Las credenciales privilegiadas no humanas suelen llamarse «secretos» y se refieren a una pieza de información privada que actúa como llave para desbloquear recursos protegidos o información sensible en herramientas, aplicaciones, contenedores, DevOps y entornos nativos de la nube.
El 87% de los directivos afirma que sus organizaciones están implementando DevOps, pero lograr la excelencia de DevSecOps no es fácil, especialmente cuando las identidades y los secretos de las máquinas continúan acumulándose en las aplicaciones. Si bien no existe un estándar específico para evaluar la madurez de DevSecOps, tanto la velocidad como la seguridad son métricas críticas.
CyberArk analiza nueve razones por las que los desarrolladores necesitan un enfoque simplificado para la gestión de secretos, con el objetivo de seguir avanzando y brindar a los equipos mayor facilidad para cumplir las políticas de seguridad.
- Las organizaciones de DevOps de élite, o los equipos de mayor rendimiento, implementan de forma rutinaria bajo demanda y realizan múltiples actualizaciones por día. Por ejemplo, los ingenieros de Amazon, supuestamente, despliegan código cada 11,7 segundos, de media.
- En comparación con los equipos de bajo rendimiento, los equipos de élite de DevOps tienen 973 veces más implementaciones de código y un tiempo de entrega 6.570 veces más rápido desde la confirmación hasta la implementación.
- La automatización de pipelines de CI/CD permite a estos equipos de DevOps crear e implementar aplicaciones a una velocidad y a una escala sin precedentes. También permite crear nuevas identidades de máquinas y secretos de aplicaciones (credenciales, claves SSH, certificados, claves API) en cantidades masivas. Hoy en día, las identidades de máquinas superan en número a las identidades humanas en 45:1.
- En el 50% de las organizaciones, la tarea de proteger los secretos de las aplicaciones se deja en manos de los desarrolladores, quienes, a menudo, priorizan la velocidad y la colaboración frente a las prácticas de seguridad adecuadas.
- De hecho, el 36% de los desarrolladores dice que cumplir con los plazos es la razón principal por la que su codificación aún posee vulnerabilidades. Sin embargo, la deuda de seguridad cibernética en forma de secretos no seguros en código puede acumularse rápidamente con cada lanzamiento.
- Los equipos de seguridad se enfrentan a un equilibrio extremadamente difícil para permitir la velocidad de desarrollo y, al mismo tiempo, hacer cumplir políticas fundamentales de ciberseguridad (como, por ejemplo, los privilegios mínimos), en toda la organización. Por ello, el 80% admite que los desarrolladores tienen más privilegios de los que necesitan.
- Muchas organizaciones confían en las capacidades nativas de gestión de secretos en su nube y en las herramientas DevOps para simplificar el desarrollo y las operaciones. Pero cuando los secretos se almacenan y administran de manera diferente en varios equipos y proyectos, el 87 % de las organizaciones admite que la «expansión de secretos» puede causar conflictos con los objetivos de seguridad centralizados, crear oportunidades para los atacantes y tener un peligroso efecto dominó en la cadena de suministro de software.
- En los últimos 12 meses, el 71% de las organizaciones sufrió un ataque relacionado con la cadena de suministro de software que supuso la pérdida de datos o el compromiso de los activos.
- Encontrar una forma más segura y coherente de acceder a los secretos no solo mejora la postura general de ciberseguridad, sino que puede desbloquear nuevos niveles de eficiencia. La optimización y automatización de los procesos de gestión de secretos, tales como la incorporación de aplicaciones y la rotación de secretos, puede acelerar los esfuerzos de migración a la nube al mantener intactos los flujos de trabajo existentes y facilitar a los desarrolladores la codificación segura desde el principio. La integración de prácticas de seguridad durante el proceso de desarrollo permitirá a los equipos DevOps de alto rendimiento tener 1,6 veces más probabilidades de cumplir o superar sus objetivos corporativos.
A medida que las compañías desarrollan sus programas integrales de seguridad de las identidades, proteger las identidades de las máquinas y los secretos de las aplicaciones dondequiera que existan es fundamental para reducir las vulnerabilidades de seguridad, minimizar la superficie de ataque y optimizar las operaciones. Pero esta tarea no debe ralentizar a los equipos de desarrollo ni retrasar las iniciativas de automatización. Por ello con un enfoque correcto de gestión centralizada de secretos, no habrá que elegir entre velocidad y seguridad mientras se trabaja para alcanzar la madurez de DevSecOps.