Un conjunto de actividades de pruebas suele orientase a comprobar determinados aspectos de un sistema software comenzando por las pruebas funcionales, pruebas de interoperabilidad entre sistemas o componentes, de caja negra hasta que llegamos a las pruebas de seguridad.

Hemos hablando en oportunidades anteriores de DevOps, integrar mejores prácticas y metodologías de seguridad dentro del desarrollo es lo que llamamos DevSecOps.

Pero antes diferenciemos dos partes dentro de SecDevOps:

• Security as Code (SaC): Se refiere a introducir la seguridad dentro de las herramientas existentes en el pipeline de DevOps.
• Infrastructure as Code (IaC): Se refiere a la utilización de un set de herramientas (como Chef, Puppet, Ansible, entre otras) que nos permitan crear y actualizar la infraestructura de forma automática en caso de problemas.

¿Por qué integrar la seguridad en el desarrollo?

• Minimiza el riesgo mediático

Los sistemas de empresas atacadas en Internet crecen exponencialmente cada año, y cada vez son más visibles a los usuarios finales. Cada vez hay menos tiempo para hacer pruebas, sobre todo si las dejamos “para el final” o si solo dejamos a las más críticas para hacer pruebas. No permitas que tu empresa forme parte de las estadísticas debido a un agujero de seguridad en tus sistemas. Minimiza el impacto mediático y las pérdidas económicas asociadas a un ataque de seguridad.

• Falsa sensación de seguridad

El desconocimiento de fallos debido a configuraciones erróneas no significa que éstos no existan o que todavía no hayan sido vulneradas. Investiga más allá del firewall, la configuración de la infraestructura debe ser tratada como si fuera código, y debe ser probada con cada despliegue para asegurar que no se han introducido agujeros de seguridad.  Tener una falsa sensación de seguridad es lo peor que te puede pasar.

• Cumplimiento de normativas

Invertir en pruebas de seguridad es invertir en tu tranquilidad y en la integridad de tus datos y de tus clientes. Estas obligado a cumplir con las regulaciones en materia de seguridad, cada vez más estrictas, establecidas por gobiernos y entidades reguladoras. Su desconocimiento no implica que no sean de aplicación. Hacer 2 auditorías anuales no es suficiente, debes evaluar la seguridad de forma constante. Un acercamiento SecDevOps te ayuda a evaluar el cumplimiento de forma constante.

—————————————————————————————

Ahora que ya tenemos una buena imagen de los tipos de pruebas software que podemos incorporar para asegurar la Calidad y la Seguridad del Software, es más fácil que entendamos que se trata de una actividad que requiere una elevada capacidad de adaptación de las cargas de trabajo, así como de una suficiente especialización. Por ello, en SES hemos consolidado nuestra orientación hacia modelos de fábrica DevSecOps