DevSecOps México – La comunidad que integra la Seguridad en DevOps

Comparte este artículo

Share on facebook
Share on twitter
Share on linkedin
Share on whatsapp
  • “Si logramos los objetivos de DevSecOps México, alcanzaremos un mayor grado de madurez en el desarrollo de software como país”
  • Junto a un equipo de 4 expertos del ramo, buscan atraer a las personas involucradas en Desarrollo, Operaciones y Seguridad, para compartir conocimiento y mejores prácticas
  • Invertir en seguridad de las aplicaciones (AppSec) evita riesgos para las organizaciones tanto de reputación, como financieros, operativos y en algunos casos, incluso legales

Para esta entrega del blog — ¡el primero que escribimos en español! — quisimos entrevistar a Ronen Riesenfeld, responsable de las Ventas Técnicas de Checkmarx en México, debido a su liderazgo dentro de la comunidad de DevSecOps México,  la cual busca “construir el capítulo mexicano del grupo de personas interesadas en integrar la seguridad en el ciclo de desarrollo continuo, tanto en el equipo de Desarrolladores, como de Operaciones y Seguridad”.

Ronen es un experimentado desarrollador, tanto de sistemas de información como de aplicaciones con más de 20 años en el área de tecnología y telecomunicaciones, desde un rol muy cercano a los equipos de programación. Hace 4 años entró a Checkmarx, donde se ha especializado en la Seguridad de las Aplicaciones y cómo integrarla a los ciclos de desarrollo de DevOps.

El objetivo de la comunidad de DevSecOps México es compartir las mejores prácticas y conocimiento a través de su sitio en donde cualquier interesado puede contribuir y a la par aprender de los otros miembros del grupo. Además, junto a otras cuatro personas que lideran las acciones, se organiza una plática mensual, y mantienen una publicación continua de información en Linkedin con alrededor de 300 miembros.

Antes que nada, es clave que las organizaciones estén conscientes de la importancia de desarrollar software seguro. Ya sea por lograr un cumplimiento normativo, asegurar la operación del negocio, proteger sus activos, la calidad de sus productos digitales o, la más importante de todas, proteger a los clientes finales de cualquier amenaza debido a vulnerabilidades en el código y el impacto negativo que tiene en un negocio.

De acuerdo con un estudio publicado en 2017, México es el primer país de Latinoamérica con más ataques de ciberseguridad y el sexto a nivel mundial, así que como dice Ronen, “Hay dos tipos de empresas, las que sufrirán un hackeo y las que cuidan la seguridad de sus aplicaciones”.

Por eso es vital que DevSecOps México crezca su alcance y que más gente se involucre en los diferentes temas que se discuten en la comunidad, que son sobre todo prácticas de desarrollo, con un alto enfoque en seguridad, además de cómo mejorar las operaciones y su importante papel en el despliegue e integración continua (CD/CI). Los temas en los que se centra son diversos, como modelado de amenazas, automatización de la seguridad estática, seguridad en librerías de código abierto, seguridad dinámica, mejores prácticas, indicadores y cualquier tema que tenga que ver con DevSecOps.

El comité mexicano tiene unos meses de haberse creado y hoy en día se reúnen cada 15 días de forma virtual y presencial si el estado de la pandemia lo permite. Pronto visualizan un trabajo más intensivo en temas de educación y concientización, pues consideran que “es muy importante que la industria mexicana conozca más de DevSecOps, que lo ven como una evolución de DevOps, una filosofía que ayuda a las organizaciones a ser más productivas gracias a los pilares en los que se sustenta y que demuestran excelentes resultados en términos de mejoras en la calidad del producto e indicadores operacionales. Las actividades de la comunidad son sin fines de lucro y sin que importe quién recibe el conocimiento”.

Por supuesto, esta labor es muy importante para Checkmarx, al ser una empresa muy vocal en la definición de estándares como OWASP y en ayudar a mejorar a las empresas y sus procesos de desarrollo con conocimiento de la seguridad en las aplicaciones.

Es vital difundir el trabajo de la comunidad de DevSecOps México, ya que al estar apenas iniciando requiere del involucramiento de especialistas de operaciones, de arquitectura de aplicaciones, seguridad, manejo de equipos, automatización del ciclo de desarrollo, “que sepan que existimos, que hay un lugar donde pueden contribuir, aprender y vincularse con otros expertos como ellos. Hoy la comunidad cuenta con 300 miembros pero imagina que pasaría con más manos contribuyendo para acelerar una visión de desarrollo de aplicaciones seguras en el país”. 

“Uno de los pilares en los que se basan DevOps y DevSecOps es la Cultura, ya que se busca romper barreras entre equipos de trabajo e integrarlas al acordar indicadores propios que den valor a la organización, donde más que cuánto código escribe un desarrollador por hora, se logre entender qué tan rápido se aporta valor a la organización como equipo, cómo medir qué tan bien se automatiza, se liberan productos, qué tanto cumplen con los objetivos de la organización, mediante flujos continuos de trabajo que permitan estar liberando nuevas características y mejoras”. 

“Si logramos los objetivos de DevSecOps México, vamos a mejorar las prácticas de desarrollo, integrar más seguridad en las aplicaciones, generar más conciencia de crear software seguro, demostrando que es sencillo. Al hacerlo además lograremos un mayor grado de madurez en el desarrollo de software como país”.

Checkmarx es vocal también en comunidades como OWASP, y muchas de las personas involucradas participamos en ambas comunidades, así que nos aseguramos de que el conocimiento generado en ambos esfuerzos sea compartido para lograr el fin último que es generar mejores y más seguras aplicaciones.

Para involucrarse con DevSecOps México pueden entrar al website, en el grupo en el que somos activos en LinkedIn y si quieren integrarse como parte más vocal de la comunidad pueden mandar un correo a rriesenfeld(a)devsecops-latam.org

Ya que teníamos a Ronen en una llamada, aprovechamos para platicar con él de las predicciones para la Seguridad del Software que ven nuestros expertos y qué tanto podríamos esperarlas en México y otros países de Latinoamérica.

  1. La seguridad del software correrá para alcanzar la velocidad de desarrollo y para adaptarse a la nube

“Definitivamente. Es justo lo que busca DevSecOps: que cuando un desarrollador termine de codificar pueda poner su aplicación en producción con la confianza de que cumple con normas y políticas de seguridad. Así puede escribir código y recibir retroalimentación de las vulnerabilidades, mismas que mitiga a la par que programa, para liberar todo de forma automatizada y así escalar para lograr la velocidad esperada”. 

“Hemos notado que la migración a la nube no ha sido tan rápida, pero hay una tendencia creciente en esa dirección”.

  1. El hacking de código abierto se acelerará al tiempo que las organizaciones buscan frustrar a los actores malintencionados

“Estoy totalmente de acuerdo, pues es una forma fácil de hackear ya que solo debes tener acceso al código fuente, descubrir quién usa esa librería, encontrar la vulnerabilidad y explotarla”.

“Las organizaciones en México no cuentan con políticas de seguridad en las aplicaciones donde debería estar documentado los procesos de cada cuánto hay que actualizar y cómo revisar las librerías. Sin una política adecuada, las organizaciones no se protegen en tiempo y forma. Otro aspecto importante es el cumplimiento de las licencias de uso de código abierto, un tema que debería preocupar a las organizaciones quienes deberían tomar conciencia de los riesgos y tomar medidas.

  1. La demanda de seguridad basada en la nube aumenta el uso de la “Infraestructura-como-Código” (IaC)

“Sin duda es un tema que ha tomado mucha relevancia y posiblemente acelere más rápido que otros tipos de análisis, ya que cuando una organización piensa migrar a la nube se da cuenta que una de las implicaciones es asegurar su infraestructura. Este análisis más del tipo perimetral les ayudará a implementar una mejor estructura de servidores y redes.

  1. Seguridad reportará a Desarrollo, no al revés

Para Ronen, se verá cada vez más un trabajo en equipo entre Desarrollo y Seguridad, pues el objetivo es lograr un flujo continuo de trabajo. Se debe sacar el trabajo de forma ágil, así que hay que habilitar a los desarrolladores a producir código y para trabajar de forma segura, facilitándoles la labor para hacerlo.

“En México es común que haya un departamento de ciberseguridad, pero suele estar enfocado más en seguridad perimetral y son contadas las empresas que tienen desarrollado el rol de AppSec. Es totalmente necesario que crezca esta especialidad”. Para Ronen, “el perfil que se adapta mejor es el desarrollador que ya tiene toda la formación, que debe complementar con el conocimiento en torno a la seguridad y todo lo que implica, como la agudeza para hablar con el área de finanzas y de negocios”.

En México se tiene que desarrollar este perfil y lograr no solo auditorías de código, sino también conocimiento de cómo hacer triajes, modelados de amenazas, deben estar empapados de la regulación y tener una visión holística de la organización. Hay mucho trabajo que hacer pero sí está sucediendo.

  1. Las API vulnerables serán las principales responsables de las brechas de seguridad relacionadas con el software y las aplicaciones

Cada vez se usan más APIs, así que de manera natural se convertirán en el mayor punto de exposición. Conforme las organizaciones migren a microservicios esta tendencia crecerá y formará parte importante de las brechas de seguridad.

Sin duda, una plática con Ronen del tema de Seguridad, Devops y DevSecOps puede durar mucho tiempo más al ser uno de los mayores expertos en Seguridad de las Aplicaciones en México. Muy pronto continuaremos la conversación acerca de todo lo relacionado con AppSec, para contribuir a una mayor conciencia en México y Latinoamérica de la importancia del desarrollo de software seguro.

Ebook: 5 razones por las que la Seguridad del Software es más crítica que nunca