Presentamos nuestro nuevo libro «Construyendo sistemas seguros y confiables»


  • Los Ingenieros de Confiabilidad del Sitio (SRE) y los ingenieros de seguridad tienden a romperse y repararse, así como a construirse.
  • Su trabajo abarca operaciones, además del desarrollo.
  • Los SRE y los ingenieros de seguridad son especialistas, más que ingenieros de program clásicos.
  • A menudo son vistos como obstáculos, en lugar de habilitadores.
  • Con frecuencia están aislados, en lugar de integrarse en equipos de productos.

Durante muchos años, mis colegas y yo hemos argumentado que la seguridad debe ser una calidad de program integrada y de primera clase. Creo que adoptar un enfoque inspirado en SRE es un paso lógico en esa dirección. A medida que mi comprensión de la intersección entre seguridad y SRE se ha profundizado, me he vuelto aún más seguro de que es importante integrar más a fondo las prácticas de seguridad en el ciclo de vida completo del software y los servicios de datos. La naturaleza de la nube híbrida moderna, gran parte de la cual se basa en marcos de program de código abierto que ofrecen datos y microservicios interconectados, hace que las capacidades de seguridad y resistencia estrechamente integradas sean aún más importantes.

Al mismo tiempo, las empresas se encuentran en un punto crítico donde la computación en la nube, diversas formas de aprendizaje automático y un complicado panorama de ciberseguridad determinan juntas hacia dónde va un mundo cada vez más electronic, qué tan rápido llegará allí y qué riesgos están involucrados.

Los enfoques operativos y organizativos de la seguridad en las grandes empresas han variado dramáticamente en los últimos 20 años. Las instancias más destacadas incluyen oficiales de seguridad de la información centralizados y operaciones de infraestructura central que abarcan firewalls, servicios de directorio, servidores proxy y mucho más, equipos que han crecido a cientos o miles de empleados. En el otro extremo del espectro, los equipos federados de seguridad de la información empresarial tienen la línea de negocio o la experiencia técnica requerida para respaldar o gobernar una lista nombrada de funciones u operaciones comerciales. En algún punto intermedio, los comités, las métricas y los requisitos reglamentarios pueden regir las políticas de seguridad, y los Safety Champions integrados pueden desempeñar una función de gestión de relaciones o rastrear problemas para una unidad organizativa con nombre. Recientemente, he visto equipos que analizan el modelo SRE al desarrollar el rol integrado en algo así como un ingeniero de seguridad del sitio, o en un rol específico de scrum ágil para equipos de seguridad especializados.
Por buenas razones, los equipos de seguridad empresarial se han centrado principalmente en la confidencialidad. Sin embargo, las organizaciones a menudo reconocen que la integridad y la disponibilidad de los datos son igualmente importantes, y abordan estas áreas con diferentes equipos y diferentes controles. La función SRE es el mejor enfoque de fiabilidad en su clase. Sin embargo, también juega un papel en la detección y respuesta en tiempo serious de problemas técnicos, incluidos los ataques relacionados con la seguridad en el acceso privilegiado o los datos confidenciales. En última instancia, si bien los equipos de ingeniería a menudo están separados organizacionalmente de acuerdo con conjuntos de habilidades especializadas, tienen un objetivo común: garantizar la calidad y la seguridad del sistema o la aplicación.

En un mundo cada vez más dependiente de la tecnología, un libro sobre enfoques de seguridad y confiabilidad extraídos de las experiencias en Google y en toda la industria es una contribución importante a la evolución del desarrollo de software program, la administración de sistemas y la protección de datos. A medida que evoluciona el panorama de amenazas, un enfoque dinámico e integrado para la defensa es ahora una necesidad básica. En mis roles anteriores, busqué una exploración más formal de estas preguntas Espero que una variedad de equipos dentro y fuera de las organizaciones de seguridad encuentren útil esta discusión a medida que evolucionan los enfoques y las herramientas. Este proyecto ha reforzado mi creencia de que vale la pena debatir y promover los temas que cubre en la industria, especialmente a medida que más organizaciones adoptan DevOps, DevSecOps, SRE y arquitecturas de nube híbrida junto con sus modelos operativos asociados. Como mínimo, este libro es otro paso en la evolución y mejora de la seguridad de los sistemas y los datos en un mundo cada vez más electronic.


El nuevo libro se puede descargar de forma gratuita desde Google SRE sitio neto comprado como copia física de su distribuidor preferido.




Enlace a la noticia primary