DevOps, o la mezcla de equipos de desarrollo de aplicaciones y sistemas operativos de una empresa, se ha convertido en un tema de moda de TI. El nuevo modelo operativo se emplea a menudo en combinación con métodos ágiles de desarrollo de software y aprovecha la escalabilidad de la computación en la nube, todo con el interés de que las empresas sean más ágiles y competitivas. Pero, según un experto, el enfoque como se practica normalmente hoy no va lo suficientemente lejos.
David Cearley, analista de Gartner Inc., cree que los directores de TI de hoy en día necesitan revisar DevOps para incluir la seguridad. Él lo llama DevSecOps. "Es desarrollo, es seguridad, es operaciones que operan como una fuerza dinámica para crear soluciones", dijo.
Invertir en firewalls y defensa del perímetro no es malo en sí, dijo Cearley. Pero con brechas de alto perfil en Target, Home Depot y Sony que dejaron a estas organizaciones (entre otras) con los ojos negros, está claro que simplemente guardar las fronteras no es suficiente. Al añadir seguridad a un programa DevOps, los CIO y sus equipos se verán obligados a pensar en la seguridad de una manera más granular, al comienzo del proceso de desarrollo de software, en lugar de como una idea tardía.
Añadir seguridad en DevOps, en el lenguaje clásico de TI, resulta ser un problema de gente y procesos más que un problema de tecnología. Para muchas organizaciones, estos equipos trabajan en armarios separados "que ni siquiera tienen una pared común entre ellos", dijo Cearley. Aún así, poner a todos en la misma habitación será más fácil que poner a todos en la misma página. Por suerte, la mayoría de las empresas tienen una persona idónea para romper las barreras culturales y exigir que la seguridad se convierta en una las mejores prácticas de DevOps, argumentó Cearley: el CIO.
"El CIO es el único [que] está en condiciones de hacer algo al respecto, porque el equipo de seguridad le reporta a él, el equipo de operaciones le reporta él, el equipo de aplicaciones le reporta a él y el equipo de arquitectura le reporta a él", dijo. "El CIO es el líder, el CIO tiene que dirigir a su equipo para decir: ‘Si no trabajan juntos, vayan a buscar trabajo en otro lugar’”.
Enfrentar los "prejuicios e ideas preconcebidas" de los equipos de cómo se debe hacer este trabajo será uno de los mayores retos del CIO, dijo Cearley. "El CIO les está pidiendo repensar eso”. ¿Una sugerencia? En lugar de aceptar informes por separado sobre el desarrollo de aplicaciones, las operaciones y la seguridad, los CIO deben reforzar la importancia de la colaboración, exigiendo un "enfoque unificado para la forma en que vamos a poder desarrollar, asegurar, operar y administrar los servicios que estamos entregando a nuestros usuarios", dijo.
Cearley también recomendó que los CIO dirijan la conversación lejos de la seguridad frente al riesgo, lo que puede ayudar a TI a integrar mejor la perspectiva de negocios en el proceso. "Si usted comienza con la seguridad, el foco se vuelve qué herramientas se necesitan para obtener la máxima seguridad. Lo siento, pero ese es el enfoque equivocado", dijo Cearley. "Hay que empezar con el riesgo”. Al mantener el enfoque en el riesgo, los CIO ayudarán a la empresa a comprender cómo TI puede contribuir a entrar a un nuevo mercado o experimentar con un nuevo tipo de análisis, así como la forma en que TI puede reducir al mínimo los peligros potenciales de hacerlo.