DevOps a veces se define como "la integración de desarrollo, operaciones, seguridad y control de calidad utilizando herramientas de automatización".

En resumen, es una iniciativa dirigida a transformar el desarrollo de software para acelerar el lanzamiento y las pruebas, aumentar la automatización y mejorar la calidad y confiabilidad del código.

DevOps logra esto a través de un ciclo continuo en el que diferentes departamentos de la empresa trabajan juntos para planificar, codificar, construir, probar, implementar, operar y monitorear.

Esto aumenta la flexibilidad y la eficiencia del desarrollo de software, mejora la calidad del producto terminado.

Se ha dicho mucho sobre los beneficios de DevOps, desde la mejora de la calidad del software y el ritmo de entrega de los productos terminados hasta la reducción de los riesgos asociados con la gobernanza y el cumplimiento.

Sin embargo, queda una pregunta importante:

 

¿Cómo afecta DevOps a la seguridad de la información?

Existe un movimiento masivo para expandir el marco de DevOps y pasar a DevSecOps, un proceso que implica garantizar la seguridad de la información en todas las etapas del desarrollo de aplicaciones. Pero implementar tal proceso no es fácil.

Se sabe mucho sobre la compleja relación entre seguridad y TI, y vale la pena señalar que DevOps y DevSecOps tienen diferentes modelos operativos y objetivos.

“Con el tiempo, todas las empresas se convertirán en desarrolladores de software, y DevOps jugará un papel clave en esto.” El objetivo de DevOps es involucrar a los responsables de operaciones con el equipo de desarrollo para que este contacto se produzca no solo al final del proyecto.

Las empresas modernas rechazan la práctica de transferir un comunicado "por encima de la valla" al departamento operativo.

Lo mismo ocurre con DevSecOps: es necesario que el control de seguridad no se lleve a cabo al final por las fuerzas de un departamento aislado, sino que se integre en todas las etapas del proyecto de desarrollo y fuera de él. 

 

A la vanguardia: Google y Amazon   ( logos )

En la mayoría de las organizaciones que han adoptado el modelo DevOps, los beneficios se obtienen rápidamente. Como puede ver en una encuesta reciente, DevOps aceleró las tasas de tiempo de comercialización de las empresas en un 20%, los clientes crecieron un 22% en promedio y los ingresos aumentaron un 19%.

Otra encuesta encontró que el 52% de las empresas que implementaron DevOps experimentaron una mejora en la satisfacción del cliente y las tasas de participación del cliente, y un 38% mejoraron las ventas.

Los pioneros de DevOps incluyeron a empresas de la talla de Google y Facebook, que utilizaron esta metodología para desarrollar productos en la nube nuevos y existentes.

Lo mismo se aplicó a Amazon y su plataforma en la nube AWS.

La entrega continua como el motor principal para perfeccionar su aplicación de servicio de iPhone, y Walmart ha creado su propia plataforma en la nube OneOps, que le permite desarrollar y lanzar nuevos productos más rápido y simplificar su mantenimiento durante todo el ciclo de vida.

Netflix, por ejemplo, ha creado un conjunto de herramientas automatizadas para realizar pruebas de estrés en la infraestructura de servicios de video.

La empresa ahora puede identificar y corregir las brechas de seguridad antes de que creen problemas importantes.

 

 

¿Beneficiarse de la seguridad?

Pero algunos cuestionan si DevOps está ayudando a fortalecer la seguridad cibernética, dado que ciertos departamentos insisten en una visibilidad total de todo el entorno informático debido a estrictos requisitos regulatorios.

La mayoría de los expertos creen que DevOps puede mejorar la seguridad si se garantiza desde el comienzo del proyecto, equilibrando los requisitos de seguridad y los objetivos comerciales.

Se cree que se pueden lograr niveles de seguridad sin precedentes mediante la realización de pruebas automatizadas de seguridad y cumplimiento durante los ciclos de desarrollo, implementación y operaciones.

