ISACA DevOps LATAM

© 2017 ISACA. All Rights Reserved
DEVOPS: CONCEPTOS Y RETOS PARA
EL PROFESIONAL DE RIESGO
TECNOLÓGICO
Carlos Chalico
Diciembre 7 de 2017

WELCOME
• Audio is streamed over your computer
• Dial in numbers and codes are on the left
To receive your CPE credit:
1. Complete 3 checkpoints
- or -
2. Watch the recorded version from the
beginning to the very end
• Don’t forget to take the survey!
Use the Papers tab to find the following:
• PDF Copy of today’s presentation
• CPE job aid
• Have a question for the speaker? Access
the Q&A tab
• Technical issues? Access the Help tab
• Questions or suggestions?
Visit https://support.isaca.org
2

PRESENTADOR
3
20+
years
CISA
CISSP
CISM
ISO27001LA
CGEIT
CRISC
PbDA
@carloschalico

AGENDA
1. Antecedentes
2. DevOps: Lo que no es y lo que sí es
3. ¿Cómo empezó? (La influencia de Agile)
4. El enfoque DevOps
5. Riesgos en DevOps
6. Pros, contras y recomendaciones
7. Conclusiones
4
@carloschalico

ANTECEDENTES
5

DATOS, INFORMACIÓN Y CONOCIMIENTO
6
Conocimiento
Información
Datos
Inteligencia
Mínimo nivel de abstracción del que se
derivan la información y el conocimiento
Secuencia de símbolos, datos
que pueden ser presentados
como un mensaje
Alineamiento con
hechos, verdades o
principios
@carloschalico
Datos
Información
Conocimiento

¿POR QUÉ ES ESTO IMPORTANTE?
7
@carloschalico
Fuente: CISCO

¿QUÉ DEBEMOS PROTEGER?
8
Fuente: CISCO
Gobierno de la Información
No Repudio
Autenticación
Disponibilidad
Seguridad de la Información
Cyberseguridad Protección de
Información
Confidencialidad
Integridad
Privacidad
@carloschalico

¿CUÁL ES EL RETO?
9
Fuente: Defending the Digital Frontier: A Security Agenda; Jose Granado, Sajay Rai, Mark Doll
@carloschalico

¿CUÁL ES EL RETO?
10
Fuente: ISACA – COBIT 5
@carloschalico

¿CUÁL ES EL RETO?
11
Fuente: ISACA - CVDS
CVDS
Demanda del Mercado
Tiempo de Respuesta
@carloschalico

¿CUÁL ES EL RETO?
12
Velocidad
@carloschalico

DEVOPS:
LO QUE NO ES Y LO QUE SÍ ES
13

¿CUÁL ES EL RETO?
14
@carloschalico

¿CUÁL ES EL RETO?
15
Desarrollo rápido
Infraestructura elástica
Operaciones Flexibles
@carloschalico

¿CUÁL ES EL RETO?
16
@carloschalico

EL RETO, HOY
17
@carloschalico

LO QUE DEVOPS NO ES
18
Herramienta
Proceso
Metodología
X
X
X
@carloschalico

¿QUÉ ES DEVOPS?
19
Integra ideas
Elimina divisiones
Afina el desarrollo
Facilita operaciones
@carloschalico

¿CÓMO EMPEZÓ?
(LA INFLUENCIA DE AGILE)
20

¿POR QUÉ DEVOPS?
21
@carloschalico
• Las organizaciones necesitan competir, el tiempo es cada vez más escaso
• Los clientes demandan: Mejores productos, más beneficios… ¡AHORA!
• Los datos son la nueva moneda de cambio que habilita productos y servicios
en el mercado
• Las aplicaciones son el vehículo que habilita intercambios de datos
• Los presupuestos de TI se encogen, se necesita infraestructura compartida y
muchas organizaciones la están utilizando ya
• Los líderes de TI están cada vez más presionados por alinear mejor las
estrategias de sus áreas con la corporativa
• Las áreas de TI cada vez están más fuertemente vinculadas con la generación
de ingresos
• Gobierno de datos: Saber qué datos tienes, dónde, quién accede a ellos,
quién necesita acceder a ellos y como conectan con la generación de ingresos

