book

Ingeniería del caos de la seguridad

by Kelly Shortridge, Aaron Rinehart

October 2024

Intermediate to advanced

430 pages

16h 48m

Spanish

O'Reilly Media, Inc.

Book available

Read now

Unlock full access

¿Quién debería leer este libro?Alcance de este libroResumen de este libroConvenciones utilizadas en este libroAprendizaje en línea O'ReillyCómo contactar con nosotrosAgradecimientos
¿Qué es un sistema complejo?La variedad define los sistemas complejosLos sistemas complejos son adaptativosLa naturaleza holística de los sistemas complejos¿Qué es el fracaso?Estresores agudos y crónicos en sistemas complejosSorpresas en sistemas complejos¿Qué es la resiliencia?Funcionalidad críticaLímites de seguridad (umbrales)Interacciones a través del espacio-tiempoBucles de retroalimentación y cultura del aprendizajeFlexibilidad y apertura al cambioLa resiliencia es un verboResiliencia: Mito y RealidadMito: Robustez = ResilienciaMito: Podemos y debemos evitar el fracasoMito: La seguridad de cada componente suma resistenciaMito: Crear una "cultura de la seguridad" soluciona los errores humanosConclusiones del capítulo
Modelos mentales del comportamiento del sistemaCómo explotan los atacantes nuestros modelos mentalesPerfeccionar nuestros modelos mentalesPruebas de resistenciaEl Enfoque de Evaluación de la Resiliencia de E&EEvaluación: Evaluación de nivel 1Asignación de Flujos a Funcionalidad CríticaDocumentar los supuestos sobre los límites de seguridadCómo hacer que las matemáticas del atacante trabajen para tiIniciar el Volante de Retroalimentación con Árboles de DecisiónAvanzar hacia el Nivel 2: ExperimentaciónExperimentación: Evaluación de nivel 2El valor de las pruebas experimentalesEvaluaciones de resiliencia sosteniblesA prueba de fallos frente a a prueba de fallosIncertidumbre frente a ambigüedadA prueba de fallos descuida la perspectiva de los sistemasEl fragmentado mundo de la seguridad ante fallosSCE Versus Teatro de Seguridad¿Qué es el Teatro de Seguridad?¿En qué se diferencia el SCE del Teatro de la Seguridad?Cómo RAVEAR hacia la resilienciaRepetibilidad: manejar la complejidadAccesibilidad: Facilitar la seguridad a los ingenierosVariabilidad: Apoyar la evoluciónConclusiones del capítulo
La Cartera de Inversión del EsfuerzoAsignar tu esfuerzo Cartera de inversionesEsfuerzo inversor basado en el contexto localLos cuatro modos de fallo derivados del diseño del sistemaLos dos ejes clave del diseño resiliente: Acoplamiento y ComplejidadDiseñar para preservar las posibilidadesAcoplamiento en sistemas complejosEl compromiso del acoplamiento estrechoLos Peligros del Acoplamiento Estrecho: Domar el bosqueInvertir en el Acoplamiento Suelto en los Sistemas de SoftwareLos Experimentos del Caos Exponen el AcoplamientoLa complejidad en los sistemas complejosComprender la Complejidad: Esencial y accidentalComplejidad y modelos mentalesIntroducir la linealidad en nuestros sistemasDiseñar para la Interactividad: Gestión de Identidades y AccesosNavegar por modelos mentales erróneosConclusiones del capítulo
Modelos mentales en el desarrollo de software¿A quién pertenece la seguridad de las aplicaciones (y la resiliencia)?Lecciones que podemos aprender de la administración de bases de datos que se convierte en DevOpsDecisiones sobre la funcionalidad crítica antes de construirDefinir los objetivos del sistema y las directrices sobre "qué tirar por la esclusa"Revisiones del código y modelos mentalesLa tecnología "aburrida" es una tecnología resistenteNormalización de las materias primasDesarrollar y ofrecer para ampliar los límites de la seguridadAnticipar la escala y los SLOAutomatizar las comprobaciones de seguridad mediante CI/CDNormalización de patrones y herramientasAnálisis de dependencia y priorización de vulnerabilidadesObserva las interacciones del sistema a través del espacio-tiempo (o hazlas más lineales)Configuración como códigoInyección de fallos durante el desarrolloPruebas de integración, pruebas de carga y teatro de pruebasCuidado con las abstracciones prematuras e inadecuadasFomentar los bucles de retroalimentación y el aprendizaje durante la construcción y la entregaAutomatización de pruebasDocumentar por qué y cuándoRastreo y registro distribuidosPerfeccionar la interacción humana con las prácticas de construcción y entregaFlexibilidad y voluntad de cambioIteración para imitar la evoluciónModularidad: la antigua herramienta de la humanidad para la resilienciaBanderas de características y lanzamientos oscurosPreservar las posibilidades de refactorización: TipificaciónPatrón del higo estranguladorConclusiones del capítulo
¿Qué implica operar y observar?Objetivos operativos en la SCEEl solapamiento de la SRE y la seguridadMedir el éxito operativoElaborar métricas de éxito como los atacantesLa métrica DORASLO, SLA y análisis de rendimiento basado en principiosAdoptar la seguridad basada en la confianzaObservabilidad para la resiliencia y la seguridadUmbral para descubrir los límites de seguridadObservabilidad del ataqueEscalable es más seguroNavegar por la escalabilidadAutomatizar el trabajoConclusiones del capítulo
Responder a las sorpresas en los sistemas complejosLa Respuesta a Incidentes y la Cartera de Inversión de EsfuerzosSesgo de acción en la respuesta a incidentesPracticar actividades de respuestaRecuperarse de las sorpresasCultura intachableCulpar al error humanoSesgo retrospectivo y sesgo de resultadoLa hipótesis del mundo justoPreguntas de los profesionales neutralesConclusiones del capítulo
Presiones de producción y cómo influyen en el comportamiento del sistema¿Qué es la ingeniería de plataformas?Definir una visiónDefinir un problema de usuarioEl contexto local es fundamentalPersonas, historias y viajes de los usuariosComprender cómo los humanos hacen concesiones bajo presiónDiseñar una soluciónLa jerarquía de soluciones de seguridad de los conos de heladoDiseño y rediseño del sistema para eliminar peligrosSustituir métodos o materiales menos peligrososIncorpora dispositivos de seguridad y proteccionesProporcionar sistemas de alerta y concienciaciónAplicar controles administrativos, incluidas directrices y formaciónDos Caminos: La Estrategia de Control o la Estrategia de ResilienciaExperimentación y circuitos de retroalimentación para el diseño de solucionesPoner en práctica una soluciónFomentar el consensoPlanificar la migraciónMétricas de éxitoConclusiones del capítulo
Lecciones aprendidas de los primeros adoptantesLección nº 1. Empieza en entornos de no producción; aún puedes aprender muchoLección nº 2. Utiliza los incidentes pasados como fuente de experimentosLección nº 3. Publica y evangeliza los hallazgos experimentalesPreparar los experimentos para el éxitoDiseñar una hipótesisDiseñar un experimentoEspecificaciones del diseño del experimentoRealización de ExperimentosRecogida de pruebasAnalizar y documentar las pruebasCaptar el conocimiento para los bucles de retroalimentaciónNotas de publicación del Experimento DocumentalAutomatizar experimentosEntrando en el caos: Días de JuegoEjemplo de Experimentos de Caos de SeguridadExperimentos de caos de seguridad para la infraestructura de producciónExperimentos de Caos de Seguridad para Build PipelinesExperimentos de caos de seguridad en entornos nativos de la nubeExperimentos de caos de seguridad en entornos WindowsConclusiones del capítulo
Informe de experiencias: La existencia del orden a través del caos (UnitedHealth Group)La historia de ChaoSlingrEjemplo paso a paso: PortSlingrInforme de experiencia: En busca de una mayor fiabilidad (Verizon)Cuanto más grandes son...Todas las manos en cubierta significa que no hay manos en el timónAfirma tu hipótesisExperimentos de fiabilidadExperimentos de costesExperimentos de rendimientoExperimentos de riesgoExperimentos más conocidos tradicionalmenteCambiar el paradigma hacia la continuidadLecciones aprendidasInforme de experiencia: Monitoreo de la seguridad (OpenDoor)Informe de experiencia: Seguridad Aplicada (Cardinal Health)Construir la cultura de la SCELa misión de la Seguridad AplicadaEl Método: Verificación y Validación Continuas (VVC)El proceso CVV incluye cuatro pasosInforme de experiencias: Equilibrio entre fiabilidad y seguridad a través de SCE (Accenture Global)Nuestra hoja de ruta hacia la capacidad empresarial de SCENuestro proceso de adopciónInforme de experiencia: Ingeniería del Caos Cibernético (Capital One)¿Qué tiene que ver todo esto con la SCE?Lo que es seguro hoy puede no serlo mañanaCómo empezamosCómo lo hacíamos antiguamenteCosas que he aprendido por el caminoReducción de las conjeturasImpulsar el valorConclusiónConclusiones del capítulo