DevOps es una gran ayuda para los profesionales de la seguridad que pueden, utilizando las herramientas de automatización y mantenimiento adecuadas, realizar sus funciones desde las primeras etapas de desarrollo, aumentando la seguridad del código que finalmente termina en el entorno de producción.

DevSecOps ¿Un remedio para vulnerabilidades masivas?

DevOps crea una conexión más profunda entre quienes desarrollan aplicaciones y quienes son responsables de mantener la infraestructura en la que se ejecutan.

Como resultado, la comprensión de cómo funciona la aplicación y dónde se mejoran significativamente sus debilidades; se vuelve más fácil protegerlo.

Y dado el creciente número de vulnerabilidades de seguridad de la escala de Heartbleed y Shellshock se estima que millones de sistemas son vulnerables.

Una buena comprensión de los procesos de desarrollo permite al personal de operaciones tomar decisiones más informadas ".

Aunque muchos analistas internacionales coinciden en que varios de los responsables de la seguridad de la información se resisten al cambio a DevOps.

DevOps se trata de conectar el desarrollo y la infraestructura para optimizar los procesos.

Cuando agrega seguridad a esto, DevOps puede tener un gran impacto en la seguridad de su entorno.

Por lo tanto, es necesario crear guías de seguridad y scripts para buscar defectos comunes que no deberían entrar en la versión de producción.

No obstante, todo el mundo no está de acuerdo con la opinión de que DevOps y la seguridad de la información son la combinación perfecta.

Hay quienes argumentan que DevOps puede crear problemas para el departamento de seguridad, en particular, porque será más difícil evaluar los riesgos a los que está expuesta la organización.

En un departamento de TI tradicional, el desarrollo y la implementación pueden llevar mucho tiempo, por lo que el equipo de seguridad tiene el tiempo y los recursos para probar el código y fortalecer las defensas al final del ciclo de desarrollo.

DevOps dificulta la detección de vulnerabilidades antes de que se lance una aplicación; no hay tiempo suficiente para encargarse del endurecimiento.

En un entorno DevOps, es más difícil identificar fallas antes de que se lance una aplicación, porque no hay tiempo suficiente para preocuparse por el endurecimiento.

 

¿Cómo puede probar su seguridad si, por ejemplo, en Amazon AWS, se publica un nuevo código cada 11 segundos en promedio?

Se ha argumentado que la automatización de los procesos incorrectos en las iniciativas de DevOps podría impedir que una empresa evalúe el nivel real de riesgos regulatorios y de seguridad.

Esto puede crear una falsa sensación de seguridad.

 

Obstáculos para la adopción masiva

Como cualquier nuevo concepto de tecnología, DevOps tiene características que dificultan la adopción masiva.

En primer lugar, este es el nombre en sí. Algunos señalan que la metodología de desarrollo continuo apareció mucho antes de DevOps, mientras que otros se quejan de que algunos operadores de centros de datos utilizan el término DevOps como herramienta de marketing.

Las juntas directivas deben evaluar el potencial retorno de la inversión antes de dar luz verde a un proyecto, y en el caso de DevOps, esto no será fácil, especialmente dada la necesidad de organizar un programa de concienciación de los empleados que asegure la transición sin problemas a un nuevo estilo de trabajo.

Estas dificultades frenan a algunas empresas. Un estudio reciente encontró que solo el 20% de las organizaciones están implementando DevOps durante la pandemia.

El estudio también señala que la mayoría de las empresas no se han alineado con el negocio o carecen de las habilidades y los recursos de TI necesarios.

Esto significa que tomará algún tiempo antes de que DevOps se convierta en un estándar de mercado obligatorio.

Pero es difícil no estar de acuerdo con el CEO de Microsoft, Satya Nadella, quien está convencido de que, con el tiempo, todas las empresas se convertirán en desarrolladores de software y DevOps desempeñará un papel clave en esto, si no se olvida de la seguridad.

Regidos por el contexto actual, el asesoramiento y análisis previo a la adopción de un modelo metodológico, requiere del asesoramiento de consultores expertos que puedan amalgamar la necesidad y el negocio en un mismo punto.