16 razones por las que fallan los esfuerzos de DevSecOps (y cómo hacerlo bien)
getty
Dado que los ataques cibernéticos de alto perfil aparecen regularmente en los titulares, no es de extrañar que cada vez más empresas adopten el movimiento DevSecOps. Con el objetivo de incorporar características de seguridad y enfocarse en cada etapa del proceso de desarrollo, desde la concepción hasta el lanzamiento, DevSecOps reúne a los equipos de desarrollo, seguridad y operaciones para crear procesos y productos mejores y más sólidos, al menos en teoría.
En realidad, adoptar DevSecOps no es un solo paso simple; requiere nuevas alianzas y procesos respaldados por el pleno compromiso de las partes interesadas. Si no todos están de acuerdo con este importante cambio de paradigma, puede fallar fácilmente. A continuación, 16 miembros del Consejo de Tecnología de Forbes comparten razones comunes por las que fallan los esfuerzos de DevSecOps y cómo se pueden evitar estos pasos en falso.
1. Se convierte en un 'Departamento del No'
Intentar imponer un estilo de seguridad de "departamento de no" a través de DevSecOps está causando que estos programas fallen. Para tener éxito, los programas de seguridad deben incluir objetivos de productividad del desarrollador y apuntar a la colaboración y la educación. Establezca barandillas en lugar de barricadas (esto es, por supuesto, más fácil decirlo que hacerlo). – Varun Badhwar, Laboratorios Endor
2. Se ve como un problema de 'herramientas'
DevSecOps se aborda principalmente como un problema de "herramientas", pero en realidad es un problema de "cultura" (mentalidad) y "procesos" (flujos de trabajo). Las herramientas son fundamentales. Son necesarios, pero no suficientes. Poner el foco adecuado en los aspectos culturales y procedimentales es un gran desafío, pero poner las herramientas en el centro de los esfuerzos en lugar de las personas es una falacia. – Manojkumar Parmar, AIShield (con tecnología de Bosch)
El Consejo de Tecnología de Forbes es una comunidad a la que solo se puede acceder por invitación para CIO, CTO y ejecutivos de tecnología de clase mundial. ¿Califico?
3. La colaboración no es una asociación igualitaria
Al impulsar una mejor alineación entre el desarrollo y la seguridad, DevSecOps es una gran estrategia. Fracasa si la colaboración no es una asociación equitativa y el péndulo oscila demasiado hacia el desarrollo o la seguridad. Cuando los equipos de seguridad intentan imponer políticas a las partes interesadas, rara vez se adoptan. Las prácticas de DevSecOps son exitosas cuando existe una colaboración equitativa entre los equipos de desarrollo y seguridad. – Jim Barkdoll, Axiomática
4. Los equipos de seguridad y desarrollo están aislados
Los esfuerzos de DevSecOps a veces fallan debido a la falta de compromiso y comunicación bidireccional constante. Los despidos recientes en el sector tecnológico y las personas que cambian de trabajo también pueden contribuir a la creación de silos entre los equipos de seguridad y de desarrollo. Mi consejo para los equipos es alentar proactivamente el diálogo frecuente e implementar procesos para que el compromiso y la comunicación no se rompan cuando un miembro del equipo se va. – Caroline Wong, cobalto
5. Hay un mínimo de contexto común o comunicación entre los ingenieros de seguridad y desarrollo
Una de las razones por las que fallan los esfuerzos de DevSecOps es que no comienzan con un contexto común y una relación de confianza entre los ingenieros de seguridad y los ingenieros de desarrollo. Para evitar esto, practique una comunicación constante entre los equipos, detallando las necesidades y planes de cada uno. En los casos más exitosos, la incorporación de ingenieros de seguridad, al menos a tiempo parcial, en los equipos de ingeniería es una excelente manera de garantizar la comunicación. – Dave Merkel, Expulsar
6. La solución de problemas de seguridad ralentiza la productividad de los desarrolladores
El desafío con DevSecOps es que solucionar los problemas de seguridad ralentiza la productividad del desarrollador. Para evitar esto, las organizaciones deben incorporar DevSecOps como una operación crítica para el negocio. Fomente las técnicas a partir de la etapa de desarrollo de preproducción para evitar el tiempo dedicado a corregir vulnerabilidades. Las organizaciones también deben adoptar herramientas que estén completamente integradas en la canalización de DevOps. – Shay Levi, seguridad de Noname
7. La seguridad no está totalmente integrada en los procesos de desarrollo
DevSecsOps puede fallar cuando el aspecto de seguridad no está completamente integrado. Para evitar esto, integre al equipo de seguridad en el proceso de desarrollo desde el principio y trabaje en estrecha colaboración con los desarrolladores para garantizar que la seguridad esté integrada en cada etapa. Realice evaluaciones de seguridad regulares, brinde capacitación sobre prácticas de codificación segura e implemente herramientas automatizadas para detectar y abordar problemas de seguridad en tiempo real. -Milán Dordevic, Proctorio Incorporated
