Agile es una de las palabras de moda en TI. A partir de un esfuerzo bienintencionado por mejorar la calidad del software y la velocidad de entrega, en las últimas dos décadas se ha ido malinterpretando cada vez más como la panacea para curar todos los males informáticos. La metodología da prioridad a la autonomía, la velocidad de entrega y el espíritu de "moverse rápido, fallar rápido", lo que basta para que cualquier CISO haga una mueca.
A medida que el dogma ágil sigue extendiéndose, nuestro trabajo como líderes de seguridad desapasionados es contraatacar.
¿Agente del cambio o agente de la perdición?
Agile tiene su utilidad. Como enfoque iterativo del desarrollo de software, puede ayudar a los equipos a acelerar la comercialización y eliminar obstáculos. Puede ser especialmente eficaz en organizaciones y equipos pequeños. Pero no se adapta bien y no le gustan los entornos heterogéneos complejos. Desde luego, no convertirá un equipo de entrega fracasado en uno eficaz.
Sin embargo, Agile se está adoptando cada vez más como modelo operativo de toda la tecnología para impulsar la transformación en todas partes, desde los servicios de asistencia hasta los centros de datos. Los CIO evangelizadores se ven alentados por una empresa que no entiende sus matices. Se dice que alrededor de la mitad de las empresas han estado utilizando prácticas ágiles para la transformación durante al menos tres años. Pero, ¿es siempre adecuado?
Di no
En el pasado he trabajado con numerosos equipos de CIO del FTSE 100 que decían: "Vamos a ser ágiles". En realidad quieren decir: "Ahora somos autónomos, así que no necesitamos interactuar con la seguridad y estamos optando por no participar en el gobierno corporativo".
Otra petición clásica: "¿Puedes darme una excepción de aceptación de riesgo/seguridad?", que podría traducirse más exactamente como: "¿Puedes comprometer la seguridad para ayudarme a cumplir mis objetivos de entrega Agile?".
Una respuesta apropiada del CISO sería: "Por supuesto, siempre que estés dispuesto a asumir toda la responsabilidad cuando salga mal".
La seguridad debe aceptarse como un requisito funcional obligatorio de cualquier proyecto. Todos sabemos que incorporarla desde el principio es más barato, fácil y seguro que adaptarla. Sin embargo, es sorprendente la cantidad de proyectos ágiles en los que la "aprobación de la seguridad" es la última tarea del sprint, lo que inevitablemente provoca retrasos.
El cumplimiento básico de la normativa es prácticamente irrelevante en el panorama actual de amenazas. En su lugar, necesitamos realizar pruebas con herramientas capaces y, en su caso, equipos rojos independientes. Los CISO necesitan herramientas que puedan supervisar de cerca los entornos, los errores y las desconfiguraciones para mitigar el riesgo de forma eficaz. La empresa en general debe darse cuenta de que un producto no está completo hasta que se cumplen todos los requisitos de seguridad.
La realidad es que, como CISO, somos la conciencia de la organización. Para que los proyectos ágiles tengan éxito, puede que tengamos que ralentizar un poco las cosas y hacer algunas preguntas difíciles. A veces tenemos que cuestionar la fe dogmática de muchos CIO y sus equipos.
Está bien ser el malo de la película. Di no a Agile cuando existan mejores enfoques de sentido común.
https://www.theregister.com/2021/12/16/move_fast_break_security_why/