Entiende qué es el enfoque DevSecOps y por qué es importante
La vida de los equipos de desarrollo de aplicaciones no es fácil. Con el surgimiento de nuevas metodologías de trabajo como Agile y DevOps, las empresas comenzaron a priorizar la velocidad y la agilidad en la creación de softwares, el lanzamiento de actualizaciones y la disponibilidad de nuevos recursos. Debido a esto, históricamente hablando, el factor de seguridad siempre se terminaba dejando de lado durante las etapas del ciclo de desarrollo. Y la culpa no era de los programadores.
Incluso hoy en día, es común que estos profesionales sufran presión para entregar lo más rápido posible el producto a fin de lanzarlo al mercado lo antes posible, dejándose para después la solución de las vulnerabilidades que luego se detecten. Obviamente, esto crea situaciones peligrosas tanto para el usuario final como para el ámbito corporativo: a fin de cuentas, además de aplicaciones repletas de fallas de seguridad, esta situación también crea soluciones vulnerables que pueden terminar afectando a toda la cadena de suministro.
Fue para resolver este problema que se creó DevSecOps, nombre compuesto por la combinación de las palabras development (desarrollo), security (seguridad) y operations (operaciones). No es una plataforma o framework rígido, que se debe respetar a rajatabla, sino un enfoque de trabajo que propone involucrar al equipo de seguridad en todo el ciclo de desarrollo de una aplicación. En otras palabras: el concepto de protección de datos se tiene muy en cuenta desde el comienzo del diseño del software, durante su creación y en la entrega final.
Seguridad de todos y para todos
Adherir a la mentalidad DevSecOps, a diferencia de lo que muchos piensan a priori, no implica hacer que los ciclos de desarrollo sean más lentos. Al contrario, el enfoque apunta a hacer que la vida de los equipos de desarrollo sea aun más rápida, ya que es mucho más fácil construir un código que contenga seguridad por defecto (security by default) que trabajar más tarde en parches de actualización para remediar fallas encontradas cuando el software ya está en uso. ¡Así, todo el ciclo se vuelve más productivo e incluso más barato!
Shannon Lietz, coautor del "Manifiesto DevSecOps", explica: "El objetivo y la intención de DevSecOps es desarrollar la mentalidad de que todos son responsables por la seguridad con el objetivo de distribuir de manera confiable las decisiones de seguridad a gran velocidad y escala entre aquellos que tienen el más alto nivel de contexto, sin sacrificar la seguridad necesaria”. Esta cultura descrita por Lietz está alineada con la nueva visión del mercado de que la privacidad y la seguridad deben ser una preocupación vertical.
Implementando el DevSecOps en tu empresa
Como lo explicamos anteriormente, el DevSecOps es un enfoque, una forma de trabajar, por lo cual no implica que se tenga que seguir una receta determinada para aplicar esa mentalidad en una empresa. Sin embargo, hay una serie de frameworks listos y disponibles en internet que se pueden usar como base. En general, lo más importante es asegurarte de que al menos un profesional de seguridad de la información esté 100% incluido en todos los procesos de desarrollo de aplicaciones, analizando códigos y realizando pruebas en tiempo real.
Afortunadamente, el mercado también está ayudando a que la metodología DevSecOps sea cada vez más popular y accesible. Muchos entornos de desarrollo ya permiten una mayor colaboración entre equipos, facilitando la integración y comunicación de los profesionales involucrados en el proyecto. Un buen ejemplo de esto es el nuevo Xcode Cloud, de Apple, basado en la nube, que permite que todo el equipo colabore —incluso de forma remota— en compilaciones, pruebas, commits y así sucesivamente.