman, ingeniero senior de innovación en Mitsubishi UFJ Financial Group (MUFG), un banco con sede en Tokio.

"Debido a que las cosas se están moviendo tan rápido, realmente se trata de conseguir el tipo adecuado de ingenieros, que estén dispuestos a aprender constantemente sobre nuevas herramientas y tecnologías", dijo. "Si entrena en una cosa hoy, mañana saldrán 12 cosas más que deben comprender".

Sin embargo, entre los desarrolladores de software, el interés en ampliar los conocimientos sobre seguridad es bajo. La Encuesta de Colaboradores de FOSS 2020 de la Fundación Linux encontró que los encuestados dedican solo alrededor del 2% de su tiempo de contribución a responder a problemas de seguridad y no planean aumentar ese compromiso.

Pero, con el creciente uso empresarial del software de código abierto, ha llegado el consenso de que la colaboración ascendente hará avanzar DevSecOps más rápidamente que obligar a los desarrolladores a ser expertos en seguridad. El informe de la encuesta de Linux Foundation FOSS sugiere, entre otras medidas, auditorías de seguridad financiadas por la comunidad para bases de código que producen cambios específicos y fusionables.

Los expertos en código abierto empresarial también esperan ver que surjan herramientas para la seguridad de contenedores basada en manifiestos.

Kevin Fleming.

Existen herramientas forenses disponibles de proveedores como Synopsys que escanean imágenes de contenedores para revelar su contenido, pero lo ideal sería una forma incorporada para que los desarrolladores de software enumeren, e idealmente firmen digitalmente, lo que se incluye en una imagen de contenedor, según Kevin Fleming, quien supervisa los equipos de investigación y desarrollo en la oficina del CTO en Bloomberg, una compañía global de finanzas, medios y tecnología con sede en Nueva York.

"Si bien es bueno tener un flujo de trabajo basado en escaneo, es mucho mejor que el proveedor de la imagen te diga qué hay en la imagen de alguna manera que puedas validar", dijo Fleming. "Eso tendrá que ser un gran área [de enfoque] el próximo año".

En otros lugares, la comunidad de código abierto tiene oportunidades para llenar los vacíos en la seguridad de la cadena de suministro de software a raíz del ataque de SolarWinds de este año, y en la integración de sistemas de gobierno de TI con herramientas DevSecOps a través de proyectos como OSCAL.

DevSecOps frente a la naturaleza humana

Si bien DevSecOps en 2021 y más allá requerirá nuevas herramientas, los ataques cibernéticos más comunes son relativamente poco sofisticados y no se dirigen directamente a los sistemas de TI o al personal de una empresa, lo que presenta un conjunto de desafíos aún más molestos.

"A pesar de todas las otras cosas que hacemos... desde el punto de vista del riesgo, las personas todavía tienden a ser el factor más importante", dijo Rowley en el seminario web.

Por ejemplo, el mayor aislamiento de los empleados que trabajan desde casa durante el COVID-19 los ha hecho más vulnerables a los ataques de phishing y de ingeniería social.

"De hecho, hemos visto un aumento este año en respuestas cercanas o casi caídas, por así decirlo, en los ataques de phishing", dijo Rowley. "Hemos eliminado un par de los que estaban al 70%, 80%, 90% del camino; claramente existe una necesidad de educación adicional en nuestra fuerza laboral, y eso es... parte de nuestro plan operativo para 2021".

Jeremy Pullen.

A medida que la alta dirección corporativa aumenta su enfoque de ciberseguridad, los empleados, tanto dentro como fuera de TI, pueden esperar consecuencias más severas si caen en trampas de phishing o ingeniería social, dijo Jeremy Pullen, director de ingeniería de plataformas de Vecima Networks, un fabricante de equipos de red de banda ancha con sede en Saskatchewan.

"Las empresas con las que he interactuado y que han tenido un enfoque relativamente exitoso para prevenir la ingeniería social hacen que la gente tema las repercusiones lo suficiente como para mantenerlos alerta", dijo Pullen, quien también trabaja como consultor de DevSecOps como director ejecutivo de Polodis en Atlanta. "Ese miedo los llevará a comportamientos diferentes, pero luego puede tener una cultura de empresa, en el proceso, de la que nadie quiere formar parte".

Otras empresas preocupadas por la seguridad, como Omada Health, han implementado herramientas de ingeniería del caos como una forma más suave, pero aún efectiva, de capacitar a los empleados para resistir los intentos de phishing.

"Ciertamente somos mejores capacitando a las personas ahora que hace cinco o 10 años, cuando pensamos en la capacitación en seguridad como una clase: siéntese en una sala o vea un seminario web", dijo William Dougherty, CISO en el proveedor de atención médica basado en San Francisco. "Todo el mundo odia eso y no funciona, especialmente cuando las personas están a distancia y tienen un seminario web abierto, pero también tienen Netflix en otra ventana y simplemente hacen clic en 'siguiente' cada 30 segundos".

En cambio, Omada intenta hacer phishing a sus propios empleados mensualmente. Si los empleados hacen clic en los enlaces de estos correos electrónicos de suplantación de identidad falsa, obtienen comentarios instantáneos y se inscriben en una clase de capacitación de actualización de 5 a 15 minutos.

"Ese tipo de sistemas de entrenamiento están mejorando las cosas", dijo Dougherty. "Pero, en última instancia, esto se reduce a cuántas capas de seguridad tiene".

De alguna manera, aunque la tecnología cambia, la gestión de los riesgos de seguridad es una práctica tan antigua y fundamental como la propia naturaleza humana, dijo.

"La verdad es que si tienes algo valioso que proteger, siempre habrá alguien que quiera tomarlo", dijo Dougherty. "A usted siempre se le ocurrirán nuevas formas de protegerlo mejor, o aumentarán el costo de robarlo, y ellos encontrarán nuevas formas de robarlo".

Investigue más sobre Estrategias y tips de gestión

Close