SlideShare una empresa de Scribd logo

202408 DevOps y DevSecOps en la Nube: Mejores Prácticas desde el Primer Día

Ricardo González, profile picture
Ricardo González

El documento aborda las mejores prácticas en la implementación de DevOps y DevSecOps en la nube, resaltando la importancia de la alineación organizacional, la cultura y la automatización en la entrega de software. Se discuten los diferentes niveles de madurez en la adopción de estas prácticas y se proporcionan recomendaciones para mejorar procesos y resultados. Además, se enfatiza la necesidad de un gobierno de nube eficaz que incluya políticas, controles y evaluaciones para optimizar recursos y seguridad.

Tecnología
1 de 37
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
Ricardo Gonzalez Vargas DevOps y DevSecOps en la Nube: Mejores Prácticas desde el Primer Día Chief Technology Officer Clouxter @rgon v
¿Quien les habla? • Ricardo Gonzalez • Estratega de Tecnología y Negocios, Trusted Advisor para múltiples compañías en diferentes industrias, reconocido por múltiples fabricantes como experto en diferentes áreas. • Arquitecto de Soluciones especializado en Cloud Solutions y procesos de desarrollo de software • Ingeniero de Diseño y Automatización electrónica – MSc Ing Sistemas y Computación • 25+ años en arquitectura de soluciones, procesos de desarrollo de software y adopción de nube • Diferentes verticales: Financiera, Salud, Seguridad, Educación, Telecomunicaciones, Digital Marketing, Gobierno, Cloud Services, Industria @rgon v
DevOps: Todos dicen que lo aplican, aún cuando no todos lo entienden Ricardo Gonzalez Vargas
● Necesidad de entrega de valor ● Tendencias Tecnológicas ● Procesos robustos y manuales ● Resistencia al Cambio ¿Por qué ?
● Ambientes colaborativos ● Automatización ● Incremento en la entrega de Software ● Incremento en la calidad y seguridad ● Experimentación Continua ● Mejora continua Expectativa
Realidad https://www.gartner.com/smarterwithgartner/the-science-of-devops-decoded https://www.gartner.com/smarterwithgartner/the-science-of-devops-decoded
Que NO ES DevOps • Una persona • Una tecnología particular • Simplemente automatizar • Una metodología que se use de forma aislada
El Ciclo de DevOps
El ciclo de DevSecOps
Factores que determinan la implementación practica de DevSecOps • Objetivos de negocio • Estrategia corporativa • Cultura organizacional • Marcos de cumplimiento y regulación • Definición de objetivos al aplicar la practica • Capacidades y preparación del equipo • Inversión requerida en el proceso de adopción
Ejemplos de desalineación estratégica • Startup con foco en clientes B2B/Enterprise • Sin practicas en torno a seguridad y cumplimiento. • Sin uso de marcos de cumplimiento • Sin practica interna de entrenamiento en estos temas • Empresa de desarrollo de software • Sin enfoque en la productividad • Sin enfoque en la calidad • Sin enfoque en la reutilización • Sin enfoque en la seguridad • Startup con foco B2C con mercado objetivo regional o global • Sin conocer los requerimientos particulares de cada mercado • Sin aproximación para personalización enfocada en geografías • Empresa consumidora de otros proveedores de tecnología • Sin definiciones claras sobre lo que espera
Que se puede hacer para mejorar la practica desde el día 1?
Ciclo de mejoramiento Planear Mejoras Implementar Evaluar Ciclo de Mejoramiento
EVALUAR
Cultural ● Retroalimentación continua ● Innovación ● Mejora continua ● Visibilidad- Trazabilidad ● Aprendizaje Continuo Evaluación de madurez Procesos ● Gestión del conocimiento ● Flujo de colaboración ● Construcción de Software ● Certificación ● Despliegue ● Monitoreo ● Seguridad
Tecnologia ● SCM ● CI/CT/CD ● SCA,SAST,DAST,IAST ● IAC ● APM ● SRE Evaluación de madurez Gobierno ● Métricas ● Politicas y controles ● Aseguramiento de las prácticas ● Artefactos ● Resultados
Nivel Cultura Proceso Tecnología 1 Equipos en silos Mala comunicación Entornos hostiles No se puede innovar Desconexión con el negocio Gestión tradicional Procesos Robustos Documentación excesiva No se poseen métricas e indicadores No se tienen procesos de mejora continua No hay control de versiones Procesos manuales de construcción y despliegue de software. Pruebas manuales Aprovisionamiento manual de Infraestructura Monitoreo bajo demanda 2 Equipos de trabajo integrados por DEV y QA. Se presentan barreras de comunicación Se planifican actividades de innovación Solo se recibe la necesidad del usuario Gestión híbridos entre ágil - tradicional Procesos robustos Documentación excesiva se poseen pocos indicadores Pocas iniciativas de Mejora continua Existe un control de versiones (sin estándar de trabajo) Pruebas unitarias Construcción y despliegues basados en scripts Monitoreo de infraestructura Aprovisionamiento de infraestructura basado en script 3 Equipos base con roles del proyecto y a demanda OPS y SEC Se pueden presentar barreras de comunicación Ambiente neutral poco espacio para la innovación Participación a demanda del usuario Gestión ágil Procesos ligeros y efectivos Transición a Documentación efectiva Métricas e indicadores Se tiene plan anual de mejora continua. Control de versiones (Estrategias de ramificación) Pruebas unitarias automatizadas CI / CD validación manual implementación base de APM Aprovisionamiento de infraestructura basado en herramientas. 