DevOps, pero seguro

¿Tiene realmente sentido fusionar los dos silos de desarrollo y operaciones con el hermético mundo de la seguridad para formar una organización ágil? No significa eso frenar de inmediato el ágil impulso de DevOps?

Como director de tecnología de un proveedor de servicios informáticos, entiendo muy bien este tipo de preguntas. Al fin y al cabo, la digitalización exige resultados rápidos. Sistemas que puedan implantarse rápidamente y funcionar con eficacia.

Pero, ¿de qué sirve si el desarrollo parece completarse en un tiempo récord, pero luego el producto no supera las pruebas de seguridad? La experiencia lo demuestra: Además de los altos costes y las oportunidades de ingresos perdidas, un enfoque DevOps de este tipo que falla demasiado tarde también daña la estrategia ágil que hay detrás.

Es cierto que la organización ágil dificulta establecer el desarrollo, la seguridad y las operaciones como un todo desde el principio. Los problemas de seguridad cortan de raíz muchos desarrollos esperanzadores.

Pero aquí también es importante ver el fracaso temprano como una oportunidad que ahorra costosas malas inversiones. Así que la cuestión no es si DevOps se convierte en DevSecOps, sino cómo puede tener éxito.

Los obstáculos en el camino hacia una organización DevSecOps apenas difieren de los que todo enfoque DevOps tiene que afrontar de todos modos: Además de la estructura de silos, que puede cambiarse con medidas organizativas, es la arraigada cultura de silos la que perdura en la mente de las personas.

Los contrastes entre desarrolladores "creativos pero caóticos" y expertos en seguridad "inflexibles y pedantes" se hacen aún más evidentes que en la interacción entre desarrollo y operaciones.

La buena noticia para todos los implicados: ¡entenderse es posible! De hecho, la experiencia demuestra que la colaboración en equipo entre desarrolladores, administradores y expertos en seguridad produce mejores resultados más rápidamente y es más divertida al mismo tiempo.

La tarea más importante a la hora de implantar una estructura DevSecOps se encuentra en el nivel directivo. Tienen que establecer agentes de cultura que deseen el cambio, encontrar personas afines e inspirar a los demás.

Por tanto, en primer lugar es necesario un intercambio abierto dentro del marco existente que no rehúya la confrontación entre las fuerzas que insisten y las que quieren cambiar. Aquí es donde se encuentran los actores, que juntos desarrollan estructuras de adaptación y conexión mutuas. En concreto, se trata de plantear preguntas.

No para obtener las respuestas "correctas", sino para poner en marcha el discurso: ¿Cómo pueden colaborar las TI y la empresa para mejorar los procesos existentes y crear otros nuevos? ¿Qué deben saber unos de otros los silos anteriores? ¿Cómo podemos conseguir más rápidamente con DevSecOps?

La diversidad en el equipo es clave para el éxito de las organizaciones ágiles. Pero, ¿cómo funcionan los equipos interdisciplinares cuando durante años cada departamento ha trabajado para sí mismo? A pesar de todos los compromisos con la seguridad por diseño, el desarrollo y la seguridad siguen siendo dos mundos separados en la mayoría de las empresas actuales.

Para fusionar estos mundos en una organización ágil, los siguientes pasos prácticos han demostrado su eficacia en los proyectos DevSecOps de NTT Data en todo el mundo:

• Instalar el programa Campeón de Seguridad
• El desarrollo seguro es más divertido
• Permitir que los especialistas en desarrollo y seguridad observen en el otro departamento respectivo
• Conocerse favorece la comprensión de la tarea común
• Ofrecer oportunidades de formación
• La gente quiere aprender: aprender juntos promueve el éxito conjunto
• Dar forma justa a la relación entre TI y empresa
• Con la creciente digitalización, la antigua división entre TI como proveedor y empresa como cliente ya no encaja.
• Establecer objetivos comunes, esto también incluye que los equipos DevSecOps puedan decidir juntos.