Development, Security & Operations – DevSecOps – se trata de una práctica tanto cultural como técnica. Busca remover las barreras y abrir la colaboración entre las áreas de desarrollo, seguridad, y operaciones, utilizado la automatización para enfocarse en la entrega rápida y frecuente de infraestructura segura y de software a la producción.
Abarca desde la admisión hasta la liberación del software, y gestiona esos flujos de forma predecible, transparente, y con un mínimo de esfuerzo e intervención humana
Build,
Code,
Plan,
Test.
Release,
Deploy,
Operate,
Monitor.
Static Analysis,
Threat Modeling Policies,
Code Review,
Penetration Testing,
Compliance Validation,
Recover,
Response,
Detect,
Monitor,
Threat Intelligence,
Audit,
Log.
Beneficios de nuestro Servicio de DevSecOps
- Optimiza tiempos y esfuerzos en el paso a producción de piezas y proyectos de desarrollo de software, lo cual aporta a la mejora de costos finales.
- Promueve cambios organizacionales definidos a partir de un acabado entendimiento de la organización.
- Evalúa y mejora continuamente las prácticas de seguridad en desarrollo software, a través de la obtención de indicadores de gestión relevantes para medir la eficiencia basado en la agilidad.
- Construye un programa de seguridad en software balanceado en iteraciones bien definidas y a corde con los objetivos estratégicos del negocio, apoyando a los agentes internos precursores de la transformación ágil, a llevarla a cabo de forma gradual y duradera.
- Demuestra mejoras concretas en el programa de aseguramiento de software, para cumplimiento normativo exigido según el rubro al que pertenece su organización.
- Disminuye sistemáticamente el número de vulnerabilidades en sistemas productivos y de esta forma reduce brechas de seguridad.
Integración de Metodología Scrum con DevSecOps
De forma general, nuestra metodología de transformación ágil se basa principalmente en lo propuesto por el Marco de trabajo Scrum, y busca en primer lugar, lograr un entendimiento sobre cómo funciona cada organización, su cadena de valor y objetivos estratégicos en el alcance de los procesos relacionados al Ciclo de Vida del Desarrollo del Software (SDLC). A partir de esto buscamos cumplir los siguientes objetivos:
- Generar o reforzar la adopción de una cultura de gestión ágil basada en metodologías internacionalmente reconocidas en este ámbito.
- Definir parámetros de gestión a medida de cada organización y flujos comunicacionales necesarios para fomentar la gestión ágil de los requerimientos tecnológicos de bajo, mediano y alto impacto, asociados a sus desarrollos en cualquiera de las fases de su ciclo de vida.
- Acompañamiento en la adopción de una metodología de gestión ágil, que permita optimizar la resolución de los requerimientos tecnológicos de la organización y que se mantenga en el tiempo.
Ahora bien, para concertar las acciones en el proceso de desarrollo ágil de software, es necesario incorporar una metodología alineada con los principios de la metodología Scrum, y además para integrar la seguridad en el proceso de desarrollo y que ésta no sea una etapa aislada se emplea DevSecOps (Development, Security & Operations), de esta forma la seguridad se convierte en un requisito más en el flujo de desarrollo y entrega, siendo algo que se tiene en cuenta como prioridad y todo el equipo lo mantiene en mente.
¿Cómo medir el nivel de seguridad del proceso DevSecOps?
La mejora constante de proceso DevSecOps, radica en la aplicación gradual de las mejores prácticas, controles y utilización de herramienta que permitan una elevación consistente en los niveles de madurez de la organización en estas materias. Un punto importante para lograr este objetivo es promover la cultura de seguridad en las personas que componen el equipo a lo largo de todo el proceso de desarrollo.
Para mantener vivo el proceso y en una mejora continua, se requiere una medición constante del mismo que permita reforzar y optimizar controles, para ello, OWASP (Open Web Application Security Project) propone la guía DevSecOps que se compone de 5 niveles de madurez dimensionado de la siguiente manera:
Prueba nuestro servicio DevSecOps
Ponemos a tu disposición una mesa de trabajo consultiva de 2 horas gratuitas con nuestros especialistas en DevSecOps, donde podrás obtener un plan de trabajo adaptado a las necesidades de tu organización.