4 Equipos base con roles a demanda Se pueden presentar barreras de comunicación Ambiente seguro poco espacio para la innovación Participación en principales reuniones del usuario Gestión ágil Procesos ligeros y efectivos Documentación efectiva Métricas e indicadores Mejora continua Control de versiones de diferentes tipos de software CI/CD Automático Pruebas funcionales, de rendimiento y de seguridad SCA,SAST Identificación de incidentes y problemas con base en las métricas recolectadas Aprovisionamiento de entornos automatizados 5 Equipos interdisciplinarios Comunicación asertiva Ambiente seguro Fomento de la innovación Participación activa del usuario final Gestión ágil Procesos ligeros y efectivos Documentación efectiva Toma de decisiones en base a Métricas e indicadores Mejora continua iterativa como producto de la retroalimentación Control de versiones de todo artefacto de código CI/CD Automático Pruebas funcionales, de rendimiento y de seguridad SCA,SAST, DAST e IAST automáticas Remediación automática de incidentes en base al monitoreo. Aprovisionamiento de entornos automatizados y dinámico Niveles de madurez en DevSecOps
PLANEAR MEJORAS
Resultados y accionables (Ejemplo)
Resultados y accionables (Ejemplo) • Assessment : Code (1.17 a nivel cuantitativo): • El equipo no tiene una herramienta para la gestión de código fuente. Manejan repositorio de archivos. Solo manejan Bitbucket para los proyectos nuevos por parte de un miembro del equipo. • Propuesta Code: • Pasar de 1.17 a 2.5 cuantitativo • Definir, habilitar y configurar herramienta para gestión de código • Definir y entrenar en el flujo de desarrollo estándar para gestión de código • Capacitar a los equipos frente al manejo del repositorio de código fuente y las prácticas de codificación que quiera seguir la compañía. • Tener un flujo de colaboración en desarrollo estándar y de conocimiento del equipo. • Fortalecer las prácticas de versionamiento de los componentes de software.
IMPLEMENTAR
202408 DevOps y DevSecOps en la Nube: Mejores Prácticas desde el Primer Día
Que practicas generan mayor impacto en la adopción de DevOps?
• Plan: • Objetivos de negocio Primero • Proceso Iterativo/incremental • Code: • Uso de Frameworks de desarrollo • GenAI Assisted Development • Source Control • SAST Practicas de mayor impacto en DevOps/DevSecOps Valor Productividad Seguridad
Gen AI assisted Development - Demo
202408 DevOps y DevSecOps en la Nube: Mejores Prácticas desde el Primer Día
• Build: • CI – Continuous Integración (incluyendo Unit Testing) • SCA/SAST • Test: • Automatic Testing: Unit, Integration Practicas de mayor impacto en DevOps/DevSecOps Calidad - Velocidad Productividad - Calidad
• Release: • CD – Continuous Delivery (En Ambientes Precios) • Runtime Testing • IaC • DAST • Deployment: • CD – Continuous Deployment ( Producción) • IaC – Policy Controls • Blue/Green - Canary Practicas de mayor impacto en DevOps/DevSecOps Calidad – Productividad - Consistencia Productividad - Consistencia Seguridad - Cumplimiento Confiabilidad
• Operar: • Gestión de Logs • Operaciones como código • Observabilidad • Monitoreo: • Acciones por Alerta • Respuesta automática a eventos Practicas de mayor impacto en DevOps/DevSecOps Calidad - Velocidad Seguridad Confiabilidad
Como aplico políticas y controles desde el día 1?
Pipeline de validación de IaC
¿Qué es el Gobierno de Nube? • Se refiere a los procesos, las políticas y los controles utilizados para administrar, supervisar y proteger los recursos en un entorno de nube. • Esto incluye: • Gestión de identidad y Acceso • Políticas y Controles Organizacionales • Cumplimiento y Auditoria • Gestión de recursos • Gestión de Costos • Otros
¿Qué se logra con una estrategia de Gobierno de nube?
Ambiente de Gobierno de Nube Listo para Migrar * Listo para Escalar * Optimizado y Eficiente Pilares de Well Architected Excelencia Operativa Seguridad Confiabilidad Rendimiento Optimización de Costos Retirar/Retener Recomprar Re-platforma (Lift, Tinker & Shift) Re-hospedar (Lift & Shift) Re-factorizar/Re- arquiitectar (Transformar & Modernizar) Funciones Interoperables de Gobierno y Gestión Controls & Guardrails Network Connectivity Identity Management Security Operations Service Mgmt (ITSM) Observability Cloud Financial Mgmt Sourcing & Distribution Sostenibilidad
• Tipos de Controles • 32 - Preventivos • 31 - Detectivos (De detección) • 390+ Proactivos • Guía de Controles: • 22 - Mandatorios • 14 - Altamente recomendados • 27 - Electivos Controles desde una implementación de Gobierno de Nube Selección de Guardrails = Línea base Catalogo controles personalizados (Clouxter) Artefacto CloudFormation Guardrails Personalización Aceleración Establecer controles base de manera incremental Artefacto CloudFormation Personalizados
Conclusiones • El mayor reto con la aplicación de buenas practicas son las personas • La alineación organizacional es clave para el éxito de la adopción de DevOps/DevSecOps • Es clave entender en que punto se encuentra de la adopción de la practica • Un modelo de Gobierno simplifica y facilita la aplicación de controles que alinean la teoría con la practica. • El uso de múltiples tecnologías incluyendo GenAI tienen un impacto importante en el proceso
¡GRACIAS!

