Cómo los profesionales de DevOps pueden convertirse en campeones de la seguridad

| |

COMPARTE EL ARTÍCULO!!!

Derribar silos y convertirse en un campeón de la seguridad le ayudará a usted, a su carrera y a su organización.

La seguridad es un elemento malentendido en DevOps. Algunos lo ven como fuera del ámbito de DevOps, mientras que otros lo encuentran lo suficientemente importante (y pasado por alto) como para recomendar que se mude a DevSecOps. No importa cuál sea su perspectiva sobre el lugar al que pertenece, está claro que la seguridad afecta a todo el mundo.

Cada año, las estadísticas sobre la piratería informática se vuelven más alarmantes. Por ejemplo, hay un ataque de hacker cada 39 segundos, lo que puede llevar a que le roben registros, identidades y proyectos propietarios que está escribiendo para su empresa. Puede tomar meses (y posiblemente para siempre) para que su equipo de seguridad descubra quién, qué, dónde o cuándo está detrás de un hacker.

¿Qué pueden hacer los profesionales de operaciones para resolver estos graves problemas? Digo que es hora de que formemos parte de la solución convirtiéndonos en campeones de la seguridad.

Silos y guerras de territorios

A lo largo de mis años de trabajar codo con codo con mis equipos locales de seguridad informática (ITSEC), he notado muchas cosas. Uno grande es que la tensión es muy común entre DevOps y la seguridad. Esta tensión casi siempre proviene de los esfuerzos del equipo de seguridad para protegerse contra las vulnerabilidades (por ejemplo, estableciendo reglas o desactivando cosas) que interrumpen el trabajo de DevOps y dificultan su capacidad para desplegar aplicaciones rápidamente.

Tú lo has visto, yo lo he visto, todos los que conoces en el campo tienen al menos una historia al respecto. Un pequeño grupo de rencores se convierte en un puente quemado que lleva tiempo reparar, o los grupos comienzan una pequeña guerra de territorio, y los silos resultantes hacen improbable el logro de los DevOps.

Obtener una nueva perspectiva

Para tratar de romper estos silos y poner fin a la guerra de territorios, hablo con al menos una persona de cada equipo de seguridad para conocer los pormenores de las operaciones diarias de seguridad en nuestra organización. Comencé a hacer esto por curiosidad general, pero he continuado porque siempre me da una nueva y valiosa perspectiva. Por ejemplo, me he enterado de que por cada despliegue que se detiene debido a un fallo de seguridad, el equipo de ITSEC está tratando febrilmente de arreglar otros 10 problemas que ve. Su descaro y rapidez de reacción se deben al poco tiempo que tienen para arreglar algo antes de que se convierta en un gran problema.

Considere la inmensa cantidad de conocimiento que se necesita para encontrar, analizar y deshacer lo que se ha hecho. O para averiguar qué está haciendo el equipo de DevOps -sin información de fondo- y luego replicarlo y probarlo. Y para hacer todo esto con su habitual equipo de seguridad, muy escaso de personal.

Esta es la vida diaria de su equipo de seguridad, y su equipo de DevOps no lo está viendo. El trabajo diario de ITSEC puede significar horas extras y exceso de trabajo para asegurar que la empresa, sus equipos y el trabajo propio que sus equipos están produciendo sean seguros.

Formas de ser un campeón de seguridad

Aquí es donde ser su propio campeón de seguridad puede ayudar. Esto significa que, para todo lo que trabajas, debes examinar detenidamente todas las formas en que alguien puede iniciar sesión en él y lo que se puede sacar de él.

Ayude a su equipo de seguridad a ayudarle. Introduzca herramientas en sus tuberías para integrar lo que usted sabe que funcionará con lo que ellos saben que funcionará. Empiece con cosas pequeñas, como leer sobre Vulnerabilidades y Exposiciones Comunes (CVEs) y agregar funciones de escaneo a sus tuberías de CI/CD. Para todo lo que construya, existe una herramienta de escaneo de código abierto, y la adición de pequeñas herramientas de código abierto (como las que se muestran a continuación) puede hacer un gran esfuerzo a largo plazo.

Herramientas de escaneado de contenedores:

  • Motor de anclaje
  • Clair
  • Vuls
  • OpenSCAP

Herramientas de exploración de código:

  • OWASP SonarQube
  • Buscar errores de seguridad
  • Proyecto Google Hacking Diggity

Herramientas de seguridad de Kubernetes:

  • Proyecto Calico
  • Cazador de cúbicos
  • NeuVector

Mantenga su sombrero DevOps puesto

Aprender sobre nuevas tecnologías y cómo crear nuevas cosas con ellas es parte del trabajo si tu estás en un rol relacionado con DevOps. La seguridad no es diferente. Esta es mi lista de formas de mantenerme al día en el frente de la seguridad al mismo tiempo que dejo su sombrero de DevOps puesto.

  • Lea un artículo cada semana sobre algo relacionado con la seguridad en lo que sea que esté trabajando.
  • Visite el sitio web de CVE semanalmente para ver qué hay de nuevo.
  • Intenta hacer un hackathon.Algunas compañías hacen esto una vez al mes; revisa el sitio de Beginner Hack 1.0 si el tuyo no lo hace y te gustaría aprender más.
  • Trate de asistir por lo menos a una conferencia de seguridad al año con un miembro de su equipo de seguridad para ver las cosas desde su punto de vista.

Ser un campeón para siempre

Hay varias razones por las que deberías convertirte en tu propio campeón de seguridad. Lo primero y más importante es ampliar tus conocimientos y avanzar en tu carrera. La segunda razón es ayudar a otros equipos, fomentar nuevas relaciones y romper los silos que dañan a su organización. La creación de amistades en toda la organización tiene múltiples beneficios, entre los que se incluye dar un buen ejemplo de cómo unir equipos y animar a la gente a trabajar juntos. También fomentará el intercambio de conocimientos en toda la organización y proporcionará a todos un nuevo contrato de seguridad y una mayor cooperación interna.

En general, ser un campeón de seguridad lo llevará a ser un campeón del bien en toda su organización.

COMPARTE EL ARTÍCULO!!!

Previous

21 entusiastas del hardware abierto para seguir en Twitter

¿El hardware de diseño abierto tiene cabida en la fabricación?

Next

Deja un comentario

shares