Ricardo Hernández, Country Manager para España y Portugal de Vectra AI

A medida que el dogma Agile continúa extendiéndose, es el deber de los

responsables de seguridad imparciales rechazarlo

"Agile" es una palabra de moda en el campo de las TI. Desde una buena intención de mejorar la calidad del software y la velocidad de entrega, se ha vendido cada vez peor en las últimas dos décadas como una panacea para curar todos los males de la informática. La metodología da prioridad a la autonomía, la velocidad de entrega y una ética de "move fast, fail fast", es decir, "moverse rápido, fallar rápido", que es suficiente para hacer que cualquier CISO se estremezca.

¿Agente de cambio o agente de desgracia?

La metodología Agile tiene su utilidad. Como un enfoque iterativo para el desarrollo de software, puede ayudar a los equipos a acelerar el tiempo de comercialización y eliminar las barreras. Puede ser particularmente efectivo para pequeñas empresas y equipos pequeños. Pero no es muy escalable y no se utiliza para entornos heterogéneos complejos. Ciertamente no convertirá a un equipo de entrega deficiente en uno eficiente.

Sin embargo, Agile se está adoptando cada vez más como un modelo operativo para toda la industria tecnológica, impulsando la transformación en todas partes, desde los servicios de soporte hasta los centros de datos. Los CIO evangélicos son alentados por una compañía que no entiende sus matices. La mitad de las empresas han estado utilizando prácticas Agile para la transformación durante al menos tres años. Pero ¿sigue siendo apropiado?

Solo diga "no"

Una solicitud clásica: "¿Puede darme una aceptación de riesgo/excepción de seguridad?", lo que podría traducirse con mayor precisión como: "¿Puede comprometer la seguridad para ayudarme a alcanzar mis objetivos de entrega Agile?”. Una respuesta apropiada del CISO sería: "Por supuesto, siempre que esté dispuesto a asumir toda la responsabilidad si ocurre algún problema".

La seguridad debe ser aceptada como un requisito funcional obligatorio de cualquier proyecto. Es más barato, más fácil y más seguro integrarlo desde el principio que actualizarlo. Aún así, es sorprendente la cantidad de proyectos Agile que hacen que la "aprobación de seguridad" sea la última tarea en el sprint, lo que inevitablemente conduce a retrasos.

El cumplimiento normativo básico es prácticamente irrelevante en el panorama actual de amenazas. Por lo tanto, las pruebas deben llevarse a cabo con herramientas potentes y, si es necesario, con equipos de expertos independientes. Los CISO necesitan herramientas que puedan monitorizar de cerca los entornos, los errores y las configuraciones erróneas para mitigar el riesgo de manera efectiva. La empresa en general debe entender que un producto no está completo hasta que se cumplan todos los requisitos de seguridad.

La realidad es que los CISO son la conciencia de la empresa. Para que los proyectos Agile tengan éxito, a veces es mejor ralentizar un poco las cosas y hacer preguntas difíciles.  A veces también es necesario cuestionar la fe dogmática de muchos CIO y sus equipos.

Es normal ser a veces el "chico malo". Diga no a la metodología Agile cuando existen mejores soluciones.