El ciberataque a SolarWinds, descubierto en diciembre de 2020, afectó a numerosas agencias gubernamentales y empresas privadas de todo el mundo. El incidente generó preocupación sobre la seguridad de las cadenas de suministro de software. Para determinar dónde debe residir la seguridad, es importante comprender InfoSec (seguridad de la información) y DevOps (operaciones de desarrollo).
El ataque a SolarWinds comprometió el software de gestión de red de SolarWinds, afectando a aproximadamente 18 000 clientes, incluyendo importantes agencias gubernamentales. Se trató de un ataque a la cadena de suministro, lo que pone de relieve la necesidad de proteger las cadenas de suministro de software.
InfoSec y DevOps: ¿Qué son?
Antes de profundizar en el ataque de SolarWinds y el papel de la seguridad, es importante comprender qué es InfoSec y DevOps :
La seguridad de la información implica proteger los sistemas de información, las redes y los datos contra el acceso, el uso, la divulgación, la interrupción, la modificación o la destrucción no autorizados. Los equipos de seguridad de la información identifican vulnerabilidades, desarrollan políticas de seguridad y capacitan a los usuarios sobre las mejores prácticas.
DevOps es un enfoque de desarrollo de software que prioriza la colaboración y la comunicación entre los equipos de desarrollo y operaciones. Su objetivo es optimizar el proceso de desarrollo mediante la automatización de tareas, la prueba continua del código y la integración de flujos de trabajo para lograr lanzamientos de software más rápidos y fiables.
El ataque de SolarWinds
En diciembre de 2020, expertos en ciberseguridad descubrieron que unos atacantes habían comprometido SolarWinds, proveedor de software de gestión de redes a numerosas agencias gubernamentales y empresas privadas de todo el mundo. Los atacantes habían insertado una puerta trasera en el software SolarWinds Orion, lo que les permitió acceder a datos y sistemas confidenciales. El ataque afectó a aproximadamente 18,000 clientes de SolarWinds, incluyendo importantes agencias gubernamentales como el Departamento de Seguridad Nacional de EE. UU. y el Departamento del Tesoro.
El ataque de SolarWinds fue un ataque a la cadena de suministro, lo que significa que los atacantes atacaron a un proveedor de software externo en lugar de a las propias organizaciones. Este ataque es cada vez más común y destaca la importancia de proteger el software. cadenas de suministro.
¿Dónde debería estar la seguridad: InfoSec o DevOps?
La Ataque SolarWinds Se plantea la cuestión de si la seguridad debería integrarse en InfoSec o DevOps. Algunos argumentan que la seguridad debería ser responsabilidad de los equipos de InfoSec, mientras que otros argumentan que debería integrarse en el proceso de DevOps.
Argumentos a favor de InfoSec
-
Centrarse en la gestión de riesgos
Los equipos de InfoSec están capacitados para centrarse en la gestión de riesgos y la mitigación de amenazas. Conocen a fondo las posibles vulnerabilidades y amenazas que una organización puede enfrentar y están capacitados para desarrollar e implementar políticas y procedimientos de protección contra dichas amenazas.
-
Independencia
Los equipos de InfoSec son independientes del proceso de desarrollo, lo que les permite ofrecer una perspectiva imparcial sobre los problemas de seguridad. No están sujetos a la presión de cumplir plazos de desarrollo y pueden priorizar las preocupaciones de seguridad sin comprometer el proceso de desarrollo.
Argumentos a favor de DevOps
-
Seguridad como código
Los equipos de DevOps son responsables de crear e implementar código, por lo que son los más indicados para integrar la seguridad en el proceso de desarrollo. Al incorporar la seguridad en el código, pueden garantizar que esté integrada en el software desde el principio, en lugar de añadirse posteriormente.
-
Tiempos de respuesta más rápidos
Los equipos de DevOps son responsables de implementar código de forma rápida y eficiente. Al integrar la seguridad en el proceso de desarrollo, pueden responder con mayor rapidez a problemas de seguridad y vulnerabilidades, minimizando así el riesgo de un ataque exitoso.
A continuación se presentan algunos factores a tener en cuenta al decidir dónde debe residir la seguridad
-
Cultura organizacional
Dependiendo de si la organización prioriza la seguridad y el cumplimiento o la innovación y la agilidad, InfoSec o DevOps pueden ser más adecuados.
-
Metodología de desarrollo
En el caso de una metodología de desarrollo en cascada, un equipo de seguridad de la información independiente puede ser más adecuado. Sin embargo, con metodologías ágiles o DevOps, la integración de medidas de seguridad en el proceso de desarrollo puede ser más viable.
-
Cumplimiento normativo
Si la organización debe cumplir con requisitos regulatorios estrictos, podría ser necesario un equipo de seguridad de la información independiente para garantizar su cumplimiento. Sin embargo, si la organización no está obligada a cumplir con dichas regulaciones, un enfoque DevOps podría ser una opción viable.
-
Conjunto de habilidades y recursos
Aprovechar el conocimiento de un equipo de seguridad de la información grande y experimentado puede ser la mejor opción. Por el contrario, si el equipo de seguridad de la información es pequeño o si las necesidades de seguridad cambian constantemente, un enfoque DevOps puede ser más práctico.
Conclusión
La cuestión de dónde debería ubicarse la seguridad, en InfoSec o en DevOps, no es sencilla. Ambos enfoques tienen sus ventajas, y el mejor dependerá de la organización y sus necesidades específicas. En definitiva, el enfoque más eficaz probablemente consista en una combinación de InfoSec y DevOps. Los equipos de InfoSec deben ser responsables de establecer las políticas de seguridad.
