Recientemente dimos una conferencia sobre Ciberseguridad aplicada al sector de la salud y tuvimos oportunidad de hablar de DevSecOps. Aquí presentamos un resumen del tema.

Los incidentes de seguridad no ocurren solo en la industria financiera. Hemos podido comprobar que la información de una historia clínica médica tiene un valor cinco veces superior que el de una tarjeta de crédito viva. Por lo que el sector de la salud enfrenta importantes riesgos, que los obliga a tomar medidas de ciberseguridad.

Particularmente en Uruguay con la puesta en funcionamiento de la Historia Clínica Electrónica Nacional, todos los prestadores de servicios de salud que gestionan información sensible deberán tomar medidas adecuadas para protegerla.

Aplicaciones a medida, un problema para la Ciberseguridad

Según Gartner el 75% de los ataques son dirigidos a la capa de aplicación y según OWASP el 92% de las aplicaciones que salen a producción son vulnerables. Claramente, las aplicaciones están en el centro de los problemas de ciberseguridad que puede tener una organización.

Por otro lado, de acuerdo a WhiteHat Security, en promedio el 50% de las organizaciones requiere 174 días para remediar vulnerabilidades graves, lo que nos permite dimensionar la dificultad y esfuerzo requerido para corregir problemas.

Sin dudas que lograr un proceso de desarrollo de aplicaciones que considere la seguridad desde el diseño y acompañe todas las etapas, evitará importantes riesgos de ciberseguridad. La aplicación de estos conceptos en metodologías de desarrollo modernas como DevOps, se conoce como DevSecOps.

Potenciando el negocio con DevOps

DevOps es una metodología que viene consolidándose en los equipos de desarrollo. Es un conjunto de buenas prácticas, herramientas y metodologías que ayudan al desarrollo ágil y la colaboración entre desarrollo e infraestructura.  

Para el negocio DevOps ofrece beneficios muy interesantes como: dar respuesta rápida, menor cantidad de fallas, mayor velocidad en recuperación, facilita la escalabilidad y acompaña las necesidades de cambios ágiles en el negocio.

La capacidad de implementar aplicaciones se incrementa tanto en escala como en velocidad, mientras que las consideraciones de seguridad a menudo se pasan por alto en favor de satisfacer rápidamente la demanda de liberación de aplicaciones. DevSecOps busca equilibrar la liberación de aplicaciones de forma ágil y acompañar la demanda del negocio, sin desatender los desafíos de seguridad.

Agilidad y seguridad con DevSecOps

DevSecOps permite blindar las distintas fases de DevOps, aplicando las mejores prácticas de seguridad en cada etapa. El objetivo de DevSecOps es llevar a individuos de todas las habilidades a un alto nivel de competencia en ciberseguridad en un corto período de tiempo. La seguridad es responsabilidad de todas las personas involucradas en los distintos procesos, DevSecOps asegura que se cada uno aplique las mejores prácticas de ciberseguridad de forma automática.

DevSecOps está basado en cuatro pilares que detallamos a continuación.

  • La Ingeniería de Seguridad se enfoca en el diseño de sistemas que puedan manejar, de forma robusta el uso malicioso o inadecuado del sistema.
  • En las Operaciones de Seguridad se busca detectar, contener y disuadir a la fuente de ataques al sistema.
  • Las Operaciones de Cumplimiento aseguran que los estándares definidos se estén cumpliendo.
  • Finalmente, las Ciencias de la Seguridad se basan en aprender de la experiencia, medir y generar la capacidad de pronosticar problemas de seguridad para poder adelantarse en su resolución.

Beneficios de DevSecOps

Implementar DevSecOps incorpora varios beneficios al negocio, alguno de los más destacados son: reducción total de costos, garantiza el cumplimiento de políticas y estándares de ciberseguridad y permite generar una respuesta a incidentes de forma eficiente.

Al equipo de seguridad y desarrollo le permite: mayor velocidad de corrección y recuperación, brindar respuesta automática a incidentes de ciberseguridad y recuperación de desastres.

Para el monitoreo permite la detección de anomalías y cambios de comportamiento de los usuarios, anticipándose a inconvenientes.

En general, ayuda a generar una cultura de ciberseguridad en la organización.

DevSecOps es accesible, es de rápida implementación, transferible y reutilizable. Garantiza el cumplimiento de estándares y buenas prácticas. Integra a la seguridad en todas las fases del desarrollo ágil. En nuestra experiencia el esfuerzo de implementar DevSecOps es similar al de implementar DevOps, por lo que es preferible comenzar directamente en DevSecOps

Si en tu organización o equipo de trabajo quieren conocer más sobre DevSecOps, puedes contactarnos y conocer nuestra propuesta.