TRANSFORMACIÓN CULTURAL
22
2001
“Agile Manifesto”
Gran influencia
en DevOps
2008
Infraestructura Ágil
Patrick Debois y
Andrew Schafer
Toronto, Canadá
2008
Agile SysAdmin
Marcel Wegerman
Europa
2009
“10+ deploys per day:
Dev and Ops
cooperation”
John Allspaw
2011
Cameron Height
Gartner
Reconoce trascendencia
de DevOps
@carloschalico
2008
Se crea el grupo
”Agile System
Administrators”
2009
”DevOps Days” es
inaugurado en
Gante, Bélgica
2012
Grandes
vendedores de
software
incrmentan su
presencia en el
mercado con
soluciones DevOps
2013
Gene kim lanza
“The Phoenix Project”
2015…
¿Qué sigue?
2014
Crece el impacto
positivo de DevOps
en el mundo
corporativo

INFLUENCIA DE AGILE
23
@carloschalico
• DevOps está construido sobre los fundamentos de Agile (Agile Manifesto)
• Individuos e interacciones sobre procesos y herramientas
• Aplicaciones operativas sobre documentación detallada
• Colaboración con el cliente sobre negociación de contrato
• Responder al cambio sobre seguimiento a un plan
• DevOps, como Agile, es similar a los movimientos de calidad
• Reducción de desperdicios, ambiente fluído, integración de calidad en el
desarrollo de programas y aplicaciones en la cultura
• Agile buscaba recuperar la confianza del negocio
• DevOps es una forma de que el negocio recupere la confianza en todo TI
• El uso de Agile sin integrar a las áreas operativas puede reducir el impacto
positivo del propio Agile

INFLUENCIA DE AGILE
24
@carloschalico
DevOps incluye todas las funciones
que soportan el Ciclo de Vida del
Desarrollo de Sistemas (CVDS)
• Agile trabaja en “sprints” lo que es una unidad de
código
• DevOps no puede definir seguridad para una
unidad de código, necesita trabajar con bloques
(chunks)
• Estos bloques (chunks) pueden evaluarse en
producción para confirmar si la funcionalidad y
seguridad del código es como se espera
• Los sprints de Agile también pueden considerar
las pruebas de seguridad con bloques de código
pero hace falta un ambiente listo para eso
Desarrollo Operaciones
de TI
Pruebas /
Calidad
Seguridad
Fuente de Figura: DevOps Overview, ISACA

EL ENFOQUE DEVOPS
25

• El movimiento #devops comenzó con un
tweet
• DevOps parte proyectos mayores en
bloques menores, manejables, ágiles
• Movimientos frecuentes entre ambientes
son manejados
• El riesgo se debe medir al mismo tiempo
• DevOps busca ser más ágil y eficiente que
el clásico modelo de cascada integrando
elementos de forma ágil y eficiente
EL ENFOQUE DEVOPS
26
@carloschalico
Dev Ops
Móvil
Nube y otros…
Virtualización
BigData

EL ENFOQUE DEVOPS
27
Fuente: https://en.wikipedia.org/wiki/DevOpsFuente: http://www.continuousautomation.com/understanding-devops/
@carloschalico
Dev
Ops

EL ENFOQUE DEVOPS
28
@carloschalico
Procesos de Negocio
Agile
arregla esto
Dev Ops
arregla esto
Negocio Desarrollo Operaciones
Fuente: PMI/UofT: DevOps Presentation

DE LA CASCADA A DEVOPS
29
Conflicto
Tiempo: Meses o Años
Idea
Cliente Cliente Cliente
Idea Idea
Tiempo: Semanas o Meses Tiempo: Horas o Días
Cascada Agile DevOps
Negocio
Desarrollo
Pruebas
QA
Operaciones
Negocio
Desarrollo
Pruebas
QA
Operaciones
Negocio
Desarrollo
Pruebas
QA
Operaciones
@carloschalico

