[28/05/2021] Las organizaciones adoptan DevSecOps por una variedad de razones: para hacer posibles proyectos de transformación digital, entregar valor más rápido, obtener una ventaja competitiva, reducir el costo de las soluciones de seguridad y más. A pesar de la prisa por la adopción, a veces ocurre que las organizaciones fallan con sus iniciativas DevSecOps, y las razones de esas fallas son evitables. Estas son las causas más comunes para que los esfuerzos de DevSecOps fallen.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
1. No establecer una cultura de aprendizaje
Un informe reciente de McKinsey identificó que el talento y las cuestiones culturales plantean el mayor desafío para las transformaciones tecnológicas, incluyendo DevSecOps. Las organizaciones que adoptan una cultura de aprendizaje y experimentación continua, tendrán más éxito con DevSecOps. El trabajo fundamental "The DevOps Handbook” enfatiza que para tener éxito con DevSecOps y basarse en el acierto de las organizaciones de alto rendimiento, una cultura de aprendizaje es clave.
Esto se propicia a través del aprendizaje diario, reservando tiempo para la capacitación y la mejora organizacional, y una inversión concentrada en mejorar las habilidades de la fuerza laboral. Se puede lograr con inversiones en suscripciones en educación, asistencia para la matrícula y reembolso de la certificación. También son efectivas las reuniones informales en las que expertos en la materia de dentro y fuera de la organización comparten experiencia y lecciones aprendidas.
2. Dejar de lado la educación multifuncional
Existe una tensión de la que casi nunca se habla, pero es ampliamente reconocida entre los equipos de desarrollo y seguridad. Sobre la base de la necesidad de aprendizaje, se debe promover la educación multifuncional como parte de un imperativo más amplio para romper los silos y aliviar esa tensión.
La FOSS Contributor Survey del 2020 realizada por The Linux Foundation y el Laboratory for Innovation Science de Harvard encontró que el desarrollador promedio de software libre y de código abierto (FOSS, por sus siglas en inglés) dedica solo el 2,3% de su tiempo a mejorar la seguridad de su código. En un momento en el que las organizaciones buscan "cambiar la seguridad a la izquierda (Shift-left)”, los desarrolladores se encuentran en una posición privilegiada para mitigar las vulnerabilidades de seguridad antes de los compromisos y la promoción de la producción. Por ello, deben comprender el valor organizacional de la codificación segura y ser incentivados para alcanzarlo.
Por otro lado, nos encontramos en entornos donde todo se convierte en código. Desde código de aplicación, infraestructura como código (IaC)/cumplimiento como código, manifiestos de Kubernetes y plantillas YAML de canalización de integración continua/entrega continua (CI/CD), el código está en todas partes. Los profesionales de la seguridad no necesitan ser excelentes desarrolladores, pero sí deben comprender las prácticas de codificación a un alto nivel, y ser capaces de revisar las plantillas en busca de configuraciones erróneas y vulnerabilidades comunes. Esto también mejoraría la colaboración y los puntos en común entre los dos grupos.
3. No comunicar el valor empresarial
Cualquier esfuerzo, incluido DevSecOps, debe estar vinculado a objetivos y metas empresariales claves. DevSecOps es un viaje de transformación que requiere la aceptación y el compromiso de las partes interesadas fundamentales de toda la organización.
Por esta razón, es esencial comunicar el valor empresarial de DevSecOps. El liderazgo ejecutivo debe comprender claramente el "por qué” de adoptar DevSecOps. Una de las formas más efectivas de hacerlo es a través de métricas. Muchos están familiarizados con las métricas de DevOps Research and Assessment (DORA) del popular libro "Accelerate”, pero eso solo sería el comienzo. Además, las organizaciones pueden y deben utilizar métricas adicionales. Como dice Bill Nichols del Carnegie Mellon Software Engineering Institute (SEI), "las mediciones deben ser accesibles, estar disponibles y relacionadas con los objetivos empresariales”.
Comunicar el valor empresarial de la adopción de DevSecOps y usar métricas para respaldarlo puede ser de gran ayuda para asegurar el apoyo de las partes interesadas clave y el liderazgo ejecutivo dentro de su organización.
4. Ser demasiado reacio al riesgo; tenerle miedo al fracaso
Una vez más, las organizaciones y equipos de alto rendimiento que adoptan DevSecOps con éxito, también adoptan una cultura de aprendizaje. La antítesis es ser demasiado adverso al riesgo y tenerle miedo al fracaso. El fracaso es un subproducto natural del proceso de aprendizaje.
Si su personal y sus equipos no están en una posición en la que pueden cometer errores, aprender lecciones e iterar para corregir fallas, las posibilidades de adoptar DevSecOps con éxito son escasas. Los equipos deben estar facultados para aprender, identificar sus debilidades, aprovecharlas y mejorar sus competencias. Esto solo sucede en un entorno basado en la transparencia, seguridad y confianza.
