+ INFORMACIÓN

¡Comparte en redes sociales!

SecDevOps y la seguridad en el SDLC

SecDevOps

La implantación del movimiento DevOps ha supuesto un avance en los procesos de desarrollo de software y su implantación. El cada vez más exigente “Time To Market” surge de la necesidad de que la calidad y la agilidad en el Ciclo de Vida de Desarrollo de Software estén cada vez más unidos, y por ello la solución idónea es la automatización de todas las fases de construcción y testeo del código; o lo que es lo mismo la Integración Continua (CI).

Esta filosofía es cada vez más importante y deja entrever la madurez durante el desarrollo de proyectos, pero todavía hay un principio clave que añadir a este proceso: la seguridad. Por lo que el término se convierte en SecDevOps. En resumen, Aplicar DevOps le permite mejorar sus tiempos de implementación de nuevos servicios y funcionalidades.

Siguiendo el ciclo de vida de DevOps, el equipo de seguridad comenzaría a aplicar sus controles en una de las últimas fases, más concretamente en la fase de Despliegue, demasiado tarde si tenemos en cuenta que se encontrarán fallos y el equipo de desarrollo debe solucionarlos en un corto plazo para sacar adelante la nueva versión, por ello en muchas ocasiones nos encontramos con retrasos en los tiempos de entrega y yendo en contra de la filosofía Agile y DevOps.

Secdevops Seguridad

Por estos motivos, si implementamos desde la fase de planificación (Security By Design), y subsanamos los defectos antes de la fase de desarrollo, reducimos los costes de corregir las vulnerabilidades en fases de producto más avanzadas. Pero, vamos a hacer mayor zoom a cada una de las fases y las pruebas de seguridad aplicables en cada una de ellas:

  • Planificación: Siendo la fase más temprana del desarrollo, optamos por analizar el tipo de amenazas que se puede encontrar el proyecto, ataques a la autenticación de usuarios, la exposición de servicios críticos y la versión que se usa, el cifrado, etc.
  • Programación: El responsable del proyecto debe encargarse de que el equipo de desarrollo mantiene los problemas que pudieran existir de seguridad y hagan uso de las buenas prácticas y guías disponibles para el desarrollo seguro. Antes de pasar a la siguiente fase podemos realizar un análisis estático de código.
  • Testing: como en cualquier otro desarrollo, llevamos a cabo las pruebas funcionales, unitarias y de integración. Diseñando casos de uso específicos para la seguridad.
  • Empaquetado: En la fase de empaquetado analizaremos las librerías externas e imágenes (en caso de usar contenedores) en busca de problemas de seguridad que no recaigan sobre nuestro proyecto.
  • Lanzamiento: La centralización y el uso de repositorios que dispongan de control de versiones. (GIT, Gitlab, Azure DevOps…)
  • Despliegue: Previamente al despliegue de la aplicación en los servidores de producción, la desplegaremos sobre un entorno privado para testear nuevamente la seguridad de la aplicación.
  • Operación: Ya está en funcionamiento. Es el turno de asegurarnos de la seguridad de la aplicación mediante una auditoria de seguridad o pentesting.
  • Monitorización: Nunca dejamos de hacer pruebas de seguridad, la tecnología avanza y los ciberdelincuentes detectan a diario nuevas fallas que ponen en riesgo la integridad de muchas de las tecnologías usadas diariamente. En esta fase hacemos un seguimiento de la aplicación para detectar posibles vulnerabilidades y ataques.

La democratización de la ciberseguridad es uno de nuestros pilares fundamentales, incluyéndolo en los procesos de desarrollo de software o en cualquier otro punto relacionado con las nuevas tecnologías. En Auditech apostamos por fomentar una política de Seguridad por defecto, donde toda la organización tenga en cuenta estos conceptos. Siempre optar por la implantación temprana como SecDevOps.

En la EIP International Business School encontrarás la formación que buscas, actualizada y de calidad. Solicítanos ahora información para conocer más sobre nuestro Máster en Ciberseguridad.

Suscríbete a nuestra newsletter para estar al día de todas las novedades

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.
Master Ciberseguridad Máster Profesional

Deja un comentario

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.