Cuando hablamos específicamente de DevSecOps hacemos alusión a una filosofía de desarrollo que promueve la adopción de la seguridad en todo el ciclo de vida del desarrollo del software. Además, ésta favorece la automatización de la seguridad, la escalabilidad y la comunicación; y se caracteriza por ser un enfoque que incluye a todos los equipos involucrados en el SDLC, como Desarrollo, Operaciones y Seguridad.
El modelo DevSecOps integra la capa de seguridad desde un principio dentro de la metodología DevOps y, además, establece que tanto el personal de operaciones como los desarrolladores deben ocuparse desde el primer día de la seguridad. De esta manera, lo que logran es reducir la cantidad de revisiones y correcciones una vez que se lanza una aplicación, mejorar la rentabilidad, evitar errores y fallos; e incrementar la fidelidad y satisfacción de los clientes.
DevSecOps: Más conciencia, pero todavía falta
Las empresas más grandes del mundo ya han tomado nota de la importancia de este enfoque. Por eso, muchas de ellas embebieron la seguridad en casi todos sus procesos, con desarrolladores que se involucran y son partícipes del asunto.
No obstante, todavía es necesario un cambio cultural. Hay que tener en cuenta que DevSecOps opera en diferentes niveles (tecnológico, cultural, de procesos, de flujo de trabajo) y, muchas veces, éstos no están desarrollados a la misma altura, con la misma profundidad. Cada área evalúa su desempeño con indicadores distintos y no se trabaja en conjunto para el objetivo más importante, que es liberar software de manera más rápida y ágil.
Una empresa que escriba un código está obligada a invertir en seguridad, ya que, de no hacerlo, un hackeo – cada vez más comunes- podría representarle pérdidas de millones de dólares o quizás, algo que es peor, perder reputación o credibilidad. Basta solo un “ataque” para que los clientes dejen de confiar en la seguridad de un producto o servicio. Podríamos nombrar los casos de las billeteras virtuales o las Fintech.
Por eso muchas compañías prefieren llamarse a silencio cuando son hackeadas o vulneran sus sistemas de seguridad. Por miedo a perder clientes. Así mantienen esa sensación de seguridad.
Si bien se ha avanzado mucho al respecto y hay más conciencia en el ambiente, todavía resta mucho trabajo por hacer al respecto.
