Implementar SecDevOps para ofrecer soluciones más seguras

claranet-secdevops-conciliar-agilidad-innovacion-seguridad.png

Para evitar el retraso en la entrega de tus proyectos TI, debe tenerse en cuenta la seguridad desde la fase de diseño.

Seguridad y agilidad no son incompatibles. Las empresas a menudo cometen el error de sacrificar las medidas de integridad de los sistemas de información bajo el pretexto de que ralentizan la innovación, suponiendo que configurar controles de seguridad demorará sus proyectos. Dan por hecho que significa invertir recursos significativos en funcionalidades de seguridad, que implican retrasos en las entregas cuando lo que el mercado reclama es mayor agilidad y velocidad. No obstante, si un proyecto no está correctamente protegido directamente fracasará, puesto que costará corregirlo a posteriori y afectará a la imagen de la empresa.

Para conciliar agilidad y seguridad, la solución reside en implementar la seguridad desde el inicio del proyecto, no una vez se ha finalizado.

Los proyectos de desarrollo habitualmente son ejecutados por distintos equipos sucesivos que no necesariamente tienen en cuenta la seguridad en el ciclo de desarrollo del proyecto y acaban tratando las vulnerabilidades en última instancia. Empezar un proyecto previendo los fallos de sus futuras aplicaciones y sistemas informáticos rompe con estos hábitos. Este movimiento se llama SecDevOps (también conocido como DevOpsSec o DevSecOps) y tiene como ventaja la integración de la seguridad desde el inicio del proyecto (y, por lo tanto, promover un enfoque “security by design”).

El modelo SecDevOps para integrar la seguridad desde el concepto

A continuación, os explicamos el modelo SecDevOps en tres puntos:

Establecer una cultura de seguridad en los equipos

Formándolos en las técnicas necesarias y manteniéndolos al día de la tecnología. Todo el mundo se sentirá actor de la seguridad. Para ello, deberá poner a su disposición los medios para conseguirlo. Pueden ser cosas tan simples como organizar sesiones de sensibilización entorno a temas de seguridad relacionados con la actualidad, por ejemplo. Pero será necesario formarles para obtener las competencias necesarias. Otra opción es designar un referente en seguridad que participe en cada proyecto.

Implementar procesos y procedimientos relacionados con la seguridad alineados a los métodos de producción ágil

La integración de la seguridad en un ciclo de desarrollo ágil debe empezar lo más pronto posible, esto es, en la mayoría de los casos, en la fase de definición de requisitos. Este enfoque, llamado “Shift Security Left”, permite a las empresas tener un flujo de trabajo totalmente seguro en cada etapa del ciclo de desarrollo del proyecto.

Para lograrlo, hay que velar por la integración de la seguridad en los procesos operativos y de desarrollo mediante la implementación de dispositivos no solo capaces de detectar y alertar de los problemas de seguridad, sino también de reaccionar en caso de incidencia.

La implementación de estos mecanismos permite identificar y tratar todos los problemas de seguridad. No deben considerarse como frenos a la innovación, puesto que eliminan los cuellos de botella y permiten entregar más rápido soluciones seguras.

Utilizar herramientas dedicadas y que promueven la automatización

Las herramientas de automatización permiten, por ejemplo, evitar errores humanos en los despliegues, ya que una manipulación involuntaria o unos administradores que no se basan en los mismos estándares pueden causar problemas de seguridad. Entre estas herramientas, las hay que se dedican a detectar vulnerabilidades, como las soluciones de revisión de código o de escáner, que se pueden conectar a dispositivos existentes.

La combinación de estas soluciones con herramientas de seguimiento de bugs permite incorporar automáticamente las correcciones a efectuar a la lista de errores por solucionar de los desarrolladores.

En definitiva, estas herramientas contribuyen a mejorar la rapidez de ejecución de tests de seguridad y a su control. También ayudan a reforzar la robustez y fiabilidad de las soluciones producidas. Por lo tanto, es importante apoyarse en estas tecnologías innovadoras y de alto rendimiento — solo posible si te mantienes al día de los avances tecnológicos en este campo.

Valerse de otros conceptos, un Red Team o investigadores

El modelo SecDevOps o DevOpsSec se puede combinar con otras prácticas que también tienen como objetivo reforzar la seguridad sin comprometer la agilidad. Así, la dicha disciplina de la defensa en profundidad consiste en segmentar la aplicación y su entorno en múltiples capas, cada una con controles de seguridad autónomos. De este modo, si una capa está comprometida, permite limitar la propagación de la amenaza al seno del entorno.

El Read Team consiste en asignar a un equipo la tarea de simular ataques a proyectos en curso con el fin de detectar debilidades y vulnerabilidades. El reto del Red Team es, pues, identificar con antelación los problemas de seguridad, pero, sobre todo, proponer correcciones a los equipos para solventarlos. El enfoque proactivo, por lo tanto, es prioritario respecto al enfoque paliativo.

Finalmente, un enfoque que consideramos innovador es el de “bug bounty”. A diferencia de los servicios tradicionales de pruebas de intrusión, en el que un equipo de consultores se encarga de descubrir el máximo nombre de vulnerabilidades durante un tiempo definido, se interpela a una comunidad de investigadores, que serán remunerados únicamente por cada vulnerabilidad corregida. Este modelo representa un ahorro en los presupuestos de los proyectos, pero también un beneficio que no se limitará en el tiempo.

Claves para el éxito de SecDevOps

Dos reglas condicionan todas las buenas prácticas planteadas anteriormente:

  • Proceder por capas. La mejor opción para garantizar el éxito en la implementación de un enfoque DevOpsSec es introducir gradualmente pequeños pasos que evolucionarán a lo largo de la vida del proyecto, en lugar de intentar cambiar de modelo repentinamente.
  • Se debe involucrar a todos los empleados para evitar desequilibrios de seguridad, por lo que esta implementación debe contar con el apoyo de la jerarquía.

Por Margot Priem, consultora de Seguridad de Claranet Francia