Un estudio de HPE Security resalta la brecha entre la percepción y la realidad de los DevOps seguros

maxresdefault

Hewlett Packard Enterprise ha publicado el Informe de Seguridad de Aplicaciones y DevOps 2016, un nuevo estudio que hace hincapié en la necesidad crítica para la integración entre la seguridad de organizaciones y equipos DevOps.

El informe HPE examina en profundidad los retos que muchas organizaciones tienen al integrar la seguridad a través de DevOps, y aporta recomendaciones para fortalecer estos programas. De acuerdo al informe, que incluye tanto respuestas cualitativas como cuantitativas de profesionales de operaciones informáticas, los líderes de seguridad, y desarrolladores, el 99% de los encuestados están de acuerdo en cuanto a que la adopción de la cultura DevOps aporta la oportunidad de mejorar la seguridad de las aplicaciones. Sin embargo, solo el 20% realizan testeo de seguridad de aplicaciones durante el desarrollo, y el 17% no utilizan ninguna tecnología que proteja sus aplicaciones, destacando una desconexión significativa entre la percepción y la realidad de los DevOps seguros.

“Nuestra investigación demuestra que tanto los líderes de seguridad como los desarrolladores creen que el movimiento DevOps tiene el potencial de mejorar significativamente la seguridad de las aplicaciones, pero las organizaciones están luchando por el momento en conocer su potencial”, ha anunciado Jason Schmitt (@raidschmitt), vicepresidente y manager de HPE Security Fortify,  Hewlett Packard Enterprise. “Entendiendo el estado de los DevOps y su mejor práctica para integrar la seguridad en el desarrollo de la cultura, las organizaciones pueden asegurar con éxito la seguridad del software en este nuevo mundo DevOp sin impedir la velocidad y agilidad que proporciona”.

Observaciones clave

Los DevOps presentan una gran promesa para asegurar el desarrollo del software, ya que las organizaciones pueden potencialmente encontrar y remediar las vulnerabilidades con mayor frecuencia y al principio del ciclo de vida de la aplicación, ahorrando costes y tiempo. Sin embargo, el Informe de Seguridad de Aplicaciones y DevOps 2016 encontró barreras y huecos que preveían a las organizaciones integrar con éxito seguridad y DevOps, incluyendo:

  • Barreras organizacionales entre profesionales de la seguridad y desarrolladores. El informe refleja una desconexión significante entre los desarrolladores y los equipos de seguridad – y en algunos casos, los encuestados admiten ni siquiera conocer a sus equipos de seguridad. Esto llevó al 90% de los profesionales de seguridad encuestados a afirmar que integrar la seguridad de las aplicaciones es cada vez más difícil desde que las organizaciones despliegan sus DevOps.
  • Falta de conciencia de seguridad, énfasis y entrenamiento para desarrolladores. Más de 100 de las ofertas de trabajo para desarrolladores de software en compañías de Fortune 1000 no especificaban experiencia en seguridad o codificación de seguridad o conocimiento de éstas como requisitos para el trabajo.
  • Escasez de talento en seguridad de las aplicaciones. Por cada 80 desarrolladores en las organizaciones encuestadas, solo hay un profesional en seguridad de las aplicaciones. Esta falta de personal de seguridad, junto con el incremento cada vez más rápido del círculo de desarrollo hacen el desarrollo seguro cada día más difícil.

“Adoptar un proceso DevOps puede ayudar a que las aplicaciones sean más seguras, ya que el ambiente del desarrollo y producción se crean en la misma manera y en los mismos estándares de seguridad y ensayo” ha afirmado John Meakin, directivo del Grupo de Seguridad de la Información de Burberry (@Burberry). “Sin embargo, requiere un compromiso en toda la organización para priorizar la seguridad, e incorporar más soluciones automáticas de prueba que hagan más sencillo reunir feedback en tiempo real y remediar las vulnerabilidades por todo el proceso de desarrollo”.

Recomendaciones para el desarrollo de aplicaciones seguras

Ya que las organizaciones continúan adoptando la cultura DevOp, el informe ofrece recomendaciones para derribar las barreras para el desarrollo de aplicaciones seguras, e integrar mejor la seguridad con los equipos DevOps, incluyendo:

  • La seguridad debe ser compartida como una responsabilidad en toda la organización para eliminar barreras. La seguridad debe estar vinculada en todas las etapas del proceso de desarrollo, con apoyo ejecutivo y en métricas para mantener los equipos en cuenta en el desarrollo seguro. Estas métricas se deben centrar en mean-time-to-triage (MTTT), mean-time-to-fix (MTTF), y el cumplimiento del programa.
  • Conciencia del puente, el enfoque, y deficiencias de formación que permitan a los desarrolladores una práctica segura del desarrollo continua y más intuitiva. Las organizaciones deben integrar herramientas de seguridad en el ecosistema de desarrollo, como HPE Fortify Security Assistant, que permita a los desarrolladores encontrar y solucionar vulnerabilidades en tiempo real a la vez que programan. Esto facilita y desarrolla en seguridad de forma más eficiente, educando a los desarrolladores en programación segura durante el proceso.
  • Aprovechamiento de automatización y análisis como multiplicadores de la fuerza de seguridad de aplicaciones. Las organizaciones deben aprovechar la automatización de nivel empresarial con la seguridad de aplicaciones analíticas incorporadas, tales como la capacidad de aprendizaje de HPE Fortify Scan Analytics, para automatizar el proceso de auditoría de pruebas de seguridad de aplicaciones y permitir que sus profesionales de la seguridad de aplicaciones se centren exclusivamente en los riesgos de mayor prioridad. Esto reduce el número de problemas de seguridad que requieren revisión manual, ahorrando tiempo y recursos, mientras que reduce los riesgos globales

El recientemente lanzado Ecosistema HPE Fortify permite a las organizaciones integrar la seguridad de forma completa en la cadena de herramientas DevOps permitiendo a los desarrolladores probar y asegurar aplicaciones de forma continua e intuitiva durante el ciclo de vida del desarrollo de software.

 

 

 

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *