La seguridad no es un aspecto secundario, sino una función permanente

Escudo de seguridad
Jump to section

La seguridad suele incorporarse como un aspecto secundario, del que se encargan los equipos de TI y de operaciones al final del ciclo de vida del desarrollo. Esta metodología resulta factible cuando se realizan actualizaciones de software una o dos veces al año. Pero cuando los desarrolladores de software comienzan a optar por ciclos de vida del desarrollo más cortos y ágiles que toman pocos días o incluso unas horas, este enfoque sobre la seguridad obstaculiza el lanzamiento de las actualizaciones necesarias o de las aplicaciones a la producción.

"A medida que las iniciativas de DevSecOps se trasladan a la nube, las cuatro áreas principales de interés incluyen: la seguridad de los datos (45 %), la gestión de la seguridad de la nube (36 %), los riesgos de seguridad de la cadena de suministro (33 %) y la protección de los recursos de la nube pública (29 %)"1.

45 %36 %33 %29 %

Seguridad de datos

Gestión de seguridad de nube

Riesgos de seguridad en suministros

Seguridad de la nube pública

Cuando se adoptan y se integran las prácticas de DevSecOps en una etapa temprana del ciclo de vida del desarrollo de la aplicación, los equipos de TI y de seguridad pueden abordar los desafíos de las personas, los procesos y las tecnologías más rápidamente; y se incorpora la seguridad de manera constante e integral en todo el ciclo de vida del desarrollo. Esta manera ágil de trabajar permite aumentar la velocidad y la eficiencia, reducir los errores humanos y mejorar la seguridad, el cumplimiento normativo, la uniformidad, la capacidad de repetición y la colaboración.

Todas estas iniciativas juntas disminuyen los riesgos, y permiten que las empresas respeten los estándares de seguridad del sector sobre el cumplimiento normativo. Pero ¿cómo se logra?2>

La importancia de DevSecOps

Con DevSecOps, se puede aumentar la velocidad
de forma más segura

Escudo de seguridad

A medida que las empresas ejecutan cada vez más cargas de trabajo en los entornos híbridos, como los servidores dedicados (bare metal), las máquinas virtuales y las nubes públicas y privadas, enfrentan problemas de seguridad y cumplimiento cada vez más complejos y desafiantes. El distribuir los datos en las cargas de trabajo agrega una capa de complejidad a los desafíos actuales de seguridad tal como la seguridad de los contenedores, las amenazas internas, o el malware.

El enfoque de DevSecOps hace posible el que los equipos de TI y de seguridad aborden los problemas de las personas, los procesos y las tecnologías. Más específicamente, permite:

  • Mejorar la seguridad y disminuir los riesgos, gracias a la eliminación de los puntos vulnerables en una etapa temprana del ciclo de vida del desarrollo y de la infraestructura de las aplicaciones
  • Aumentar la eficiencia y la velocidad de los ciclos de lanzamiento de DevOps, con la eliminación de las prácticas y las herramientas de seguridad heredadas, y el uso de la automatización y la estandarización
  • Disminuir los riesgos y aportar claridad, gracias a la implementación de puntos de seguridad desde el comienzo del ciclo de vida del desarrollo y de la infraestructura de las aplicaciones

Los equipos de seguridad no solo necesitan reducir los riesgos, sino que también deben poder gestionar los problemas de seguridad y cumplimiento normativo de varios proveedores de nube y de los estándares de TI que cambian rápidamente. Por ende, para lograr la seguridad de la nube híbrida, es fundamental la participación y la colaboración de los equipos en toda la empresa.

"Los equipos de DevOps que asumen una mayor responsabilidad sobre la seguridad en colaboración con los grupos encargados de mantenerla demuestran tener un enfoque más consolidado de DevSecOps. La clave está en compartir la responsabilidad entre los equipos de desarrollo, de operaciones de TI y de seguridad de la información"2.

El open source y los estándares abiertos son la base fundamental de nuestra estrategia de nube híbrida, ya que su naturaleza abierta posibilita el traslado de las aplicaciones y los datos de un entorno a otro de manera uniforme. Sin embargo, el uso de un software comunitario sin la debida gestión puede exponer a las empresas a los ataques.

Nuestra oferta de seguridad para la nube híbrida abierta y DevSecOps abarca soluciones confiables y centradas en la seguridad, que permiten que las empresas se concentren en diseñar, gestionar y controlar sus entornos híbridos, implementar una estrategia de automatización y desarrollar aplicaciones sólidas con las prácticas de DevSecOps.

El enfoque de Red Hat sobre DevSecOps

Integración frecuente y constante de las prácticas de DevSecOps
desde el inicio del ciclo de vida del desarrollo de las aplicaciones

DevSecOps es fundamental para las empresas que buscan desarrollar aplicaciones rápidamente sin comprometer la seguridad, pero no abarca solamente el ciclo de vida de las aplicaciones. Nuestro enfoque integra la seguridad en cada fase del ciclo de vida y en la pila de tecnología, junto con el ecosistema de partners de Red Hat.

Diseño de la nube híbrida centrada en la seguridad

La implementación exitosa de DevSecOps comienza antes del proceso de desarrollo de la aplicación. El primer paso para las empresas es asegurarse de que sus aplicaciones e infraestructura se ejecuten en un software con herramientas y funciones de seguridad integradas.

Los sistemas de software open source de Red Hat se desarrollan con un proceso de seguridad de la cadena de suministro de software, que brinda la protección necesaria tanto para trasladar las cargas de trabajo a cualquier entorno que sea más conveniente para su empresa, como para reducir los puntos vulnerables y la exposición a los ataques. Red Hat también incluye el análisis estático del código fuente, la procedencia del software, las pruebas exhaustivas de regresión y garantía de calidad, el fortalecimiento, la distribución a través de un canal protegido y las actualizaciones permanentes de seguridad para todos los paquetes de sus productos.

Red Hat Enterprise Linux® ofrece la base de seguridad desde la cual los clientes pueden ampliar las aplicaciones esenciales con confianza, e implementar las tecnologías nuevas con uniformidad en los entornos virtuales, de servidores dedicados (bare metal), de contenedores y de cualquier tipo de nube.

Los productos subyacentes que se ejecutan con esa base, como Red Hat OpenShift®, heredan las tecnologías de seguridad de Red Hat Enterprise Linux. Red Hat distribuye el mismo contenido de confianza de Linux como contenedores de Linux. Gracias a las imágenes de base universales de Red Hat, los clientes pueden aprovechar la mayor confiabilidad, las funciones de seguridad y el rendimiento de las imágenes de contenedores que ofrece Red Hat, sin importar dónde se ejecuten los contenedores de Linux compatibles con la Open Container Initiative (OCI).

Gestión y control de la nube híbrida centrada en la seguridad

Una de las mejores maneras de gestionar y controlar un entorno híbrido (que incluye entornos tradicionales y en contenedores), para poder ajustar su tamaño según sea necesario, es utilizar una estrategia de automatización uniforme en el desarrollo de las aplicaciones y en las operaciones de seguridad y de infraestructura, lo cual permite que las empresas mejoren la seguridad y el cumplimiento normativo.

Ilustración de un hombre con una computadora

La seguridad en el desarrollo de las aplicaciones con las prácticas de DevSecOps

Una vez que las empresas hayan mejorado la seguridad mediante el diseño de la nube híbrida sobre una base con seguridad integrada, y que hayan implementado una estrategia de automatización uniforme para gestionar y controlar los entornos híbridos, deberán extender la automatización al ciclo de vida de las aplicaciones y adoptar las prácticas de DevSecOps en una etapa temprana del proceso de desarrollo e infraestructura, para seguir enfocándose en la seguridad.

45 %

"El 45 % de los encuestados identificaron como un factor principal la agilización del desarrollo y de la implementación, sin sacrificar la seguridad"3.

Con DevSecOps y las soluciones de Red Hat, los clientes podrán incorporar la seguridad en una etapa temprana del desarrollo, así como implementar y ejecutar las aplicaciones utilizando las prácticas de DevSecOps en los entornos tradicionales y en contenedores. No se trata solamente de un cambio en la tecnología, sino también en la cultura y en el proceso de las personas.

55 %

"El 55 % de los líderes de DevSecOps indicaron que fue fundamental diseñar una cultura de responsabilidad compartida entre los equipos de desarrollo de las aplicaciones y de seguridad"4.

Junto a nuestros partners ofrecemos herramientas y servicios para diseñar un ecosistema integral de DevSecOps, así como la experiencia y la capacidad para proporcionar una cartera sólida de productos que permiten diseñar, implementar y ejecutar aplicaciones centradas en la seguridad en la nube híbrida abierta. Los beneficios, tanto para su empresa como para sus clientes, son los procesos mejorados, el desarrollo rápido de las aplicaciones sin comprometer la seguridad, una cultura de colaboración y la reducción de los riesgos.

Ilustración de una persona con una computadora

Artículos relacionados

Informe de IDC: DevSecOps

DevSecOps

Descubra cómo el marco de DevSecOps de Red Hat proporciona una base sólida y con capacidad de ajuste que le permite ampliar la seguridad de DevOps y reducir los riesgos.

Lea el artículo de DevOps

DevOps

Conozca el motivo por el que debería elegir Red Hat para adoptar DevSecOps.

1: Whitepaper de IDC, patrocinado por Red Hat. "DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes". #US48346521, página 6, diciembre de 2021.

2: Whitepaper de IDC, patrocinado por Red Hat. "DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes". #US48346521, página 4, diciembre de 2021.

3: Whitepaper de IDC, patrocinado por Red Hat. "DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes". #US48346521, página 5, diciembre de 2021.

4: Whitepaper de IDC, patrocinado por Red Hat. "DevSecOps: Critical Risk Reduction Leads to Better Business Outcomes". #US48346521, página 15, diciembre de 2021.