A medida que DevOps se acelera, el rol de seguridad cambia


Sigue existiendo una desconexión entre los desarrolladores y los equipos de seguridad, con incertidumbre acerca de quién debe manejar la seguridad del software program.

Las tasas de adopción de DevOps han aumentado, con el 25% de las empresas reportando de tres a cinco años de práctica, y otro 37% reportando de uno a tres años. El salto ha acelerado el desarrollo pero impulsó lo que los investigadores llaman «una clara desconexión» entre los desarrolladores y los equipos de seguridad.

Como parte de su Encuesta Global DevSecOps 2020, los investigadores de GitLab encuestaron a más de 3.650 personas sobre sus éxitos y desafíos DevOps. Aprendieron que la adopción acelerada de DevOps en typical y la implementación de nuevas herramientas ha llevado a cambios en las funciones de trabajo y la elección de herramientas, así como en los organigramas dentro de los equipos de desarrollo, seguridad y operaciones.

«Uno de los mayores cambios es que la mayoría de los encuestados indicaron que incluso hoy sus roles están cambiando drásticamente», dice Jonathan Hunt, vicepresidente de seguridad de GitLab. «Más del 60% de los desarrolladores indicaron que sienten que su rol está cambiando y aproximadamente el 80% de los equipos de seguridad sienten que sus roles y responsabilidades también están cambiando, con respecto a la estrategia DevSecOps».

Hunt ya no es DevSecOps un concepto futurista o una estrategia de vanguardia de la que la gente no sabe mucho, agrega Hunt. Las empresas están suscritas a la idea de que DevOps y DevSecOps proporcionan una ventaja significativa para desarrollar código más rápido e identificar vulnerabilidades antes. Estos pensamientos se hacen eco en un estudio de Dark Reading centrado en el desarrollo de aplicaciones seguras: el 75% de las organizaciones encuestado atribuye a su equipo de desarrollo el conocimiento de la seguridad de las aplicaciones, y el 70% dice que la seguridad está involucrada en sus esfuerzos de desarrollo de application.

Muchas organizaciones continúan experimentando una desconexión entre los desarrolladores y los equipos de seguridad. Los datos de Dim Examining muestran que el 30% de los desarrolladores están promoviendo el código sin la participación de la seguridad, y el 30% de los encuestados consideran que la relación entre los equipos es «neutral», «pobre» o «inexistente». Más del 25% de los desarrolladores en el estudio de GitLab se sienten los únicos responsables de la seguridad, en comparación con el 23% de los probadores y el 21% de los profesionales de operaciones. Aproximadamente un tercio de los profesionales de seguridad dicen que poseen seguridad El 29% piensa que todos deberían ser responsables de ello.

Desplazándose a la izquierda

Casi el 75% de los encuestados de GitLab dicen que han cambiado las pruebas a la izquierda, lo que significa que está más cerca del proceso de desarrollo. La seguridad es un tema complicado «sin importar dónde te sientas en una organización de desarrollo», señalan los investigadores en su informe. Casi el 40% de los encuestados califica sus esfuerzos de seguridad como buenos, mientras que casi el 30% los explain como justos y el 20% como fuertes.

Los profesionales de seguridad están experimentando cambios en sus responsabilidades cotidianas a medida que la seguridad se convierte en una prioridad más alta. Casi el 28% dice que son parte de un equipo multifuncional centrado en la seguridad, y el 27% dice que eran más prácticos e involucrados en las actividades diarias de desarrollo. La mayoría (65%) de los profesionales de seguridad dicen que su organización está trayendo seguridad al proceso de desarrollo antes.

«Creo que las organizaciones están listas y los desarrolladores están listos para asumir más responsabilidades y participar en la responsabilidad compartida de la seguridad, pero necesitan las herramientas y la orientación para hacerlo», dice Hunt. Los datos indican que faltan orientación y herramientas, continúa, y en este momento «es muy indicativo que no sepan qué herramientas se necesitan», agrega.

Por qué las pruebas de seguridad son difíciles

Las pruebas de seguridad siguen siendo una fuente importante de frustración para los equipos de infosec. Más del 42% dice que sucede demasiado tarde en el ciclo de vida del desarrollo El 36% dice que es difícil de entender, procesar y corregir las vulnerabilidades descubiertas. Más del 30% describe priorizar la corrección de vulnerabilidades como una «batalla cuesta arriba», y casi el 30% dice que es difícil encontrar a alguien para corregir los errores.

Aunque la mayoría de las organizaciones realizan revisiones de código, solo el 25% de las vulnerabilidades se detectan antes de la producción, señala Hunt. Parte de la razón, dice, es la falta de responsabilidad.

«En promedio, los desarrolladores no son evaluados ni calificados con respecto a la calidad del código que producen, sino por la cantidad de código que producen», dice. «Esto conduce a atajos y falta de atención a la calidad del código, lo que conduce al crecimiento de errores y vulnerabilidades que se producen».

Otro component es la falta de capacitación: hay más de 600 categorías de fallas, señala Hunt, y es poco possible que quienes realizan revisiones de código tengan experiencia en la detección de la mayoría de las vulnerabilidades. También hay falta de automatización con las herramientas adecuadas. La mayoría de las revisiones de código son requisitos manuales o de casilla de verificación porque PCI u otro marco lo exige. «Hay una serie de herramientas SAST / DAST que se pueden integrar en las canalizaciones de CI / CD que harán un trabajo relativamente bueno en la identificación de vulnerabilidades y su nivel de riesgo antes del impulso de producción», explica Hunt.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de own de Darkish Looking at, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance & Technology, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más ideas





Enlace a la noticia authentic