FlagMartes, 17 Septiembre 2019

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

devops

 

Con el fin de impulsar la transformación digital y la entrega rápida de nuevos servicios y productos de software, las organizaciones han encontrado una gran ventaja competitiva con la implementación de DevOps. Sin embargo, muchos de los procesos implicados no cuentan con la seguridad adecuada lo que se traduce en un gran riesgo cibernético.

Debido a que DevOps ofrece beneficios importantes en cuanto a mejoras drásticas en el tiempo de comercialización de nuevos servicios, no es de sorprender que el 96% de las organizaciones ya hayan implementado o planeen implementar DevOps, de acuerdo a un estudio realizado por la firma de análisis de TI, Freedom Dynamics realizado en 2018.

Por otro lado el proceso de DevOps se ha llevado a cabo, en gran medida, fuera del ámbito de la seguridad de la información y, a menudo, sin que el personal de esta área lo sepa o participe. Como resultado, los equipos de seguridad han tenido dificultades para mantenerse a la par o, lo que es más grave aún, no han participado en absoluto.

Debido a esta mala higiene cibernética de los DevOps, los hackers ya están tomando ventaja de estas brechas con malware dedicado a minería de criptomonedas. No es difícil visualizar futuros ataques dirigidos a datos confidenciales de empresas o clientes.

Luis Isselin, Director General de Tenable en México afirma como indispensable que los profesionales de la seguridad cuenten con nuevas estrategias y metodologías para la gestión de vulnerabilidades con el fin de proteger los procesos de DevOps en las organizaciones. ¨Para garantizar una protección eficaz, se requiere de un nuevo enfoque de seguridad para cubrir la amplitud de la superficie de ataque moderna y proporcionar una nueva profundidad de información sobre los datos de vulnerabilidades para una visibilidad precisa y una adecuada toma de decisiones. De igual manera es necesario un cambio cultural en toda la organización y una nueva manera de pensar, en la que la ciberseguridad sea responsabilidad de todas las partes interesadas¨, comentó el directivo.
Tenable hace las siguientes recomendaciones para aumentar la conciencia y el compromiso respecto a la seguridad en DevOps.

Equipos de DevOps

• Adoptar la capacitación sobre seguridad para comprender los riesgos cibernéticos.
• Incorporar la seguridad de la información en equipos pequeños con diferentes funciones.
• Trasladar las tareas de seguridad hacia la izquierda en la cadena de herramientas de DevOps.
• Alentar la comunicación entre los equipos y los silos.
• Asignar la responsabilidad de las pruebas de seguridad directamente a los desarrolladores.
• Asegurarse de que los desarrolladores nunca abandonen el entorno de toolchain.

Equipos de seguridad de la información

• Realizar evaluaciones continuas del riesgo.
• Abordar las pruebas de seguridad de las aplicaciones como un proceso de mejora continua.
• Reducir los riesgos operativos dividiendo los proyectos de gran tamaño en cambios más pequeños y simples.
• Participar en los ciclos de planificación y Scrum de DevOps.
• Incorporar un modelo de promotores de seguridad en toda la organización, especialmente en DevOps.
• Priorizar la corrección para centrarse en la protección contra los riesgos de alto nivel, incluso si esto significa permitir que persistan las vulnerabilidades de bajo riesgo.