DE LA CASCADA A DEVOPS
30
@carloschalico

31
@carloschalico
DEVOPS EN LA EMPRESA
Torres de Experiencia
DEV
TEST
PROD
DEV
TEST
PROD
DEV
TEST
PROD
DEV
TEST
PROD
Ventajas y
Desventajas
• Incrementar automatización
• Reducir errores humanos
• Incrementar eficiencia
• Habilitar tubería de entrega contínua

32
@carloschalico
DEVOPS EN LA EMPRESA
Investigación y
Desarrollo
DEV
TEST
PROD
Equipo:
• Administradores de Proyecto
• Desarrolladores
• Administradores de Sistemas
• Especialistas en seguridad, manejo de
riesgos y cumplimiento
• Integradores
• Consultores externos
Enfoque:
• Desarrollar
• Probar
• Asegurar
• Rediseñar procesos
• Desarrollar el Producto Mínimo Viable

33
Fuente: https://www.gartner.com/events-na/applications/wp-content/uploads/sites/2/2017/07/predicts_2017_application_de_316983.pdf
@carloschalico
HERRAMIENTAS

HERRAMIENTAS (EJEMPLOS)
34
@carloschalico
• Artifactory – Control sobre
distribución de código (open source
– personalizable
• BlackDuck – Administración de
vulnerabilidades de código abierto
• Sumologic – SIEM (Security,
Information and Event
Management)
• Concourse – Administración de
tubería de entrega de código
• Las herramientas son importantes
• La entrega contínua de código es clave
• La adaptación de procesos y la
preparación de la gente son críticas
• El uso de contenedores reforzados de
código es necesario
• El escaneo de vulnerabilidades en el
ambiente completo, incluyendo los
contenedores es de gran utilidad
• La administración de actualizaciones y
prches cobra mayor relevancia
• La administracion de accesos e
identidades no puede dejarse de lado

BENEFICIOS DE DEVOPS
35
@carloschalico
Gente Tecnologìa
Procesos
• Cambio en la cultura –
Colaboración, cooperación y
transformación hacia una
organización de aprendizaje
• Incremento en la efectividad de la
respuesta a las necesidades del
negocio
• Mejora en la calidad del código
generado
• Incremento en la velocidad de
generación del código
Transformación de
procesos
acelerada
Mayor calidad
en la liberación
de aplicaciones
Liberación más
frecuente de
cambios y
nuevos
desarrollos
Visibilidad
mejorada entre
los procesos de
TI y los
requerimentos

¿QUÉ SIGNIFICA?
36
@carloschalico
• ¿No hay planeación?
• ¿No hay control de cambios?
• ¿No hay documentación?
• ¿No hay juntas?
• ¿No hay procesos?
• ¿A prueba de balas?
• ¿Solo hay que saber
programar?
• Aprendizaje adaptativo
• Planeación adaptativa
• Requerimientos puntuales de
documentación de código
• Juntas cortas y enfocadas
• Los hay y bien definidos
• No, hay que integrar, probar y fallar
• No, manejar el proyecto y proteger es
necesario

FACTORES DE ÉXITO
37
@carloschalico
Fuente: Dev Ops Overview, ISACA
Éxito en
Dev Ops
Cultura
Herramientas
Gente
Procesos
• Colaboración
• Virtualización y nube
• Automatización
• Control de versiones
• Administración de la configuración
• Seguridad desde el diseño

RIESGOS EN DEVOPS
38

RIESGOS EN DEV OPS
39
@carloschalico
Riesgo
Inherente
Riesgo
Residual
Riesgo
Residual
Riesgo
Residual
Respuesta
Inicial:
Reducir
Respuesta
Adicional:
Transferir Respuesta
Final:
Aceptar
X
X
X
XXX
XX
X
XX

