¿Quieres esquivar una violación de datos? Haga DevOps y deje que los desarrolladores trabajen desde casa, dice Google

DevOps, que brinda actualizaciones de software más rápidas, podría ayudar a prevenir la avalancha de registros expuestos en las violaciones de datos, pero la investigación de Google encuentra que las prácticas existentes no cumplen con la tarea en cuestión.   

Google encuestó a 33,000 profesionales de la tecnología para explorar cómo DevOps, que en términos generales significa alinear el desarrollo de software con las operaciones de TI, impacta la ciberseguridad como parte de su informe anual. Acelere el informe de estado de DevOps. Como señala, más que 22 mil millones de registros quedaron expuestos en 2021 a través de 4,145 infracciones conocidas públicamente.

El informe se produce cuando la empresa de telecomunicaciones australiana Optus maneja las consecuencias de una violación masiva que expuso la información de identificación personal (PII) de casi 10 millones de residentes después de que un pirata informático en Internet se deslizara a través de un interfaz de programación de aplicaciones (API) en un punto final alojado en la nube que no requería una contraseña para acceder. 

La encuesta de Google se centró en la seguridad de la cadena de suministro de software, un área de seguridad que recibió mucha más atención después del ataque a SolarWinds en 2020 y la falla de código abierto Log4Shell este año. Estos dos casos cambiaron la forma en que la industria tecnológica gestiona los procesos de desarrollo de software y utiliza componentes, como bibliotecas y paquetes de idiomas dentro de otros productos y servicios.   

DevOps tiene como objetivo acelerar los lanzamientos de software manteniendo la calidad y se centra cada vez más en las actualizaciones de seguridad. Pero, ¿cuánto ha cambiado desde la brecha de SolarWinds y Log4Shell?

Para estimar esto, Google usó su versión del concepto Software Bill of Materials (SBOM), que la Casa Blanca instruyó a las agencias federales de EE. UU. para implementar en 2021, llamado Niveles de cadena de suministro para artefactos seguros (SLSA).

Una de las ideas clave de Google es que, para los principales proyectos de código abierto, dos desarrolladores deben firmar criptográficamente los cambios realizados en el código fuente. Esta práctica habría evitado que los atacantes patrocinados por el estado comprometieran el sistema de compilación de software de SolarWinds mediante la instalación de un implante que inyectaba una puerta trasera durante cada nueva compilación. Google también usó el NIST Marco de desarrollo de software seguro (SSDF) como línea de base en la encuesta. 

Google descubrió que el 63 % de los encuestados utilizó el análisis de seguridad a nivel de aplicación como parte de los sistemas de integración continua/entrega continua (CI/CD) para los lanzamientos de producción. También descubrió que la mayoría de los desarrolladores estaban preservando el historial del código y usando scripts de compilación.

Esa es una tendencia tranquilizadora, aunque menos del 50 % realizaba revisiones de cambios de código entre dos personas y solo el 43 % firmaba metadatos.

"Las prácticas de seguridad de la cadena de suministro de software incorporadas en SLSA y SSDF ya ven una adopción modesta, pero hay mucho espacio para más". el informe concluye.

Mantener contento al personal también puede cambiar los resultados de seguridad. Google descubrió que los empleadores que le dieron al personal la opción de un trabajo híbrido se desempeñaron mejor y sufrieron menos agotamiento.

“Los hallazgos mostraron que las organizaciones con niveles más altos de flexibilidad de los empleados tienen un desempeño organizacional más alto en comparación con las organizaciones con arreglos de trabajo más rígidos. Estos hallazgos proporcionan evidencia de que dar a los empleados la libertad de modificar sus arreglos de trabajo según sea necesario tiene beneficios tangibles y directos para una organización”, señala Google.   

Google se adentró en el territorio turbio de pedirles a los encuestados que pronosticaran cómo los estilos de trabajo afectarían los errores futuros al pedirles que predijeran la probabilidad de que se produjera una brecha de seguridad o una interrupción total en los próximos 12 meses. 

Las personas que trabajan en "organizaciones de alto rendimiento tenían menos probabilidades de esperar que ocurriera un error importante", dijo Google.