Blog

10/03/2017

Ciberseguridad y Devops ¿convivencia posible?

En estos días, la ciber-seguridad se ha convertido en una prioridad para las compañías y por tanto requiere que todas las capas de las mismas participen de un esfuerzo colectivo. Si bien, hasta hace no tanto, el software se limitaba a su funcionalidad y uso (hojas de cálculo departamentales, programas silo especializados…)  ahora cada vez son más inseparables de las operaciones diarias, desde cualquier vertical TI hasta negocio.

Aplicaciones como la vozIP, el storage en la nube, las web corporativas e interactivas, etc se han convertido en elementos esenciales para las comunicaciones, dentro y fuera de la empresa y también han ampliado la importancia de la seguridad de la red como primera línea de defensa para esta conectividad permanente.

La creciente centralización de las aplicaciones conectadas a la nube ha creado nuevos riesgos de seguridad para los datos empresariales, por lo que es vital para las organizaciones el ser capaces de identificar tempranamente y con intervalos de tiempo rápidos cualquier actividad sospechosa. Volviendo a la colaboración que mencionamos al principio, hay una clara necesidad de incluir contribuciones desde ambos lados, técnico y empresarial, de las empresas en la formulación de una estrategia de seguridad cibernética moderna y sensible.

Ya existe un precedente para tal coordinación, en la forma del movimiento cada vez más popular y tratado por mí y otros tantos en multitud de artículos: DevOps.

Manos unidas

La importancia de la colaboración en la ciberseguridad

Echemos un vistazo a lo que implica DevOps y la influencia que ha tenido hasta ahora en el campo del software. La palabra “DevOps” es un acrónimo de “desarrollo” y “operaciones”, destinado a transmitir una estrecha relación de trabajo entre dos importantes segmentos técnicos de una organización, que se habrían separado unos de otros en la visión más tradicional de la industria.

Idealmente, esta configuración permite que los proyectos se completen mucho más rápidamente de lo que era, si se estaba operando dentro de silos. Además, muchas herramientas, incluyendo aquellas capaces de realizar tareas como la integración continua y la orquestación en la nube, se consideran soluciones listas para DevOps que permiten una mayor agilidad empresarial gracias a su soporte para un desarrollo, pruebas e implementación rápidos. Sin embargo, es importante señalar que DevOps no es simplemente herramientas técnicas – es también un movimiento cultural que promueve la colaboración.

¿ Y puede DevOps servir como un modelo para un nuevo enfoque de la seguridad cibernética?

La relación entre DevOps y la computación en la nube es profunda. A medida que las empresas inviertan cada vez más en servicios basados ​​en la nube, es probable que tomen una buena y larga mirada a DevOps, ya que puede proporcionar la velocidad y la iterabilidad necesarias para aprovechar al máximo la infraestructura de la nube. DevOps y la nube tienen una relación simbiótica. Ambos pueden ayudar a fomentar la adaptabilidad a esos requisitos del proyecto que cambian rápidamente.

Aplicar el modelo DevOps a la seguridad puede parecer poco ortodoxo a primera vista, aunque sólo sea porque DevOps y la seguridad cibernética se han enfrentado a veces entre sí.

Tratándolo más en profundidad, los ciclos de lanzamiento acelerado de la cultura DevOps pueden complicar los esfuerzos de los equipos de seguridad, que tienen que evaluar el impacto de estos cambios en los datos de la organización y en la infraestructura de TI. Pero al mismo tiempo, la colaboración, core de DevOps, podría ser una guía para salvar la brecha entre TI y todos los demás cuando se trata de abordar cuestiones de seguridad comunes.

¿y entonces?

Pues hay que tener en cuenta que la ciber seguridad ya no solo incumbe a los departamentos TI ya que, por ejemplo, la protección de datos no es simplemente un ejercicio de protección de la privacidad, sino que también tiene implicaciones de largo alcance para la salud financiera de toda la empresa ya que, en los últimos años, las pérdidas ocasionadas a las empresas por el hackeo de sus datos se cuentan por decenas de millones de euros.

 

Más allá, la centralización del software (y las aplicaciones en la nube en particular) y la creciente influencia de la tecnología de consumo en TI, a través de las políticas de configurar/traer cada uno sus propios dispositivos (BYOD) hacen que los puntos de acceso a los sistemas y la información sean multitud. Como colofón, ya es una realidad que muchos ataques cibernéticos comunes como el spear phising  se están dirigiendo a los activos del usuario final, como cuentas de correo electrónico en lugar de directamente a la infraestructura de red de una empresa.

 

En este contexto, podemos ver las ventajas de adoptar un enfoque de aproximación de Devops a la ciberseguridad, que mantenga a todos en la misma sintonía a lo largo de los procesos de auto-mejora de la empresa y sus ajustes a las nuevas amenazas cibernéticas. La idea aquí no es tanto poner la seguridad en DevOps, sino poner DevOps en la seguridad. En la práctica, esto implica una mejor alineación de la seguridad con los objetivos de negocio, con metas de protección de datos implementadas desde el principio en el desarrollo de cualquier aplicación o servicio y automatizadas (un elemento básico del proceso dentro de culturas de DevOps) para una gestión fácil a corto y largo plazo.

 

DevOps ha sido una gran bendición para las empresas y proveedores de servicios que buscan adaptarse a un mundo centrado en la nube en el que los servicios populares pueden ser lanzados rápidamente a muchos usuarios, manteniendo un alto nivel de calidad. La seguridad cibernética no es una excepción, necesita cada vez más esta rapidez y atención a los detalles, si es para mantenerse al día con las amenazas planteadas por ataques de denegación de servicio, malware y phishing.

En conclusión: Hay todavía mucho que recorrer en la nueva seguridad cibernética. ¿Confiamos en Devops para allanar el camino?

 

Ignacio Anaya

Nacho Anaya
Solutions & IT Advisory BU Director at Tecnofor

Análisis, Artículos , , , , , , ,