Más contenido relacionado

PPTX
Cimientos(cap3)
dlrdg
 
PDF
Devsecops superstar un movimiento masivo
Luciano Moreira da Cruz
 
PDF
Devops Maturity Assessment Model - Ágiles 2019
Javier Dominguez
 
PDF
ISACA DevOps LATAM
Carlos Chalico
 
PPTX
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
Ricardo González
 
PDF
Devops Adoption Roadmap v.2.6
Javier Dominguez
 
PPTX
Dev ops. Rompiendo Barreras
Juan Mauricio
 
PDF
Material trainer-depc-v1-parte2
Juan Carlos Herrera Manterola
 
Cimientos(cap3)
dlrdg
 
Devsecops superstar un movimiento masivo
Luciano Moreira da Cruz
 
Devops Maturity Assessment Model - Ágiles 2019
Javier Dominguez
 
ISACA DevOps LATAM
Carlos Chalico
 
20230812 -AWS Community Day Colombia - ¿Que diablos es el Gobierno de Nube_.pptx
Ricardo González
 
Devops Adoption Roadmap v.2.6
Javier Dominguez
 
Dev ops. Rompiendo Barreras
Juan Mauricio
 
Material trainer-depc-v1-parte2
Juan Carlos Herrera Manterola
 

Similar a 202408 DevOps y DevSecOps en la Nube: Mejores Prácticas desde el Primer Día (20)

