La lucha de DevSecOps: lecciones de DevSecCon Singapur 2019
Según Gartner , DevSecOps se está convirtiendo en uno de los temas más candentes. Pero ¿cuántos profesionales de TI lo entienden? No, no se trata de DevOps en sí; no habla de cómo pasar del desarrollo en cascada tradicional al desarrollo ágil basado en Scrum. Tampoco es un tema puramente de seguridad. Entonces, ¿en qué se diferenciaría una conferencia DevSecOps de los eventos habituales de seguridad y DevOps?
En febrero me enteré. Asistí a DevSecCon en Singapur. Los asistentes y oradores se dividieron entre profesionales de seguridad y desarrollo, por lo que fue una muy buena combinación entre estos dos grupos. Permítanme compartir tres conclusiones de las sesiones a las que asistí (con algunas citas seleccionadas de los desarrolladores que asistieron a la conferencia también):
Cambio de cultura de desarrollo
“Todo desarrollador debería recibir capacitación en seguridad”.
“La seguridad informática es responsabilidad de todos”.
También dijeron que, si bien los desarrolladores generalmente no priorizan la seguridad, realmente necesitan adaptarse al mundo de la seguridad. Los desarrolladores presentaron varios desafíos para proteger las aplicaciones y exploraron cómo pueden aprovechar la seguridad en su cultura o estilo. El sentimiento general estaba a favor de incorporar equipos de seguridad en sus proyectos. Alguien incluso sugirió: Los equipos de seguridad deberían asistir a las reuniones con los clientes lo antes posible, para no tener que volver más tarde a identificar los desafíos.
Cambio de cultura de seguridad
“Los profesionales de seguridad deberíamos intentar ser técnicos, no sólo señalar con el dedo a los desarrolladores”.
“Siento que los equipos de seguridad no son buenos para automatizar procesos. “Tienden a recurrir a procesos manuales”.
“Sugerimos que los equipos de seguridad comiencen por construir una relación con los equipos de desarrollo”.
Estos tres comentarios sugieren que los profesionales de seguridad pueden y deben formar parte de los equipos de desarrollo. Yo diría que la lucha que compartieron los equipos de seguridad fue la otra cara de la moneda: el personal de seguridad quiere saber cómo pueden ser mejores defensores de los proyectos de DevOps. Saben que no deberían ser un obstáculo para el desarrollo y que también necesitan implementar algunas de las cadenas de herramientas o procesos que utiliza DevOps. Es por esto que “Shift left” (cambio a la izquierda), la idea que también pareció ser un gran tema en la Conferencia RSA SFO 2019, se mencionó ampliamente en este evento. Es necesario no sólo porque los profesionales de la seguridad quieren elevar su valor, sino también porque lo ven como la única forma en que pueden adaptarse a la era empresarial digital.
Talento
“Las organizaciones tienden a contratar más desarrolladores, mientras se olvidan de contratar personal de seguridad. “Como resultado, ampliar los equipos de seguridad se convierte en un problema”.
“La falta de talento en seguridad de aplicação es la causa principal. La mayoría de quienes solicitan puestos de seguridad de aplicaciones son profesionales de seguridad de redes”.
Otro tema que se destacó fue la escasez de recursos y talento. Como se puede ver en estos comentarios, los puestos de seguridad de aplicação no son fáciles de cubrir. Los equipos de seguridad luchan por escalar mientras sus organizaciones se concentran en acelerar el desarrollo para satisfacer las necesidades comerciales. Por supuesto, la cadena de herramientas y la automatización deberían llenar este vacío al hacer que el trabajo del equipo de seguridad sea escalable y más rápido. Sentí que ésta debería ser sólo la primera fase. A largo plazo, tanto los trabajos de DevOps como los de seguridad deberían simplificarse lo suficiente para que tanto los talentos de DevOps como los de seguridad puedan desempeñar ambas funciones.
***
La cultura dentro de este espacio no es fácil de cambiar, pero todos saben que debe hacerse. Fue interesante ver cómo los oradores de los equipos de seguridad y desarrollo tenían temas, dificultades y sugerencias en común. La idea compartida: se trata de cómo los desarrolladores y el personal de seguridad se unen como un solo equipo con los mismos objetivos. La buena noticia es que muchos proveedores de cadenas de herramientas y proveedores de soluciones ahora se centran en este enfoque simplificado. Es una especie de democratización de las tecnologías de ingeniería de software, así como de las soluciones de seguridad. Así que todos nos estamos moviendo en esa dirección.