SecDevOps o cómo conciliar agilidad, innovación y seguridad

Seguridad y agilidad no son incompatibles. Las empresas a menudo cometen el error de sacrificar las medidas de integridad de los sistemas de información bajo el pretexto de que ralentizan la innovación, suponiendo que configurar controles de seguridad demorará sus proyectos. Dan por hecho que invertir recursos en funcionalidades de seguridad, implica añadir retrasos en las entregas cuando, lo que el mercado reclama, es mayor agilidad y velocidad. Pero, en realidad, si un proyecto no está correctamente protegido fracasará, habrá que corregirlo a posteriori, generará retrasos y afectará a la imagen de la empresa.

Empezar un proyecto previendo los fallos de sus futuras aplicaciones y sistemas informáticos rompe con estos hábitos. Para conciliar agilidad, innovación y seguridad, la solución reside en implementar la seguridad desde el inicio del proyecto, no una vez se ha finalizado.

Este movimiento se llama SecDevOps y tiene como ventaja la integración de la seguridad desde el inicio del proyecto y, por lo tanto, promover un enfoque “security by design”.

En este sentido, Rubén Pardo, product architect de flexygo y Rafael Rivera, CTO/Director Tecnológico de ITCON, contarán en VLC Testing, cómo el despliegue continuo permite solventar, de manera ágil y rápida, cualquier tipo de ataque a las vulnerabilidades de un producto.

SecDevOps tiene como ventaja la integración de la seguridad desde el inicio del proyecto y, por lo tanto, promover un enfoque “security by design”

A lo largo de su ponencia explicarán cómo integrar el Hacking Ético y la seguridad informática al mundo DevOps. Podremos ver el proceso que se sigue para descubrir nuevas vulnerabilidades de la herramienta, cómo convertir nuevos ataques en tests que validarán la seguridad de nuestra plataforma, el proceso de integración continua y metodologías ágiles que permite solucionar un fallo de seguridad y desplegar una actualización en todos los clientes en un tiempo record, así como la nueva herramienta de contención, mitigación y análisis de ataques: flexyguard.

Durante la conferencia veremos cómo dos roles, habitualmente enfrentados, trabajan en colaboración bajo el paradigma SecDevOps para convertir flexygo en una herramienta cada día más segura y fiable.

Durante el VLC Testing se simulará un ejercicio de RED TEAM (Equipo que intenta hackear) y BLUE TEAM (Equipo que detecta el ataque), donde el RED TEAM usará una de las vulnerabilidades conocidas para explotar el sistema. Acto seguido el Sentinel capturará este acceso y nos mandará una notificación Push a una app con un botón de mitigar. Se agregará a la BBDD donde se hace el despliegue continuo, el comando usado para explotar la vulnerabilidad, seguidamente se lanzará el despliegue y se parcheará el exploit. Generando una nueva versión con la vulnerabilidad solucionada.

---

VLC Testing

27 Y 28 NOV, 2019

ITI – Instituto Tecnológico de Informática

Camino de Vera s/n

Edificio 8B Acceso M y N (3ª planta Terraza) (46022) Valencia – España

La ponencia de Rubén Pardo y Rafael Rivera, tendrá lugar el 28 de Noviembre a las 13:00h