PPTX
It cluster-present
Giancarlo Gonzalez
 
PPTX
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
Javier Dominguez
 
PDF
Iam dev secops the infinity loop saga
CSA Argentina
 
PPTX
Temas de mayor interés para el CIO (2010)
Gabriel Marcos
 
PPTX
Bitácora EA2 Innovación en Procesos.pptx
MarcoYikaA
 
PDF
Algunos Conceptos Claves de DevOps
Jorge Hernán Abad Londoño
 
PDF
TechTuesday: Scaled Agile Framework
netmind
 
PDF
DevSecOops los casos de no exito de devsecops
Luciano Moreira da Cruz
 
PDF
Shift Left: En busca del éxito del software
Marco Avendaño
 
PDF
Implementación de una “cultura” DevOps utilizando la nube híbrida en el proce...
xaxoho2305
 
PPTX
Gestión de Redes y resolución de problemas.pptx
joshuacastillo90
 
PDF
Servicio De Mejoras De Procesos De Ti
Pablo Grizzuti
 
PDF
SAMM-1.0-es_MX.pdf
katerine59
 
TXT
Dev ops una perspectiva ágil más allá del código.
Zaira Bermúdez
 
TXT
Dev ops una perspectiva ágil más allá del código.
Zaira Bermúdez
 
PDF
Jose Luis Soria - Visual Studio Tour Plain Concepts - DevOps
Jose Luis Soria
 
PPTX
CCCCCCVNBFCGDFGDFGDFGDFGDFGDSDGSGCC.pptx
SANTOSCIRIACOSOTELOA1
 
PDF
Soluciones Innovation Strategies
Innovation Strategies
 
PPTX
Presentación gathering ees2
Etna Estrella
 
PDF
¿Por qué y cómo utilizar Lean, Agile y DevOps para mejorar tu negocio?
Quint Wellington Redwood Iberia
 
It cluster-present
Giancarlo Gonzalez
 
Devops Adoption Roadmap v 2.7 Agiles Colombia 2020
Javier Dominguez
 
Iam dev secops the infinity loop saga
CSA Argentina
 
Temas de mayor interés para el CIO (2010)
Gabriel Marcos
 
Bitácora EA2 Innovación en Procesos.pptx
MarcoYikaA
 
Algunos Conceptos Claves de DevOps
Jorge Hernán Abad Londoño
 
TechTuesday: Scaled Agile Framework
netmind
 
DevSecOops los casos de no exito de devsecops
Luciano Moreira da Cruz
 
Shift Left: En busca del éxito del software
Marco Avendaño
 
Implementación de una “cultura” DevOps utilizando la nube híbrida en el proce...
xaxoho2305
 
Gestión de Redes y resolución de problemas.pptx
joshuacastillo90
 
Servicio De Mejoras De Procesos De Ti
Pablo Grizzuti
 
SAMM-1.0-es_MX.pdf
katerine59
 
Dev ops una perspectiva ágil más allá del código.
Zaira Bermúdez
 
Dev ops una perspectiva ágil más allá del código.
Zaira Bermúdez
 
Jose Luis Soria - Visual Studio Tour Plain Concepts - DevOps
Jose Luis Soria
 
CCCCCCVNBFCGDFGDFGDFGDFGDFGDSDGSGCC.pptx
SANTOSCIRIACOSOTELOA1
 
Soluciones Innovation Strategies
Innovation Strategies
 
Presentación gathering ees2
Etna Estrella
 
¿Por qué y cómo utilizar Lean, Agile y DevOps para mejorar tu negocio?
Quint Wellington Redwood Iberia
 
Publicidad

Más de Ricardo González (20)

PPTX
20190506_Industria 4.0 La nube como habilitador de capacidades.pptx
Ricardo González
 
PPTX
20190615_Global Azure You build it you run it-v2_es.pptx
Ricardo González
 
PPTX
20210420_AI en la realidad del sector Fintech.pptx
Ricardo González
 
PPTX
20190520 Cloud Experience - La nube como Habilitador para la innovación.pptx
Ricardo González
 
PPTX
20190812_Modernizing-your-application-with-containers-and-serverless-SPA_ok.pptx
Ricardo González
 
