Aplicación del modelo SecDevOps: solución de seguridad de la información para organizaciones

El 29 de noviembre de 2024, representantes de MISA compartieron experiencias prácticas en la construcción de una cultura SecDevOps para mejorar la capacidad de garantizar la seguridad de la información de las organizaciones en el Taller "Aprenda sobre DevSecOps - Tecnología y Soluciones de Control de Seguridad" organizado por BIDV Insurance - BIC.

El taller contó con la presencia de destacados expertos en el campo de las tecnologías de la información y la seguridad de la información. Por parte de MISA , participaron el Sr. Nguyen Quang Hoang, Director de Seguridad de la Información, y el Sr. Bui Duc Truong, Jefe del Departamento de Seguridad de la Información.

En el marco del taller, el Sr. Bui Duc Truong, Jefe del Departamento de Seguridad de la Información de MISA, presentó el modelo SecDevOps, compartiendo así experiencias en la aplicación de SecDevOps a productos para ayudar a las organizaciones a generar conciencia sobre la seguridad y protección de la información.

Según el Catálogo de Asignación de Vulnerabilidades y Exposiciones Comunes (CVE) de Paloalto Network, de noviembre de 2022 a enero de 2023, las vulnerabilidades suelen aparecer en las aplicaciones debido a la programación insegura. Por lo tanto, las organizaciones necesitan integrar la seguridad en todo el proceso de desarrollo de software. En concreto, la aplicación del modelo SecDevOps al software agiliza el proceso de desarrollo de productos y minimiza entre un 40 % y un 50 % las vulnerabilidades en el código fuente, según James Rutt, CIO Insight.

SecDevOps es un modelo de desarrollo que combina seguridad, desarrollo y operaciones, similar a DevSecOps. Sin embargo, la diferencia importante radica en que SecDevOps prioriza la seguridad en la mentalidad de cada individuo y en cada paso del proceso de desarrollo de software. Además, este modelo enfatiza el proceso y la cultura de trabajo en equipo, que ayuda a las personas a colaborar estrechamente para garantizar que la seguridad sea una prioridad en todo momento.

Para aplicar eficazmente el modelo SecDevOps, las organizaciones deben aplicar estrictamente tres factores: personas, procesos y tecnología. En cuanto a las personas, las organizaciones necesitan mejorar las habilidades del equipo de seguridad de la información, conectar al equipo de seguridad con el equipo de DevOps, brindar capacitación en programación y una implementación segura. En cuanto al proceso, las organizaciones pueden aplicar el modelo de ciclo de vida seguro del producto (SSDLC) para desarrollar software seguro. En cuanto a la tecnología, las organizaciones pueden utilizar los siguientes métodos y herramientas de seguridad para detectar y gestionar vulnerabilidades: Análisis estático (SAST); Análisis dinámico (DAST); Análisis interactivo (IAST); Análisis de composición de software (SCA).

Según el Sr. Truong, los programadores necesitan recibir capacitación en concientización sobre seguridad y programación segura, con el objetivo de evitar que aparezcan vulnerabilidades en pasos posteriores del proceso de desarrollo de software.

Como empresa líder en tecnología que ofrece software como servicio en Vietnam, y también iniciadora del establecimiento de la Alianza CYSEEX, MISA se compromete a acompañar a las organizaciones en la implementación de soluciones de seguridad avanzadas, protegiendo los datos y los sistemas de información de los ataques cibernéticos.