RIESGOS EN DEV OPS
40
@carloschalico

¿QUÉ PUEDE SALIR MAL?
41
@carloschalico
• La seguridad no se habilita de manera automática
• Cifrado, alta disponibilidad
• Reforzamiento, actualizaciones, administración de vulnerabilidades
• Segregación de funciones
• Las habilidades no se transfieren de forma automática
• Arquitectos, desarrolladores, QA, adinistradores de bases de datos
y sistemas
• Administradores y coordinadores de proyectos
• Automatizar la entrega de soluciones no significa que se automatizará
el cumplimiento
• La administración de riesgos es clave

CONTROLES EN DEV OPS
42
@carloschalico
Fuente: Dev Ops Practitioner Considerations, ISACA
• La siguiente lista presenta controles que pueden considerarse al adoptar DevOps
• Cada organización tendrá necesidades diferentes y decidirá qué controles utilizar
1. Escaneo automatizado de código
2. Escaneo automatizado de vulnerabilidades
3. Uso de un firewall de aplicación web
4. Entrenamiento de seguridad para desarrolladores de aplicaciones
5. Administración de dependencia de software
6. Monitoreo de acceso y actividades
7. Políticas y procedimientos documentados
8. Administración de desmpeño aplicativo
9. Administración de activos e inventario
10. Auditoría o monitoreo contínuo

PROS, CONTRAS Y
RECOMENDACIONES
43

• Las razones para adoptar Dev Ops pueden variar de una organización a otra
• La competencia en el mercado actual por satisfacer las necesidades de los
clientes es quizá la más contundente
• No se trata solament de agilidad, sino también de ser capaz de detectar retos y
cambios y responder de una forma calculada que genere beneficios reales
• Ser el primero en el mercado es importante, pero lo es más ser el primero con la
solución correcta y estable
• En el reporte de DevOps de 2013, Puppet Labs señaló la necesidad de
responder a los clientes con agilidad al mismo tiempo que se provee un servicio
de TI estable, seguro y predecible
• En 2012, en la conferencia VMWorld, IBM especificó cuatro habilitadores para
DevOps: Agilidad del negocio, agilidad en el desarrollo, cómputo en nube,
disciplina operativa
¿POR QUÉ ADOPTAR DEV OPS?
44
@carloschalico

• Son varios los beneficios que el negocio puede tener de Dev Ops:
• Reducción del tiempo de entrada a mercado
• Retorno de inversión acelerado
• Alto desempeño
• Aumento en la calidad
• Incremento en la satisfacción de los clientes
• Reducción del desperdicio de recursos en TI
• Mejora en la relación con proveedores y socios de negocios
• Reducción de errores humanos vía automatización
BENEFICIOS PARA EL NEGOCIO
45
@carloschalico

• Entendimento equivocado del concepto
• Integración de las funciones de cumplimiento y seguridad como requerimientos
del negocio
• Necesidades de automatización
• Habilidades en el equipo de trabajo
• Transformación cultural
• Miedo a nuevos retos
• Mentalidad aislada, mentalidad de silos
• Jerarquías organizacionales y organización por torres de experiencia
RETOS
46
@carloschalico

• Involucramiento de la administración
• Definición de estrategia
• Transformación organizacional y definición de un objetivo común
• Retroalimentacion contínua
• Soporte a gobierno y cumplimiento
• Establecimiento de nuevas métricas
• Entendimiento mutuo de cada una de las responsabilidades
• Desarrollo
• Operaciones
• Calidad
• Seguridad
• Otras
• ¿Qué impacto hay si no se adopta?
IMPACTOS
47
@carloschalico

CONCLUSIONES
48

VISIÓN
49
@carloschalico
Código libre de errores Nueva funcionalidad Estabilidad y velocidad Riesgo y cumplimiento
Necesidades del Cliente Necesidades del Negocio
Necesidad de Nuevas Habilidades
• Codificación y desarrollo de
scripts
• Comunicación (verbal y escrita)
• Operadores de TI que entiendan
de desarollo
• Desarolladores que entiendan de
operaciones de TI
• Administración de proyectos y
tiempos
• Mejora de procesos
• Efectividad con herramientas
específicas
• Profesionales de seguridad
ágiles y flexibles
Necesidad de Nuevos procesos o mejora de los
existentes
• Estandarización y automatización
• Control de versiones
• Administración de liberaciones
• Administración de configuración
• Entrenamiento cruzado y rotación de puestos
Necesidad de una cultura que
fomente el trabajo en equipo
• Confianza
• Transparencia
• Responsabilidad
• Comunicación
• Reconocimiento mutuo
• Habilidad para aprender de otros
• Habilidad para enseñar a otros
• Esparcimiento de la cultura

