Tras la ponencia de Mdtel y LafargeHolcim, dimos paso a una centrada exclusivamente en la securización por medio de DevOps
El CISO DAY 2021 siguió con su programa y tras la ponencia de Mdtel y LafargeHolcim (resumen en este enlace) dimos paso a la siguiente charla del día. La charla en cuestión estuvo centrada en «Securizar a través de DevOps con Fastly«, la cual contó con un invitado. Dicho invitado no fue otro que Jesús Martín Oya, Director General de Fastly para Europa del Sur y Oriente Medio. En ella, trató un tema de gran interés y cuyo resumen vamos a ver en las próximas líneas.
Fastly, soluciones de computación para la nube
Pero antes de meternos en vereda, vamos a hablar un poco de Fastly y su actividad comercial. La compañía nació en 2011 con el objetivo de ayudar a extender la infraestructura de la nube y la ciberseguridad. Para ello, desde que la empresa lleva en activo, se han creado toda clase de productos con los que conseguir las metas marcadas. Gracias a su plataforma EDGE CLOUD, los desarrolladores pueden ejecutar, proteger y distribuir sitios web y app a los usuarios. Por supuesto, Fastly cuenta en sus filas con más productos y todos ellos destinados a la distribución, seguridad y entorno informático. Ahora sí, vamos con el resumen.
Securizar a través de DevOps con Fastly
En esta ocasión, algo que se repitió durante el evento en varias ocasiones, nuestro invitado no estuvo de forma presencial, sino vía streaming. Por supuesto, la ponencia fue igual de instructiva. El primer tema tratado por Jesús Martín Oya fue el origen de DevOps, comentando: -«nació para fomentar la colaboración entre los equipos de desarrollo y operaciones de cara a agilizar losmpriocesos de lanzamiento de software desde el diseño hasta el despliegue. La adopción de esta metodología se ha ido intensificando año tras año desde su nacimiento, allá por 2009. El reto actual está también en integrar la capa de seguridad como un agente activo en los ciclos de vida del software y las apps«-.
El siguiente tema tratado por Jesús Martín Oya fue la visibilidad de las aplicaciones, comentando: -«con frecuencia, en los despliegues de DevOps, las apps implicadas no proporcionan visibilidad suficiente y se crean unos puntos ciegos que comprometen su seguridad; las llamamos Cajas Negras. Esta falta de visibilidad se agrava con la adopción de componentes y frameworks. En un informe se ha analizado el código de más de 1500 organizaciones llegando a la conclusión que el 70% del código base es Open Source. Esto no es ni bueno ni malo, pero el 90% de esos componentes tienen más de 4 años, o no han tenido actividad en los últimos dos. Esto nos lleva a una vulnerabilidad de un amplio porcentaje de ellas«-.
Integraciones de DevOps en aplicaciones y Automatizaciones
Con el tema de la visibilidad tratado, el Jesús Martín Oya pasó a hablar de las Integraciones para Securizar a través de DevOps con Fastly, comentando: -«en cualquier ciclo de desarrollo DevOps, se usan decenas o centenas de aplicaciones. Los datos que arroja otro estudio de mercado nos indica que el 41% de las organizaciones reciben más de 10000 alertas diarias. De ellas, el 25% son falsos positivos. Además, se generan muchísimas falsas alertas derivadas de testeos de los propios equipos de seguridad. A esto se suma que muchas de las soluciones SIEM del mercado no son capaces de correlacionar muchas de estas alarmas. Esto nos lleva al famoso término de fatigas por alerta. Esto se soluciona integrando la seguridad como parte del ciclo de DevOps»-.
Tras esto, Jesús Martín Oya tocó el tema de la Automatización, comentando: -«es uno de los pilares de DevOps. Cuando metemos seguridad en los ciclos DevOps surgen problemas. A veces, estos ciclos de testeo deben ser manuales y provocan lentitud e inconsistencia. Debemos tratar de introducir automatización en todo el proceso: desde el testeo, hasta la respuesta, pasando por el desarrollo y la detección de ataques. Para esto, las herramientas nativas de DevOps deben integrarse con la infraestructura de desarrollo, así como con los componentes nativos Cloud sin cambiar el código base. Esto nos permitirá acelerar la detección de ataques y anomalías, y su consiguiente respuesta«-.
Paved Road, un concepto de gran importancia
Para poner fin a esta ponencia, Jesús Martín Oya de Fastly quiso hablar del concepto Paved Road, comentando: -«los equipos de desarrollo son cada vez más pequeños, o trabajamos con equipos de esta índole. Cada uno de esos equipos asume la responsabilidad de su propio código y, a veces ocurre en empresas grandes que distintos equipos trabajan con diferentes versiones, herramientas o procesos. Proteger estos entornos es cada vez más complicado. El concepto Paved Road consiste en proporcionar a los desarrolladores soluciones bien integradas para problemas de desarrollo comunes. Esto permitirá acelerar y seguir generando código/apps rápidamente con le seguridad de no ser vulnerables«-.
Jesús Martín Oya de Fastly se despidió hablando sobre la Cultura DevOps, comentando: -«históricamente, los equipos de desarrollo y seguridad tenían distintas prioridades e incentivos. Los de seguridad, por ejemplo, tenían como objetivo implementar estas políticas sin tener en cuenta a los equipos de DevOps. Esto podría producir que los de DevOps fueran más lentos ya que las apps generadas no estarían securizadas. Por otro lado, el objetivo del equipo de DevOps es generar código funcional lo más rápidamente sin considerar la seguridad. Esto no es óptimo. Debemos tratar de buscar métricas que sirvan para que ambos equipos trabajen dentro de esa cultura con un objetivo común«-.
