Mitos de la Seguridad Cloud #6: Una forma eficaz de «desplazar el testeo a la izquierda» es imponer más requisitos de seguridad a los equipos de DevOps

Tabla de contenidos

El mito anterior plantea la siguiente duda: ¿cómo podemos incorporar de manera eficaz la seguridad a un proceso DevOps? El equipo de seguridad siempre tendrá competencias por encima de las responsabilidades de los equipos de DevOps y estos no aceptarán fácilmente ningún proceso que les retrase. La clave reside en que el equipo de seguridad involucre al de DevOps en la mejora de la seguridad y la adapte a sus métodos existentes, empleando las herramientas que los equipos de DevOps ya utilizan.

Ejemplos de buenas prácticas en seguridad para los equipos de DevOps

Por ejemplo, si usan Jenkins para el CI/CD, el equipo de seguridad puede establecer una medida de control que avise cuando una imagen no cumpla con la política de seguridad y explique por qué. El equipo de DevOps debería poder ver la imagen fallida desde Jenkins y comprobar, dentro de este, cómo se podría arreglar el problema y crear una imagen homologada. En este ejemplo, el equipo de seguridad ha sido capaz de educar al de DevOps y acortar el tiempo de reparación sin imponer sus propios procesos y conocimientos, sino mediante la integración de una solución de seguridad nativa en la nube en una herramienta de DevOps. Este mismo método también puede utilizarse para bloquear el avance de esas imágenes en el proceso, pero siempre es mejor un aviso a tiempo que un bloqueo.

Este mito se abordó en la comunidad de seguridad cloud durante la entrevista con uno de los responsables de devsecops en ManoMano:

Compartir entrada en:

Contacto rápido

Responsable: Davinci Tecnologías de la Información, S.L

Finalidad de la recogida y tratamiento de los datos personales: 1. Atender su contacto; 2. El envío de comunicaciones Comerciales.

Derechos: Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos que se explican en la información adicional.

Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en el espacio habilitado para la política de privacidad de nuestra web.

Solicitar más información

Responsable: Davinci Tecnologías de la Información, S.L

Finalidad de la recogida y tratamiento de los datos personales: 1. Atender su contacto; 2. El envío de comunicaciones Comerciales

Derechos: Tiene derecho a acceder, rectificar y suprimir los datos, así como otros derechos que se explican en la información adicional.

Información adicional: Puede consultar la información adicional y detallada sobre Protección de Datos en el espacio habilitado para la política de privacidad de nuestra web.