• El acelerado desarrollo de los mercados actuales marca la necesidad de
adoptar modelos comoDevOps
• La implementación de DevOps representa una profunda transformación
cultural
• La integración de los modelos, medidas y controles de seguridad debe
hacerse temprano
• DevOps demanda trabajo en equipo real
• ¿Qué estamos haciendo para prepararnos?
REFLEXIONES FINALES
50
@carloschalico

• PMI/UofT Dev Ops Presentation
• Information Assurance Handbook; Corey Schou, Steven Hernandez
• Defending the Digital Frontier: A Security Agenda; Jose Granado, Sajay Rai, Mark Doll
• COBIT 5; ISACA
• DevOps Overview; ISACA
• DevOps Practitioner Considerations; ISACA
• The Phoenix Project; Gene Kim, Kevin Behr, George Spafford
• SCRUM: The art of doing twice the work in half the time; Jeff Sutherland, J. J. Sutherland
• http://www.continuousautomation.com/understanding-devops/
• https://en.wikipedia.org/wiki/DevOps
• https://www.gartner.com/events-na/applications/wp-
content/uploads/sites/2/2017/07/predicts_2017_application_de_316983.pdf
REFERENCIAS
51
@carloschalico

¿Preguntas?
52

THIS TRAINING CONTENT (“CONTENT”) IS PROVIDED TO YOU WITHOUT WARRANTY, “AS IS” AND “WITH ALL
FAULTS.” ISACA MAKES NO REPRESENTATIONS OR WARRANTIES EXPRESS OR IMPLIED, INCLUDING
THOSE OF MERCHANTABILITY, FITNESS FOR A PARTICULAR PURPOSE OR PERFORMANCE, AND NON-
INFRINGEMENT, ALL OF WHICH ARE HEREBY EXPRESSLY DISCLAIMED.
YOU ASSUME THE ENTIRE RISK FOR USE OF THE CONTENT AND ACKNOWLEDGE THAT: ISACA HAS
DESIGNED THE CONTENT PRIMARILY AS AN EDUCATIONAL RESOURCE FOR IT PROFESSIONALS AND
THEREFORE THE CONTENT SHOULD NOT BE DEEMED EITHER TO SET FORTH ALL APPROPRIATE
PROCEDURES, TESTS, OR CONTROLS OR TO SUGGEST THAT OTHER PROCEDURES, TESTS, OR
CONTROLS THAT ARE NOT INCLUDED MAY NOT BE APPROPRIATE; ISACA DOES NOT CLAIM THAT USE OF
THE CONTENT WILL ASSURE A SUCCESSFUL OUTCOME AND YOU ARE RESPONSIBLE FOR APPLYING
PROFESSIONAL JUDGMENT TO THE SPECIFIC CIRCUMSTANCES PRESENTED TO DETERMINING THE
APPROPRIATE PROCEDURES, TESTS, OR CONTROLS.
Copyright © 2017 by the Information Systems Audit and Control Association, Inc. (ISACA). All rights reserved. This
webinar may not be used, copied, reproduced, modified, distributed, displayed, stored in a retrieval system, or
transmitted in any form by any means (electronic, mechanical, photocopying, recording or otherwise).
53

GRACIAS POR ATENDER
ESTE WEBINAR
@carloschalico

ISACA DevOps LATAM

Recomendados

Recomendados

Más contenido relacionado

Similar a ISACA DevOps LATAM

Similar a ISACA DevOps LATAM (20)

Más de Carlos Chalico

Más de Carlos Chalico (19)

Último

Último (20)

ISACA DevOps LATAM