Con el fin de  impulsar la  transformación digital y la entrega rápida de nuevos servicios y productos de software, las organizaciones han encontrado una gran ventaja competitiva con la implementación de DevOps. Sin embargo,  muchos de los procesos implicados no cuentan con la seguridad adecuada lo que se traduce en un gran riesgo cibernético.

Debido a que DevOps ofrece beneficios importantes en cuanto a mejoras drásticas en el tiempo de comercialización de nuevos servicios, no es de sorprender que el 96% de las organizaciones ya hayan implementado o planeen implementar DevOps, de acuerdo a un estudio realizado por  la firma  de análisis de TI, Freedom Dynamics realizado en 2018.

Por otro lado, el proceso de DevOps se ha llevado a cabo, en gran medida, fuera del ámbito de la seguridad de la información y, a menudo, sin que el personal de esta área lo sepa o participe. Como resultado, los equipos de seguridad han tenido dificultades para mantenerse a la par o, lo que es más grave aún, no han participado en absoluto.

Debido a esta mala higiene cibernética de los DevOps, los hackers ya están tomando ventaja de estas brechas con malware dedicado a minería de criptomonedas. No es difícil visualizar futuros ataques dirigidos a datos confidenciales de empresas o clientes.

Luis Isselin, director general de Tenable en México,  afirmó como  indispensable que  los profesionales de la seguridad cuenten  con nuevas estrategias y metodologías para la gestión de vulnerabilidades con el fin de  proteger los procesos de DevOps en las organizaciones.

Al respecto, hace las siguientes recomendaciones para aumentar la conciencia y el compromiso respecto a la seguridad en DevOps.

Equipos de DevOps

• Adoptar la capacitación sobre seguridad para comprender los riesgos cibernéticos.
• Incorporar la seguridad de la información en equipos pequeños con diferentes funciones.
• Trasladar las tareas de seguridad hacia la izquierda en la cadena de herramientas de DevOps.
• Alentar la comunicación entre los equipos y los silos.
• Asignar la responsabilidad de las pruebas de seguridad directamente a los desarrolladores.
• Asegurarse de que los desarrolladores nunca abandonen el entorno de toolchain.

Equipos de seguridad de la información

• Realizar evaluaciones continuas del riesgo.
• Abordar las pruebas de seguridad de las aplicaciones como un proceso de mejora continua.
• Reducir los riesgos operativos dividiendo los proyectos de gran tamaño en cambios más pequeños y simples.
• Participar en los ciclos de planificación y Scrum de DevOps.
• Incorporar un modelo de promotores de seguridad en toda la organización, especialmente en DevOps.
• Priorizar la corrección para centrarse en la protección contra los riesgos de alto nivel, incluso si esto significa permitir que persistan las vulnerabilidades de bajo riesgo.