La transformación digital demanda un mayor dinamismo a las empresas, que han de estar listas para facilitar nuevos productos y servicios cada cierto tiempo aprovechando las capacidades que ofrecen las TIC para obtener ventajas competitivas. DevOps surge como respuesta a esa demanda y es el resultado de la convergencia de dos tendencias: la aplicación de métodos cada vez más ágiles para desarrollar software, junto con la ruptura del aislamiento que, por tradición, ha hecho la colaboración entre desarrolladores y personal de TI tan intermitente como poco productiva.
Además, implica la creación de un ecosistema de trabajo que, con el objetivo de hacer más rápido y eficaz el desarrollo de herramientas, integra a todos los profesionales que trabajan con ellas durante su ciclo de vida. Éste incluye varias etapas que van desde su concepción, diseño, codificación y testeo, hasta su implementación, administración y migración para, si es necesario, terminar con su reemplazo y retiro.
Adoptar esta metodología holística de trabajo, que ayuda a las compañías a ser más competitivas acortando plazos de entrega y manteniendo el nivel de sus prestaciones, exige que hagan de la seguridad una de sus prioridades.
Minimizar riesgos con agilidad
Trabajar en entornos DevOps no tiene por qué suponer lidiar con un mayor nivel de riesgos para las organizaciones, siempre y cuando los CISOs sepan tomar las precauciones oportunas en tres aspectos clave: número de profesionales implicados, la tendencia del software a ser abierto y compatible y la exigencia de agilidad, quizá reñida con el establecimiento de pautas de seguridad firmes y robustas.
La ventaja con la que cuentan los CISOs para adaptar sus planteamientos a lo que requieren los entornos DevOps es que los desarrolladores que trabajan en ellos también son conscientes de la importancia de la seguridad. De hecho, el 91% de los encuestados en un reciente estudio sobre el tema la consideraron parte de su trabajo.
Lo que sí queda en manos de los CISOs es facilitarles el debido apoyo por parte de equipos especializados en la materia. A nivel organizativo, se recomienda ofrecer a los desarrolladores un respaldo constante desde las primeras fases del desarrollo, para así tomar las precauciones necesarias y automatizar cuanto antes tareas clave (lo que potenciará la tan deseada aceleración en la entrega de aplicaciones).
El testeo es, sin duda, una de ellas. Comprobar automáticamente y de modo constante que las aplicaciones funcionan correctamente y están libres de cualquier problema no sólo acelera los tiempos de entrega, además es un proceso de chequeo imprescindible antes de que entren en contacto con las redes y los datos empresariales.
Como los datos en entornos de herramientas DevOps se intercambian de modo constante, se hace difícil mantener en secreto toda la información circulante. Otra de las medidas que los CISOs pueden adoptar para minimizar riesgos es la centralización del control de accesos a la información confidencial, restringiendo al máximo los permisos, sin dejar de garantizar el acceso a los usuarios adecuados.
Para terminar, asegurar que los repositorios de código no exponen información secreta es otra clave para evitar vulnerabilidades, algo que debe hacerse sin que resulte un obstáculo para que los desarrolladores puedan integrar en una línea principal compartida sus actualizaciones de código fuente.