DevOps, pero seguro

¿Realmente tiene sentido fusionar los dos silos de desarrollo y operaciones con el hermético mundo de la seguridad para crear una organización ágil? ¿No significa eso frenar de nuevo el ágil impulso de DevOps? Hay que reconocer que, como director de tecnología de un proveedor de servicios informáticos, entiendo muy bien este tipo de preguntas. Al fin y al cabo, la digitalización es sinónimo de resultados rápidos. Sistemas que puedan introducirse rápidamente y funcionar de forma eficiente.

Pero, ¿de qué sirve que el desarrollo parezca haberse completado en un tiempo récord, si luego el producto no supera las pruebas de seguridad? La experiencia lo demuestra: Además de los altos costes y las oportunidades de venta perdidas, un enfoque DevOps que falla demasiado tarde también daña la estrategia ágil que hay detrás. La organización ágil hace más difícil establecer el desarrollo, la seguridad y las operaciones como una única entidad desde el principio. Los problemas de seguridad cortan de raíz muchos desarrollos prometedores. Pero aquí también es importante reconocer el fracaso temprano como una oportunidad para evitar costosas malas inversiones. Por tanto, la cuestión no es si DevOps se convertirá en DevSecOps, sino cómo puede lograrse.

Los mismos retos que DevOps

Los obstáculos en el camino hacia una organización DevSecOps apenas difieren de los que todo enfoque DevOps tiene que afrontar de todos modos: Además de la estructura de silos, que puede cambiarse con medidas organizativas, es la arraigada cultura de silos la que perdura en la mente de las personas. Los contrastes entre desarrolladores "creativos pero caóticos" y expertos en seguridad "inflexibles y pedantes" son aún más evidentes que en la interacción entre desarrollo y operaciones.

La buena noticia para todos los implicados: ¡entenderse es posible! De hecho, la experiencia demuestra que la colaboración en equipo entre desarrolladores, administradores y expertos en seguridad produce mejores resultados más rápidamente y es más divertida al mismo tiempo. La tarea más importante a la hora de implantar una estructura DevSecOps recae en los directivos. Deben establecer agentes culturales que deseen el cambio, encuentren personas con ideas afines y puedan inspirar a otros a hacer lo mismo.

Al principio, por tanto, se requiere un intercambio abierto dentro del marco existente, que no rehúya la confrontación entre las fuerzas persistentes y las dispuestas al cambio. Aquí es donde los actores se reúnen para desarrollar estructuras de adaptación y conexión mutuas. En concreto, se trata de hacer preguntas. No para obtener las respuestas "correctas", sino para poner en marcha el discurso: ¿Cómo pueden colaborar las TI y la empresa para mejorar los procesos existentes y crear otros nuevos? ¿Qué deben saber unos de otros los silos existentes? ¿Cómo podemos conseguir más rápidamente con DevSecOps?

La diversidad en el equipo es clave para el éxito de las organizaciones ágiles. Pero, ¿cómo funcionan los equipos interdisciplinares cuando durante años cada departamento ha trabajado para sí mismo? A pesar de todos los compromisos con la seguridad por diseño, el desarrollo y la seguridad siguen siendo dos mundos separados en la mayoría de las empresas actuales.

Pasos para la implantación de DevSecOps

Para fusionar estos mundos en una organización ágil, los siguientes pasos prácticos han demostrado su eficacia en los proyectos DevSecOps de NTT Data en todo el mundo:

• Instalar el programa Campeón de Seguridad
• El desarrollo seguro es más divertido
• Permitir que los especialistas en desarrollo y seguridad observen en el otro departamento respectivo
• Conocerse favorece la comprensión de la tarea común
• Ofrecer oportunidades de formación
• La gente quiere aprender: aprender juntos promueve el éxito conjunto
• Dar forma justa a la relación entre TI y empresa
• Con la creciente digitalización, la antigua división entre TI como proveedor y empresa como cliente ya no encaja.
• Establecer objetivos comunes, esto también incluye que los equipos DevSecOps puedan decidir juntos.