PPTX
20191112_Fintalent_Democratizacion de IA.pptx
Ricardo González
 
PPTX
20161024 CFC Keynote - Transformation enablement
Ricardo González
 
PPTX
20191016_Ambientes Efímeros con IaC y DevOps.pptx
Ricardo González
 
PPTX
20240806 Well-Architected y Gobierno de Nube: Habilitadores para la Innovació...
Ricardo González
 
PDF
20240626_Por que modernizar mis aplicaciones en la nube.pdf
Ricardo González
 
PDF
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS
Ricardo González
 
PDF
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube
Ricardo González
 
PPTX
20190427 arquitectura de microservicios con contenedores
Ricardo González
 
PPTX
20180520 expertslive ai_and_machine_learning_demistified
Ricardo González
 
PPTX
20180616 r gonzalez_from once per month to multiple times a day b
Ricardo González
 
PPTX
20180421 gab azure_ai_services
Ricardo González
 
PPTX
Blockchain - Desmitificacion
Ricardo González
 
PPTX
20180912 intro toazure
Ricardo González
 
PPTX
20170209 dev day-websites_vs_cloudservices_vsservicefabric_scenarios
Ricardo González
 
PPTX
Machine learning101
Ricardo González
 
20190506_Industria 4.0 La nube como habilitador de capacidades.pptx
Ricardo González
 
20190615_Global Azure You build it you run it-v2_es.pptx
Ricardo González
 
20210420_AI en la realidad del sector Fintech.pptx
Ricardo González
 
20190520 Cloud Experience - La nube como Habilitador para la innovación.pptx
Ricardo González
 
20190812_Modernizing-your-application-with-containers-and-serverless-SPA_ok.pptx
Ricardo González
 
20191112_Fintalent_Democratizacion de IA.pptx
Ricardo González
 
20161024 CFC Keynote - Transformation enablement
Ricardo González
 
20191016_Ambientes Efímeros con IaC y DevOps.pptx
Ricardo González
 
20240806 Well-Architected y Gobierno de Nube: Habilitadores para la Innovació...
Ricardo González
 
20240626_Por que modernizar mis aplicaciones en la nube.pdf
Ricardo González
 
20230511 Seguridad en la nube para Startups: Aprovecha las herramientas de AWS
Ricardo González
 
20230524_Tendencias en Modernizacion , innovacion y transformacion en la nube
Ricardo González
 
20190427 arquitectura de microservicios con contenedores
Ricardo González
 
20180520 expertslive ai_and_machine_learning_demistified
Ricardo González
 
20180616 r gonzalez_from once per month to multiple times a day b
Ricardo González
 
20180421 gab azure_ai_services
Ricardo González
 
Blockchain - Desmitificacion
Ricardo González
 
20180912 intro toazure
Ricardo González
 
20170209 dev day-websites_vs_cloudservices_vsservicefabric_scenarios
Ricardo González
 
Machine learning101
Ricardo González
 
Publicidad

Último (20)

PDF
5.1 Pinch y Bijker en libro Actos, actores y artefactos de Bunch Thomas (coor...
veronicafernandezab
 
PDF
Estrategia de apoyo tecnología miguel angel solis
edepmiguelsolis
 
PPTX
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
PPTX
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
DOCX
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
PPT
El-Gobierno-Electrónico-En-El-Estado-Bolivia
AlanAsojonih
 
PDF
Calidad desde el Docente y la mejora continua .pdf
marioosornozetina1
 
PDF
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
PPTX
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
PDF
Liceo departamental MICRO BIT (1) 2.pdfbbbnn
edepanaobando
 
PDF
Estrategia de apoyo tecnología grado 9-3
edepmiguelsolis
 
PPTX
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
PDF
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
PDF
taller de informática - LEY DE OHM
salome Satizabal
 
PPTX
RAP02 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
PPTX
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
PPTX
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
PDF
clase auditoria informatica 2025.........
KatherineMundaca1
 
PDF
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
PDF
Diapositiva proyecto de vida, materia catedra
mpruiz3
 
5.1 Pinch y Bijker en libro Actos, actores y artefactos de Bunch Thomas (coor...
veronicafernandezab
 
Estrategia de apoyo tecnología miguel angel solis
edepmiguelsolis
 
RAP01 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
Presentación de Redes de Datos modelo osi
FernandoCabrera177238
 
