Noticias
La importancia de alinear la seguridad y los entornos DevOps
El Informe de Seguridad de Aplicaciones y DevOps 2016 promovido por Hewlett Packard Enterprise examina los retos que muchas organizaciones tienen al integrar la seguridad a través de DevOps.
El Informe de Seguridad de Aplicaciones y DevOps 2016 promovido por Hewlett Packard Enterprise examina los retos que muchas organizaciones tienen al integrar la seguridad a través de DevOps y aporta recomendaciones para fortalecer estos programas.
De acuerdo con el estudio, que incluye tanto respuestas cualitativas como cuantitativas de profesionales de operaciones informáticas, líderes de seguridad y desarrolladores, el 99% de los encuestados confirma que la adopción de la cultura DevOps aporta la oportunidad de mejorar la seguridad de las aplicaciones. Sin embargo, solo el 20% realizan análisis de seguridad de aplicaciones durante el desarrollo y el 17% no utilizan ninguna tecnología que proteja sus aplicaciones, destacando una desconexión significativa entre la percepción y la realidad de los DevOps seguros.
Jason Schmitt, vicepresidente y director de HPE Security Fortify de Hewlett Packard Enterprise, considera que «nuestra investigación demuestra que tanto los líderes de seguridad como los desarrolladores creen que el movimiento DevOps tiene el potencial de mejorar significativamente la seguridad de las aplicaciones, pero las organizaciones están luchando por el momento en conocer su potencial”.
Los DevOps representan una gran promesa a la hora de asegurar el desarrollo del software, ya que las organizaciones pueden potencialmente encontrar y remediar las vulnerabilidades con mayor frecuencia y al principio del ciclo de vida de la aplicación, ahorrando costes y tiempo. Sin embargo, el Informe de Seguridad de Aplicaciones y DevOps 2016 encontró barreras y huecos como:
Barreras organizativas entre profesionales de la seguridad y los desarrolladores
El informe refleja una desconexión significante entre los desarrolladores y los equipos de seguridad (en algunos casos, los encuestados admiten ni siquiera conocer a sus equipos de seguridad). Esto llevó al 90% de los profesionales de seguridad encuestados a afirmar que integrar la seguridad de las aplicaciones es cada vez más difícil desde que las organizaciones despliegan sus DevOps.
Falta de conciencia de seguridad, énfasis y entrenamiento para desarrolladores
Más de 100 de las ofertas de trabajo para desarrolladores de software en compañías de Fortune 1000 no especificaban experiencia en seguridad o codificación de seguridad o conocimiento de éstas como requisitos para el trabajo.
Escasez de talento en seguridad de las aplicaciones
Por cada 80 desarrolladores en las organizaciones encuestadas, sólo hay un profesional en seguridad de las aplicaciones. Esta falta de personal de seguridad, junto con el incremento cada vez más rápido del círculo de desarrollo hacen el desarrollo seguro cada día más difícil.
Como recuerda John Meakin, directivo del Grupo de Seguridad de la Información de Burberry, “adoptar un proceso DevOps puede ayudar a que las aplicaciones sean más seguras. Sin embargo, requiere un compromiso en toda la organización para priorizar la seguridad e incorporar más soluciones automáticas de prueba que hagan más sencillo reunir feedback en tiempo real y remediar las vulnerabilidades por todo el proceso de desarrollo”.
Desarrollo de aplicaciones seguras
Ya que las organizaciones continúan adoptando la cultura DevOp, el informe ofrece recomendaciones para derribar las barreras para el desarrollo de aplicaciones seguras e integrar mejor la seguridad con los equipos DevOps, incluyendo:
– La seguridad debe ser compartida como una responsabilidad en toda la organización para eliminar barreras. Debe estar vinculada en todas las etapas del proceso de desarrollo, con apoyo ejecutivo y en métricas para mantener los equipos en el desarrollo seguro. Estas métricas se deben centrar en mean-time-to-triage (MTTT), mean-time-to-fix (MTTF) y el cumplimiento del programa.
– Los desarrolladores adoptarán una práctica segura del desarrollo continua y más intuitiva. Las organizaciones deben integrar herramientas de seguridad en el ecosistema de desarrollo como HPE Fortify Security Assistant, que permite encontrar y solucionar vulnerabilidades en tiempo real a la vez que se programa.
– Aprovechamiento de la automatización y el análisis como multiplicadores de seguridad de las aplicaciones. Las organizaciones deben aprovechar la automatización de nivel empresarial con la seguridad de aplicaciones analíticas incorporadas, tales como la capacidad de aprendizaje de HPE Fortify Scan Analytics, que automatiza el proceso de auditoría de pruebas de seguridad de aplicaciones y permite que los profesionales de la seguridad de aplicaciones se centren exclusivamente en los riesgos de mayor prioridad.
Descarga el Informe de Seguridad de Aplicaciones y DevOps 2016
Cómo asegurarse de que se puede restaurar una copia de seguridad
Commvault compra Appranix para impulsar la ciberresiliencia de las empresas
Intel Foundry sube de nivel con la litografía ultravioleta extrema de alta apertura numérica
Salesforce lleva la IA de Slack a todos los planes de pago de la plataforma
Marta Piedrafita Baudín será la Country Manager para Iberia de osapiens
Meta anuncia un nuevo producto Quest para las aulas
Dynatrace Carbon Impact, solución para reducir la huella de carbono en la empresa
Cómo la tecnología mejora el día a día en un quirófano
Red Hat e Inetum automatizan la infraestructura TIC de Madrid Digital
NTT DATA acelera la implementación del 5G ORAN usando la tecnología de Red Hat
Educación y tecnologías: ¿cuáles se han impuesto en las aulas?
¿Más datos significa más riesgo?
Cómo asegurarse de que se puede restaurar una copia de seguridad
Big Data y Business Analytics: la formación que llevará a las empresas al próximo nivel tecnológico
Cómo puede ayudar la IA a las empresas a adaptarse a la nueva Ley de Atención al Cliente
Día Internacional del Centro de Datos: del mainframe al espacio
OVHcloud pone en marcha su ordenador cuántico y amplía su cartera de servicios de nube pública
Dell niega las promociones a los trabajadores remotos
-
NoticiasHace 7 díasCorsair presenta nuevas memorias WS DDR5 RDIMM ECC para estaciones de trabajo
-
NoticiasHace 7 díasInternet Archive hace una copia de seguridad de una isla caribeña al completo
-
NoticiasHace 7 díasPilar Roch, nueva Directora general de AMETIC
-
NoticiasHace 7 díasMistral anuncia el Mixtral 8x22B, un nuevo modelo para competir con OpenAI, Google y Meta