ISMS Forum, presentaba en el XII Foro de la Ciberseguridad, el pasado 11 de mayo la Guía de Iniciación en la Seguridad aplicada al DevOps (DevSecOps). Una publicación que desde un enfoque riguroso realizada por un equipo multidisciplinar pretende explicar a los profesionales de la ciberseguridad su apuesta por la implementación de la Seguridad desde el diseño y por defecto, cómo trasladarla a sus organizaciones.

Los participantes de la guía la conforman Adrian Prieto, Jorge Cerezo, Jorge Pardeiro, Jorge Vlenzuela, Juan José Fonseca, Margarita Sánz, Usama Alanbari.

Francisco Lázaro, CISO y DPO de Renfe y Board Member de ISMS Forum, David Moreno, CISO de Tendam, y Enrique Cervantes, CISO de Fintonic, coordinadores de la guía, señalan que la necesidad surge de una reflexión sobre los cambios que se están produciendo en las nuevas tecnologías en el mundo de la seguridad y sobre todo en aquellos que hay que mejorar.

El documento busca potenciar la necesidad de mirar hacia la seguridad en el código y, concretamente, sobre la tendencia actual que es la DevSecOps, “se dejaba en manos de los desarrolladores el tener esa seguridad en el código desde el momento en que lo están desarrollando. Ahora viene la tecnología DevSecOps y lo que hace es transformar la forma clásica de construir infraestructuras y sistemas y es directamente la gente que desarrolla las aplicaciones quien tiene capacidad de ir desplegando infraestructuras conforme a lo que necesita”, afirma Francisco Lázaro.

Por su parte, Enrique Cervantes indica que el reto principal de esta elaboración es “que las organizaciones implementen estos principios desde el inicio de cualquier política de ciberseguridad. Se trata de aprovechar este momento en el que las empresas implementan sus desarrollos para hacerlo con una filosofía que se aplique desde el diseño y que luego vaya evolucionado a la misma velocidad que lo hace el código.”

Por su parte, David Moreno subraya que “la guía viene a explicar  este tipo de metodologías para entender cómo la seguridad debe estar presente en esos procesos de puesta en producción y ayudar, desde el conocimiento de esas metodologías, a la implementación de esas tecnologías.”

La importancia de la seguridad desde el diseño

En opinión de Francisco, el valor añadido de esta guía en la que ha participado un equipo transversal de profesionales es que apuesta por la seguridad desde el diseño como elemento para minimizar los riesgos en las organizaciones.

Para este experto “al final estamos hablando de una obligación que quizás no la habíamos dedicado tanto tiempo a la seguridad en el desarrollo y por tanto a la seguridad en el diseño en el desarrollo a lo largo de su ciclo de vida. Ahora no tenemos más remedio porque hay una transformación del modelo”.

Para Enrique “gestionar la ciberseguridad en una empresa no es sencillo. En esta guía queremos demostrar que se puede hacer. Por ello, hemos trabajado desde diferentes perspectivas para abordar la importancia que tiene la seguridad por defecto a la hora de encontrar fallos pronto y que sea más sencillo solucionarlos de forma ágil y automatizada.

A juicio de David, la implementación de estos principios de DevSecOps no pueden aplicarse a cualquier tipo de empresa “las metodologías ágiles nacen en el mundo del desarrollo y de la tecnología, aunque también es cierto que puede aplicarse a cualquier proceso de diseño de fabricación. Hay empresas que quizás sean más maduras que otras y que para aplicar estos procesos tengan más sentido. Al final es más entender los conceptos y ver cómo se aplican a tu realidad, sin buscar la excelencia”.

Este experto recuerda que “dependiendo de la madurez que tenga la empresa, desde el punto de vista de desarrollo como de seguridad de operaciones, es aplicable o no. El documento da pistas para contemplar la seguridad en los procesos productivos y de operaciones. Al final cada empresa debe intentar adaptar estos principios que reflejamos para adaptarlos a su realidad”.

Asumir el cambio cultural que genera

Al final apostar por la tecnología DevSecOps, que ayuda a trabajar la seguridad desde el diseño, supone un cambio cultural en las organizaciones. Francisco subraya que “es un cambio cultural en todos los sentidos, donde hay que ver el nuevo rol de departamentos tan clásicos como arquitectura y sistemas para que sean automáticas, más ágiles y en el fondo sigan principios estables del mundo de la arquitectura y de los sistemas”.

Por su parte, David está convencido que trabajar la seguridad desde el diseño supone reducir los riesgos inherentes a la actividad de esta empresa afirmando que “cuanto antes esté presente la seguridad en las fases del proyecto, incluso en las fases del diseño conceptual tras un buen análisis de riesgo que se realice, el producto será mucho más seguro y robusto”

“Al mismo tiempo, el coste será menor a la hora de reparar cualquier tipo de incidencia y eso al final repercute en la calidad a nivel de manejo de los datos como en la robustez de la propia solución de ser manejada”.

Enrique considera que “a nivel regulatorio, la propia AEPD (Agencia Española de Protección de Datos) señala que para actuar con diligencia a la hora de manejar datos personales se tiene que aplicar patrones de seguridad por el diseño. De hecho, sacaron un documento bastante detallado de cómo trabajar esa privacidad desde el diseño para la gestión de esos datos”.

Medición de resultados de la guía

Respecto a la medición de si se está implementando bien estos principios de DevSecOps, David resalta que “la medición y la definición de unos KPI’s y de unos objetivos que se puedan cuantificar es fundamental para saber si se está haciendo bien o no dicha implementación. Se trata de demostrar tu diligencia frente al propio regulador de protección de datos”.

Por su parte, Enrique explica que para medir bien “se trata de trabajar con automatización, es decir, que toda la medición y todos los procesos existentes se automaticen. De esta forma, conseguimos entornos y KPI’s repetibles y confiables”.

Para Lázaro “hay muchas claves para saber si lo estamos haciendo bien. Una es la formación de los profesionales para que sepan entender esta nueva tecnología. Todo cambio de cultura conlleva formación y concienciación. Al mismo tiempo se requiere mucha comunicación entre los diferentes roles de la empresa. Hay que ser conscientes que ahora tendrán un papel más destacado los desarrolladores de la seguridad en los datos que se van a manejar”.

Al mismo tiempo, recuerda que “tiene que estar todo muy formalizado porque precisamente cuanto más ágil hagas las cosas más documentadas deben estar. Tiene que haber una formalización de esos roles y de cómo hacer las cosas, para después mecanizar la detección de las situaciones anómalas. Por ello, es importante la necesidad de monitorizar, detectar e investigar, no solamente en el orden económico, sino en el uso eficiente y eficaz de los recursos”.

 

Accede a la guía: https://www.ismsforum.es/ficheros/descargas/guia-devsecops-v41690197585.pdf