BLOG

No hay lugar para silos cuando se trata de seguridad

Miniatura de Lori MacVittie
Lori MacVittie
Publicado el 24 de junio de 2019

Todo empezó con DevOps. Luego estaba NetOps. Ahora SecOps. ¿O es DevSecOps? ¿O tal vez SecDevOps?

Cualquiera sea el nombre que le decidamos dar, muy a menudo el resultado final es poco más que los mismos viejos silos con nombres nuevos y brillantes. Nos hemos centrado tanto en "cómo llamamos a esta gente" que a veces olvidamos "qué es lo que estamos tratando de lograr".

El Gran Bardo lo dijo por primera vez en su comentario sobre una rosa: olería igual de dulce con cualquier otro nombre. Apliquemos eso hoy al número de facciones que surgen en el juego de operaciones. Cambiar tu nombre no sirve de nada si no cambias tus conductas y prácticas fundamentales.

Cuando la nube surgió por primera vez (juego de palabras intencionado), hubo muchos expertos que desestimaron los esfuerzos de las empresas por construir una nube privada (en las instalaciones). Porque no encajaba con la definición precisa que querían asociar con la nube. Ignoraron que el resultado era la medida del éxito y no la medida de la definición pedante de otra persona. Buscaron agilidad, eficiencia y velocidad cambiando la forma en que se aprovisionaba, configuraba y gestionaba la infraestructura. Cambiaron comportamientos y prácticas mediante el uso de la tecnología.

Hoy en día las guerras terminológicas se centran en X-Ops y en lo que deberíamos llamar la última llegada, la seguridad.

Sé que he utilizado los términos y, a veces, los uso todos al mismo tiempo. Pero quizá lo que necesitamos son menos distinciones. Quizás debería simplemente decir que o bien están adoptando "operaciones modernas" en términos de comportamientos y prácticas o bien siguen utilizando "operaciones tradicionales" y eso es todo.

Las operaciones modernas emplean tecnología como la nube y la automatización para crear canales que codifican procesos para acelerar la entrega y la implementación de aplicações.

Y lo hacen cambiando comportamientos y prácticas. Son colaborativos y comunicativos. Utilizan la tecnología para modernizar y optimizar procesos que tienen décadas de antigüedad y que impiden la entrega y la implementación. Trabajan juntos, no en equipos X-Ops aislados, para lograr su objetivo de lanzamientos más rápidos y frecuentes que aporten valor al negocio y deleiten a los consumidores.

Centrarse en lo que se debe llamar "seguridad" a medida que se incorporan a las operaciones modernas puede ser perjudicial para la premisa básica de que la entrega y la implementación solo pueden tener éxito con rapidez y con un enfoque colaborativo. Ponerle nuevas etiquetas a un equipo nuevo y enfocado solo crea silos más diferentes; no los destruye ni abre las líneas de comunicación que se requieren para operar con velocidad y escala.

También da permiso involuntariamente a otras operaciones no relacionadas con seguridad para que deleguen responsabilidades de seguridad en el equipo <SecDevOps | DevSecOps>. Porque está en su nombre, ¿verdad?

Esta es una idea cada vez más mala dado que la seguridad de las aplicação es una pila y, por lo tanto, requiere una pila completa para implementar las protecciones adecuadas.  Necesita seguridad de red y seguridad de transporte y definitivamente necesita seguridad de aplicação . La superficie de ataque de una aplicación incluye las siete capas y, cada vez más, la pila que comprende su entorno operativo. No hay lugar para silos cuando se trata de seguridad.

El foco de TI a medida que avanza en su transformación digital debe ser modernizar las operaciones, desde la tecnología hasta los equipos que la utilizan para innovar y aportar valor al negocio. Las operaciones modernas no se preocupan por los títulos; les apasiona producir resultados. Las operaciones modernas trabajan juntas, se comunican libremente y colaboran entre sí para crear un flujo de entrega e implementación eficiente y adaptable.

Esto requerirá que expertos en redes, seguridad, infraestructura, almacenamiento y desarrollo trabajen en conjunto.

En la red, utilizamos etiquetas para etiquetar el tráfico y aplicar políticas que controlan qué dispositivos pueden comunicarse con qué infraestructura y aplicações. En los clústeres de contenedores utilizamos etiquetas para aislar y restringir, para limitar y para prohibir.

Las etiquetas en las organizaciones pueden tener el mismo efecto.

Entonces tal vez sería mejor si simplemente dijéramos que son operaciones modernas o operaciones tradicionales. Y que algunos están en un estado de transición entre los dos. Dejemos de gastar tantos ciclos en cómo llamarnos unos a otros que perdemos la oportunidad de crear un entorno colaborativo en el que entregar e implementar aplicaciones más rápido, con mayor frecuencia y, sobre todo, de forma segura.