Zarate Quispe Alex aldayir aplicaciones de internet .docx
alexaldayirzaratequi
 
El-Gobierno-Electrónico-En-El-Estado-Bolivia
AlanAsojonih
 
Calidad desde el Docente y la mejora continua .pdf
marioosornozetina1
 
CyberOps Associate - Cisco Networking Academy
VICTOR MAESTRE RAMIREZ
 
Presentación PASANTIAS AuditorioOO..pptx
ange127383
 
Liceo departamental MICRO BIT (1) 2.pdfbbbnn
edepanaobando
 
Estrategia de apoyo tecnología grado 9-3
edepmiguelsolis
 
Sesion 1 de microsoft power point - Clase 1
carlosmedina2810
 
Maste clas de estructura metálica y arquitectura
juancarlos542581
 
taller de informática - LEY DE OHM
salome Satizabal
 
RAP02 - TECNICO SISTEMAS TELEINFORMATICOS.pptx
josemejiadiazfonseca
 
sa-cs-82-powerpoint-hardware-y-software_ver_4.pptx
jeannettehenriquezor
 
Acronis Cyber Protect Cloud para Ciber Proteccion y Ciber Seguridad LATAM - A...
CarlosAndresuztes
 
clase auditoria informatica 2025.........
KatherineMundaca1
 
programa-de-estudios-2011-guc3ada-para-el-maestro-secundarias-tecnicas-tecnol...
ParaVerPeliculas
 