Otra forma de ser demasiado reacio al riesgo es permitir que la seguridad sea el principal punto de fricción con las implementaciones de DevSecOps. Una queja común sobre la seguridad en los entornos que implementan DevSecOps es que es demasiado engorrosa y ralentiza la innovación y la entrega. Esta queja tiene algo de fundamento. Las organizaciones deben encontrar formas de implementar la seguridad con la menor fricción posible. Esto se logra mediante la integración con los flujos de trabajo de los desarrolladores, la incorporación de expertos en la materia de seguridad en los equipos de desarrollo, el establecimiento de campeones de seguridad entre el desarrollo y, como se explica a continuación, mediante la adopción de una cultura de seguridad en toda la organización.
5. Expansión y fragmentación de herramientas
El ritmo cada vez mayor de la innovación y la transformación digital está impulsando un rápido crecimiento del panorama nativo de la nube. Ese crecimiento proporciona una amplia y robusta selección de herramientas y aplicaciones para facilitar el cumplimiento de los objetivos de DevSecOps de las organizaciones. Sin embargo, esa rápida proliferación de herramientas también crea un entorno más complejo e inconexo para muchas empresas. Fíjese en el panorama más reciente de Cloud Native Computing Foundation (CNCF) para tener una idea de cuán diverso se ha vuelto.
Cloud Native Interactive Landscape 2021 de CNCF.
Las organizaciones enfrentan desafíos en torno a la visibilidad y la productividad debido a la expansión de la cadena de herramientas. Además, buscan adoptar opciones de gestión de la cadena de herramientas para controlar la expansión y las ineficiencias asociadas.
Estos problemas no están relacionados solamente con DevOps. La seguridad también enfrenta sus propios desafíos asociados con la expansión de las herramientas. Los hallazgos de "Cloud-Based Intelligent Ecosystems” del 2020 Cloud Security Alliance (CSA) muestran que la mayoría de las organizaciones están luchando para identificar qué tan bien funcionan sus herramientas de seguridad, si están generando un ROI de valor y, además, revelan que sus equipos incluso están teniendo problemas para mantenerse al día con las herramientas en sus entornos.
En un ecosistema de TI dinámico y de rápida evolución como en el que nos encontramos, la expansión y la fragmentación de herramientas son amenazas reales. Afectan la visibilidad, la productividad y, lo más importante, la seguridad. Las amenazas continúan proliferando y si su organización carece de visibilidad y control, ciertamente se encuentra en riesgo sin estar consciente de ello.
6. Cultura de seguridad débil
Las organizaciones y la industria simplemente no cuentan con suficientes profesionales de seguridad. El estudio ISC2 2020 Cybersecurity Workforce identificó una escasez global de 3,12 millones de profesionales de ciberseguridad.
En las organizaciones, los profesionales de la seguridad son superados en número en comparación con sus contrapartes de desarrollo y operaciones. La realidad es que los desarrolladores están en una posición clave para mitigar los problemas de seguridad en una etapa temprana del ciclo de vida del desarrollo de software (SDLC), y los equipos de operaciones están preparados para identificar anomalías operativas; debe ser un esfuerzo en equipo.
El establecimiento de una cultura de seguridad comienza con la comprensión de que la seguridad es responsabilidad de todos los involucrados. Comunicar y concientizar sobre las preocupaciones y principios primarios de seguridad también pueden ser de gran ayuda. Los equipos y el personal de seguridad deben dejar de ser vistos como la oficina del "no” y, en cambio, ser vistos como un socio colaborador que puede ayudar a lograr resultados compartidos, mientras que al mismo tiempo integra los requisitos de seguridad clave en todos esos esfuerzos.
7. Pensar que se puede "comprar” DevSecOps
Muchas organizaciones, de manera equivocada, comienzan su búsqueda de DevSecOps pensando que simplemente pueden "comprar” DevSecOps. Por ejemplo, "si implementamos canalizaciones CI/CD, estamos haciendo DevSecOps”. Esto no es verdad.
DevSecOps es una metodología posibilitada por personas, procesos y tecnología, siendo los dos primeros incluso más importantes que el tercero. Sin hacer el esfuerzo de implementar una cultura alineada con los principios de Agile y DevSecOps, es poco probable que vea una implementación exitosa y con posibilidad de madurar de DevSecOps.
Lo mismo puede decirse de no actualizar e implementar nuevos procesos organizacionales alineados con dichos principios y prácticas. Forzar modelos operativos antiguos a trabajar con tecnologías y prácticas modernas simplemente trae confusión, ineficiencia y frustración en la organización. Esto estará presente entre los equipos que se esfuerzan por adoptar DevSecOps, y el liderazgo que anticipa los resultados empresariales clave vinculados a una implementación exitosa de DevSecOps.
Implementar DevSecOps no es una tarea fácil. Dicho esto, cuando se hace correctamente, con paciencia y enfocándose en las competencias clave, puede traer enormes beneficios para las organizaciones. No solo tiene el potencial de aumentar las tasas de entrega, la capacidad de respuesta a la demanda de los usuarios y del mercado y una ventaja competitiva, sino que DevSecOps puede mitigar las vulnerabilidades de manera más pronta, económica y mucho más eficiente que los métodos tradicionales.
Basado en el artículo de Chris Hughes (CSO) y editado por CIO Perú
Puede ver también: