Según CyberArk, el 87% de los CMO’s afirma que se están implementando DevOps dentro de sus organizaciones. Tarea que no resulta sencilla, pues para poder evaluar el funcionamiento de las DevSecOps no existe, de momento, una estándar específico. Ahora bien, la velocidad y la seguridad si son métricas que pueden tenerse en cuenta a la hora de realizarse dicha evaluación.
CyberArk da con nueve razones de peso para que los desarrolladores simplifiquen la gestión de secretos y puedan alcanzar sus objetivos y cumplir las políticas de seguridad en sus proyectos
- Los equipos de mayor rendimiento realizan múltiples actualizaciones de forma rutinaria y bajo demanda.
- Estos mismos equipos tienen 973 veces más de implementaciones de código que los equipos de bajo rendimiento. Lo que se traduce en que su tiempo de entrega sea 7.570 veces más rápido, desde su confirmación hasta la completa implementación.
- La automatización de pipelines de CI/CD permite a los equipos de alto rendimiento crear e implementar aplicaciones con una rapidez nunca vista hasta la fecha. De hecho, gracias a estas DevOps se permite crear nuevas identidades y secretos de aplicaciones como son las credenciales, las claves SSH, certificados o, incluso, claves API en cantidades ingentes. A día de hoy, la relación de identidades de máquinas respecto al número de identidades humanas es de 45 a1.
- La mitad de las organizaciones delega en los desarrolladores las tareas de proteger los secretos de las aplicaciones, pero estos priorizan la velocidad y la colaboración frente a las buenas prácticas de seguridad.
- Por su parte, poco más de un tercio de los desarrolladores (36%) admite que su codificación aún posee vulnerabilidades debido a la necesidad de cumplir plazos de entrega. Esta prioridad con la que cuentan los desarrolladores provoca que la deuda de seguridad cibernética pueda acumularse con cada lanzamiento en forma de secretos no seguros en código.
- Los equipos de seguridad admiten que el 80% de los desarrolladores poseen más privilegios de los que necesitan. Por esta razón, estos mismos equipos se enfrentan al equilibrio constante entre hacer cumplir las políticas fundamentales de ciberseguridad o permitir una mayor velocidad de desarrollo.
- Muchas organizaciones utilizan las capacidades nativas de gestión de secretos a través de su nube para emplear herramientas DevOps que les permiten simplificar el desarrollo y las operaciones. Al administrar los secretos en diferentes proyectos y realizados por distintos equipos se corre el riesgo de causar conflictos con los objetivos de seguridad, lo que se traduce en grandes oportunidades para atacar y generar un verdadero peligro dentro de la cadena de suministro de software.
- Durante el último año, el 71% de las organizaciones reconoce haber sufrido algún ataque relacionado con la cadena de suministro de software. Como consecuencias de estos ataques se pueden derivar la pérdida de datos o que el compromiso de los activos se vea mermado.
- Gracias a la automatización y la optimización de los procesos de la gestión de secretos, ya sea la incorporación de aplicaciones y la rotación de secretos, permite acelerar los esfuerzos de migración a la nube manteniendo los flujos de trabajo intactos y facilitando a los desarrolladores la codificación segura desde su fase inicial. La integración de dichas prácticas de seguridad durante la fase de desarrollo permitirá que los equipos DevOps de alto rendimiento dispongan de 1,6 veces más de cumplir con los objetivos corporativos de seguridad.
Hoy en día, llevar a cabo una correcta gestión centralizada de secretos resulta de vital importancia para reducir vulnerabilidades y minimizar las superficies expuestas a un posible ataque sin que se vean ralentizados los equipos de desarrollo, pues dichos retrasos conllevan más vulnerabilidades. En un futuro próximo ya no habrá que elegir entre velocidad y seguridad mientras los proyectos se encuentran en fase de desarrollo.