8. La velocidad gana a la disciplina
Los esfuerzos de DevSecOps fallan cuando la velocidad gana a la disciplina. El deseo de ofrecer una funcionalidad mejorada hace que sea fácil pasar por alto los procesos de seguridad, incluidas las pruebas, los parches y la supervisión. La falta de segregación de funciones puede permitir un acceso excesivo a la producción y la implementación de cambios no autorizados. El producto final podría tener errores y ser vulnerable a un ciberataque. -Howard Taylor, Radware
9. El equipo de desarrollo realiza cambios sin el conocimiento del equipo de seguridad
Una de las razones por las que fallan los esfuerzos de DevSecOps es la falta de colaboración entre los equipos. Sin comunicación y colaboración, es posible que los equipos de seguridad no estén al tanto de los cambios realizados por los equipos de desarrollo, lo que genera vulnerabilidades o problemas de cumplimiento. Para evitar esto, cree equipos multifuncionales que incluyan representantes de los equipos de desarrollo, operaciones y seguridad para garantizar que todos estén al tanto de los cambios. -Pete Hanlon, MoneyPenny
10. Hay un cronograma poco realista para la implementación
Una línea de tiempo poco realista puede ser un gran problema. La implementación de DevSecOps debe realizarse con un enfoque por etapas; requiere cambios graduales y automatización que sean bien recibidos, entendidos, practicados y monitoreados. Los procesos bien documentados y la educación continua son obligatorios para garantizar el buen funcionamiento de DevSecOps, y debemos tomarnos nuestro tiempo. Cualquier esfuerzo por acelerar este trabajo puede resultar en un fracaso general. -Osborn Gomes, NIOSolutions Inc.
11. Los objetivos técnicos y comerciales no se entienden completamente
El liderazgo tecnológico necesita comprender completamente los objetivos técnicos y comerciales. El núcleo del éxito de DevSecOps es garantizar que todos los equipos planifiquen y creen estrategias para la implementación. Situar la seguridad en el centro del trabajo continuo de los otros elementos contribuirá en gran medida a garantizar que un enfoque DevSecOps sea exitoso. -Bankim Chandra, DotSquares LLC
12. No hay suficientes recursos para abordar las demandas de los clientes y el trabajo de SecOps
Una de las razones por las que fallan los esfuerzos de DevSecOps es que no hay suficientes recursos para administrar las demandas de funciones de los clientes frente a las necesidades de DevSecOps. Si sus clientes más grandes colocan constantemente elementos de alta prioridad en la parte superior de la pila de desarrollo, el trabajo de SecOps casi siempre cae por debajo de la línea límite para los recursos de desarrollo. Debe haber un compromiso organizacional con el camino, o debe tomar pequeños bocados para progresar. -James Beecham, ALTR
13. Las características y la funcionalidad se priorizan por encima de la seguridad
La razón por la que fallan los esfuerzos de DevSecOps es que no tienen tanta prioridad como otros aspectos del desarrollo y la implementación. Muchas empresas tienden a centrarse en las características y la funcionalidad por encima de la seguridad, lo que puede dar como resultado un producto que tiene vulnerabilidades que podrían haberse evitado si los equipos de desarrollo hubieran puesto más énfasis en la seguridad. – Leon Gordon, Socios de Pomerol
14. Los especialistas en seguridad no entienden el proceso de desarrollo de software
Por lo general, los especialistas en seguridad tienen experiencia en redes, se centran en el riesgo y el cumplimiento y no entienden el proceso de desarrollo de software. Los equipos de seguridad rara vez entienden los servidores de compilación automatizados, el código central, los contenedores, etc. Esta falta de comprensión y escasez de expertos en seguridad hace que este problema sea una de las principales razones por las que fallan los esfuerzos de DevSecOps. – Kiran Bhujle, SVAM International Inc.
15. Los roles y responsabilidades no están definidos
La falta de responsabilidad compartida y propiedad es una razón clave por la que fallan los esfuerzos de DevSecOps. Para evitar esto, los miembros del equipo deben tener funciones y responsabilidades bien definidas. Debe haber comunicación y capacitación regulares entre los departamentos de seguridad, desarrollo y operaciones, y debe existir un plan para abordar cualquier posible problema de seguridad que pueda surgir durante los procesos operativos y de desarrollo. – Mahanth Mallikarjuna, Mergen IT LLC
16. La alta dirección no se ha convencido del todo
Una de las razones por las que los esfuerzos de DevSecOps pueden fallar es la falta de compromiso y apoyo de la alta dirección. DevSecOps requiere un cambio cultural en la forma en que los equipos de desarrollo, seguridad y operaciones trabajan juntos, y es posible que la alta dirección no apoye o entienda completamente este cambio. Sin su apoyo, puede ser difícil que las iniciativas de DevSecOps ganen impulso y se implementen con éxito. -Iván Novikov, Wallarm Inc.