Overview

Este trabajo se ha traducido utilizando IA. Agradecemos tus opiniones y comentarios: translation-feedback@oreilly.com

La ciberseguridad está rota. Año tras año, los atacantes permanecen incólumes e impertérritos, mientras los equipos de ingeniería se sienten presionados para diseñar, construir y operar sistemas "seguros". Los fallos no pueden evitarse, los modelos mentales de los sistemas son incompletos y nuestro mundo digital evoluciona constantemente. ¿Cómo podemos verificar que nuestros sistemas se comportan como esperamos? ¿Qué podemos hacer para mejorar la resistencia de nuestros sistemas?

En esta completa guía, los autores Kelly Shortridge y Aaron Rinehart te ayudan a superar los retos de mantener la resiliencia en sistemas de software complejos utilizando los principios y prácticas de la ingeniería del caos de la seguridad. Preparándote para los acontecimientos adversos, puedes asegurarte de que no perturben tu capacidad de innovar, avanzar con rapidez y alcanzar tus objetivos de ingeniería y empresariales.

Aprende a diseñar un programa de seguridad moderno
Toma decisiones informadas en cada fase de la entrega del software para alimentar la resistencia y la capacidad de adaptación
Comprende la compleja dinámica de los sistemas de la que dependen los resultados de la resiliencia
Navegar por las compensaciones técnicas y organizativas que distorsionan la toma de decisiones en los sistemas
Explorar la experimentación del caos para verificar supuestos críticos sobre la calidad y la seguridad del software
Aprende cómo aprovechan las grandes empresas la ingeniería del caos de la seguridad