Prólogo de Royal Hansen

Durante años, he deseado que alguien escribiera un libro como éste. Desde su publicación, he admirado y recomendado a menudo los libros de Google Site Reliability Engineering (SRE), por lo que me encantó descubrir que un libro centrado en la seguridad y la fiabilidad ya estaba en marcha cuando llegué a Google, y estoy encantada de contribuir en una pequeña medida al proceso. Desde que empecé a trabajar en el sector de la tecnología, en organizaciones de distintos tamaños, he visto a la gente debatirse con la cuestión de cómo debe organizarse la seguridad: ¿Debe estar centralizada o federada? ¿Independiente o integrada? ¿Operativa o consultiva? ¿Técnica o de gobierno? La lista continúa ....

Cuando el modelo SRE, y las versiones de DevOps similares a SRE, se hicieron populares, me di cuenta de que el espacio de problemas que aborda SRE presenta una dinámica similar a la de los problemas de seguridad. Algunas organizaciones han combinado estas dos disciplinas en un enfoque llamado "DevSecOps".

Tanto la SRE como la seguridad dependen en gran medida de los equipos clásicos de ingeniería de software. Sin embargo, ambos difieren de los equipos clásicos de ingeniería de software en aspectos fundamentales:

• Los Ingenieros de Fiabilidad del Sitio (SRE) y los ingenieros de seguridad tienden a romper y arreglar, además de construir.

• Su trabajo abarca las operaciones, además del desarrollo.

• Los SRE y los ingenieros de seguridad son especialistas, más que ingenieros de software clásicos.

• A menudo se consideran obstáculos, en lugar de facilitadores.

• A menudo están aislados, en lugar de integrados en equipos de producto.

La SRE creó un papel y unas responsabilidades específicas para un conjunto de habilidades, que podemos considerar análogas al papel de ingeniero de seguridad. La SRE también creó un modelo de implementación que conecta a los equipos, y éste parece ser el siguiente paso que debe dar la comunidad de la seguridad. Durante muchos años, mis colegas y yo hemos defendido que la seguridad debería ser una cualidad de primera clase e integrada en el software. Creo que adoptar un enfoque inspirado en la SRE es un paso lógico en esa dirección.

Desde que llegué a Google, he aprendido más sobre cómo se estableció aquí el modelo SRE, cómo SRE implementa las filosofías DevOps y cómo han evolucionado SRE y DevOps. Mientras tanto, he estado trasladando mi experiencia en seguridad informática en el sector de los servicios financieros a las capacidades técnicas y programáticas de seguridad en Google. Estos dos sectores no están desvinculados, pero cada uno tiene su propia historia que merece la pena comprender. Al mismo tiempo, las empresas se encuentran en un punto crítico en el que la computación en nube, las diversas formas de aprendizaje automático y un complicado panorama de ciberseguridad están determinando conjuntamente hacia dónde se dirige un mundo cada vez más digital, con qué rapidez llegará allí y qué riesgos entraña.

A medida que se ha profundizado mi comprensión de la intersección entre seguridad y SRE, he llegado a estar aún más seguro de que es importante integrar más a fondo las prácticas de seguridad en el ciclo de vida completo de los servicios de software y datos. La naturaleza de la nube híbrida moderna -gran parte de la cual se basa en marcos de software de código abierto que ofrecen datos y microservicios interconectados- hace que las capacidades de seguridad y resistencia estrechamente integradas sean aún más importantes.

Los enfoques operativos y organizativos de la seguridad en las grandes empresas han variado drásticamente en los últimos 20 años. Las instancias más destacadas incluyen directores de seguridad de la información totalmente centralizados y operaciones de infraestructura central que abarcan cortafuegos, servicios de directorio, proxies y mucho más: equipos que han crecido hasta tener cientos o miles de empleados. En el otro extremo del espectro, los equipos federados de seguridad de la información empresarial tienen la línea de negocio o la experiencia técnica necesaria para apoyar o gobernar una lista determinada de funciones u operaciones empresariales. En algún punto intermedio, los comités, las métricas y los requisitos normativos pueden regir las políticas de seguridad, y los Campeones de Seguridad integrados pueden desempeñar un papel de gestión de las relaciones o realizar un seguimiento de los problemas de una unidad organizativa concreta. Recientemente, he visto equipos que se han inspirado en el modelo de la SRE, convirtiendo la función integrada en algo parecido a un ingeniero de seguridad del sitio, o en una función específica de Agile scrum para equipos especializados en seguridad.

Por buenas razones, los equipos de seguridad de las empresas se han centrado en gran medida en la confidencialidad. Sin embargo, las organizaciones suelen reconocer que la integridad y la disponibilidad de los datos son igualmente importantes, y abordan estas áreas con equipos y controles diferentes. La función de SRE es la mejor en su clase para abordar la fiabilidad. Sin embargo, también desempeña un papel en la detección y respuesta en tiempo real a los problemas técnicos, incluidos los ataques relacionados con la seguridad a accesos privilegiados o datos sensibles. En última instancia, aunque los equipos de ingeniería suelen estar separados organizativamente según conjuntos de habilidades especializadas, tienen un objetivo común: garantizar la calidad y seguridad del sistema o aplicación.

En un mundo que cada año depende más de la tecnología, un libro sobre enfoques de seguridad y fiabilidad extraídos de experiencias en Google y en toda la industria puede ser una contribución importante a la evolución del desarrollo de software, la gestión de sistemas y la protección de datos. A medida que evoluciona el panorama de las amenazas, un enfoque dinámico e integrado de la defensa es ahora una necesidad básica. En mis anteriores funciones, busqué una exploración más formal de estas cuestiones; espero que diversos equipos de dentro y fuera de las organizaciones de seguridad encuentren útil este debate a medida que evolucionan los enfoques y las herramientas. Este proyecto ha reforzado mi convicción de que merece la pena debatir y promover en el sector los temas que trata, sobre todo a medida que más organizaciones adoptan las arquitecturas DevOps, DevSecOps, SRE y de nube híbrida, junto con sus modelos operativos asociados. Como mínimo, este libro es un paso más en la evolución y mejora de la seguridad de sistemas y datos en un mundo cada vez más digital.

Royal Hansen, Vicepresidente de Ingeniería de Seguridad