David Cearley, analista de Gartner Inc., considera que los directores de TI necesitan revisar DevOps para incluir la seguridad. Él lo llama DevSecOps. "Es desarrollo, es seguridad, es operaciones que operan como una fuerza dinámica para crear soluciones".
Hoy en día el departamento de seguridad información debe trabajar de la mano con otros departamentos, es decir el equipo de seguridad ahora está invirtiendo más tiempo en ayudar a la próxima iniciativa de negocio en lugar de apagar incendios todo el tiempo.
La seguridad siempre es mejor cuando no se “hermetiza” y adoptar este enfoque normalmente significa que el ruido de los falsos positivos y la falta de contexto se reducen considerablemente. El resultado es un equipo de seguridad que ya no está buscando entre los archivos de registro las 24 horas, los 7 días de la semana o realizando otras tareas de seguridad.
El cambio a la cultura DevSecOps permite a sus equipos concentrarse en las tareas que mejor hacen.
La seguridad de la información tiene tres objetivos principales: confidencialidad, integridad y disponibilidad.
La manera sencilla de relacionar estos objetivos es que la seguridad trabaja para garantizar que sólo la gente que usted quiere reciba (confidencialmente) los datos correctos (integridad) cuando los necesitan (disponibilidad).
Y aunque invertimos mucho tiempo preocupándonos y hablando sobre la confidencialidad y la integridad, a menudo ignoramos la disponibilidad y dejamos a otros equipos satisfacer este requerimiento.
Ahora con la funcionalidad disponible en la nube podemos utilizar realmente los aspectos de disponibilidad para elevar nuestra seguridad.
Aprovechando características como Amazon SNS, AWS Lambda y Auto Scaling, podemos crear escenarios de reacción automáticos. Esta “respuesta continua” es uno de los primeros pasos para crear cargas de trabajo de autorrecuperación.
Cuando usted comienza a automatizar la capa de seguridad en un entorno en el que todo es accesible a través de una API se abren algunas posibilidades interesantes.
Referencias bibliográficas
0 comentarios:
Publicar un comentario