Aplicación del modelo SecDevOps: solución de seguridad de la información para organizaciones

El 29 de noviembre de 2024, representa MISA compartieron experiencias prácticas en el contexto de unaura SecDevOps para mejorar la seguridad de la información de las organizaciones en el Taller “Aprenda sobre DevSecOps - Tecnología y Soluciones de Control de Seguridad” organizado por BIDV Insurance - BIC.

El taller contó con la presencia de destacados expertos en tecnología de la información y seguridad de la información. Por parte de MISA , estuvieron presentes el Sr. Nguyen Quang Hoang, Director de Seguridad de la Información, y el Sr. Bui Duc Truong, Jefe del Departamento de Seguridad de la Información.

En el marco del taller, el Sr. Bui Duc Truong, Jefe del Departamento de Seguridad de la Información de MISA, presentó el modelo SecDevOps, compartiendo así experiencias en la aplicación de SecDevOps a productos para ayudar a las organizaciones a generar conciencia sobre la seguridad y protección de la información.

Según el Catálogo de Asignación de Vulnerabilidades y Exposiciones Comunes (CVE) de Paloalto Network, de noviembre de 2022 a enero de 2023, las vulnerabilidades suelen aparecer en las aplicaciones debido a la programación insegura. Por lo tanto, las organizaciones necesitan integrar la seguridad en todo el proceso de desarrollo de software. En concreto, la aplicación del modelo SecDevOps al software acelera el proceso de desarrollo de productos y minimiza entre un 40 % y un 50 % las vulnerabilidades en el código fuente, según James Rutt, CIO Insight.

SecDevOps es un modelo de desarrollo que combina Seguridad, Desarrollo y Operaciones, similar a DevSecOps. Sin embargo, la diferencia clave radica en que SecDevOps prioriza la seguridad en la mentalidad de cada individuo y en cada paso del proceso de desarrollo de software. Además, este modelo enfatiza el proceso y la cultura de trabajo en equipo, que ayuda a las personas a colaborar estrechamente para garantizar que la seguridad sea una prioridad en todo momento.

Para aplicar eficazmente el modelo SecDevOps, las organizaciones deben aplicar estrictamente tres factores: personas, procedimientos y tecnología. En cuanto a las personas, las organizaciones deben mejorar las habilidades del equipo de seguridad de la información, conectar al equipo de seguridad con el equipo de DevOps, y brindar capacitación en programación e implementación segura. En cuanto al proceso, las organizaciones pueden aplicar el modelo de ciclo de vida del producto de Ciclo de Vida de Desarrollo de Software Seguro (SSDLC) para desarrollar software seguro. En cuanto a la tecnología, las organizaciones pueden utilizar los siguientes medidores y herramientas de seguridad para detectar y gestionar vulnerabilidades: Análisis Estático (SAST); Análisis Dinámico (DAST); Análisis Interactivo (IAST); y Análisis de Composición de Software (SCA).

Según el Sr. Truong, los programadores necesitan recibir capacitación en concientización sobre seguridad y programación segura, con el objetivo de evitar que aparezcan vulnerabilidades en pasos posteriores del proceso de desarrollo de software.

Como empresa lieder en tecnología que ofrece software como servicio en Vietnam e iniciadora de la Alianza CYSEEX, MISA se comprometerá a comprar a las organizaciones en la implementación de soluciones de seguridad avanzadas, protegiendo los datos y los sistemas de información de los ataques cibernéticos.