Diapositiva proyecto de vida, materia catedra
mpruiz3
 

202408 DevOps y DevSecOps en la Nube: Mejores Prácticas desde el Primer Día

  • 1. Ricardo Gonzalez Vargas DevOps y DevSecOps en la Nube: Mejores Prácticas desde el Primer Día Chief Technology Officer Clouxter @rgon v
  • 2. ¿Quien les habla? • Ricardo Gonzalez • Estratega de Tecnología y Negocios, Trusted Advisor para múltiples compañías en diferentes industrias, reconocido por múltiples fabricantes como experto en diferentes áreas. • Arquitecto de Soluciones especializado en Cloud Solutions y procesos de desarrollo de software • Ingeniero de Diseño y Automatización electrónica – MSc Ing Sistemas y Computación • 25+ años en arquitectura de soluciones, procesos de desarrollo de software y adopción de nube • Diferentes verticales: Financiera, Salud, Seguridad, Educación, Telecomunicaciones, Digital Marketing, Gobierno, Cloud Services, Industria @rgon v
  • 3. DevOps: Todos dicen que lo aplican, aún cuando no todos lo entienden Ricardo Gonzalez Vargas
  • 4. ● Necesidad de entrega de valor ● Tendencias Tecnológicas ● Procesos robustos y manuales ● Resistencia al Cambio ¿Por qué ?
  • 5. ● Ambientes colaborativos ● Automatización ● Incremento en la entrega de Software ● Incremento en la calidad y seguridad ● Experimentación Continua ● Mejora continua Expectativa
  • 7. Que NO ES DevOps • Una persona • Una tecnología particular • Simplemente automatizar • Una metodología que se use de forma aislada
  • 8. El Ciclo de DevOps
  • 9. El ciclo de DevSecOps
  • 10. Factores que determinan la implementación practica de DevSecOps • Objetivos de negocio • Estrategia corporativa • Cultura organizacional • Marcos de cumplimiento y regulación • Definición de objetivos al aplicar la practica • Capacidades y preparación del equipo • Inversión requerida en el proceso de adopción
  • 11. Ejemplos de desalineación estratégica • Startup con foco en clientes B2B/Enterprise • Sin practicas en torno a seguridad y cumplimiento. • Sin uso de marcos de cumplimiento • Sin practica interna de entrenamiento en estos temas • Empresa de desarrollo de software • Sin enfoque en la productividad • Sin enfoque en la calidad • Sin enfoque en la reutilización • Sin enfoque en la seguridad • Startup con foco B2C con mercado objetivo regional o global • Sin conocer los requerimientos particulares de cada mercado • Sin aproximación para personalización enfocada en geografías • Empresa consumidora de otros proveedores de tecnología • Sin definiciones claras sobre lo que espera
  • 12. Que se puede hacer para mejorar la practica desde el día 1?
  • 15. Cultural ● Retroalimentación continua ● Innovación ● Mejora continua ● Visibilidad- Trazabilidad ● Aprendizaje Continuo Evaluación de madurez Procesos ● Gestión del conocimiento ● Flujo de colaboración ● Construcción de Software ● Certificación ● Despliegue ● Monitoreo ● Seguridad
  • 16. Tecnologia ● SCM ● CI/CT/CD ● SCA,SAST,DAST,IAST ● IAC ● APM ● SRE Evaluación de madurez Gobierno ● Métricas ● Politicas y controles ● Aseguramiento de las prácticas ● Artefactos ● Resultados
  • 17. Nivel Cultura Proceso Tecnología 1 Equipos en silos Mala comunicación Entornos hostiles No se puede innovar Desconexión con el negocio Gestión tradicional Procesos Robustos Documentación excesiva No se poseen métricas e indicadores No se tienen procesos de mejora continua No hay control de versiones Procesos manuales de construcción y despliegue de software. Pruebas manuales Aprovisionamiento manual de Infraestructura Monitoreo bajo demanda 2 Equipos de trabajo integrados por DEV y QA. Se presentan barreras de comunicación Se planifican actividades de innovación Solo se recibe la necesidad del usuario Gestión híbridos entre ágil - tradicional Procesos robustos Documentación excesiva se poseen pocos indicadores Pocas iniciativas de Mejora continua Existe un control de versiones (sin estándar de trabajo) Pruebas unitarias Construcción y despliegues basados en scripts Monitoreo de infraestructura Aprovisionamiento de infraestructura basado en script 3 Equipos base con roles del proyecto y a demanda OPS y SEC Se pueden presentar barreras de comunicación Ambiente neutral poco espacio para la innovación Participación a demanda del usuario Gestión ágil Procesos ligeros y efectivos Transición a Documentación efectiva Métricas e indicadores Se tiene plan anual de mejora continua. Control de versiones (Estrategias de ramificación) Pruebas unitarias automatizadas CI / CD validación manual implementación base de APM Aprovisionamiento de infraestructura basado en herramientas. 4 Equipos base con roles a demanda Se pueden presentar barreras de comunicación Ambiente seguro poco espacio para la innovación Participación en principales reuniones del usuario Gestión ágil Procesos ligeros y efectivos Documentación efectiva Métricas e indicadores Mejora continua Control de versiones de diferentes tipos de software CI/CD Automático Pruebas funcionales, de rendimiento y de seguridad SCA,SAST Identificación de incidentes y problemas con base en las métricas recolectadas Aprovisionamiento de entornos automatizados 5 Equipos interdisciplinarios Comunicación asertiva Ambiente seguro Fomento de la innovación Participación activa del usuario final Gestión ágil Procesos ligeros y efectivos Documentación efectiva Toma de decisiones en base a Métricas e indicadores Mejora continua iterativa como producto de la retroalimentación Control de versiones de todo artefacto de código CI/CD Automático Pruebas funcionales, de rendimiento y de seguridad SCA,SAST, DAST e IAST automáticas Remediación automática de incidentes en base al monitoreo. Aprovisionamiento de entornos automatizados y dinámico Niveles de madurez en DevSecOps
  • 20. Resultados y accionables (Ejemplo) • Assessment : Code (1.17 a nivel cuantitativo): • El equipo no tiene una herramienta para la gestión de código fuente. Manejan repositorio de archivos. Solo manejan Bitbucket para los proyectos nuevos por parte de un miembro del equipo. • Propuesta Code: • Pasar de 1.17 a 2.5 cuantitativo • Definir, habilitar y configurar herramienta para gestión de código • Definir y entrenar en el flujo de desarrollo estándar para gestión de código • Capacitar a los equipos frente al manejo del repositorio de código fuente y las prácticas de codificación que quiera seguir la compañía. • Tener un flujo de colaboración en desarrollo estándar y de conocimiento del equipo. • Fortalecer las prácticas de versionamiento de los componentes de software.
  • 23. Que practicas generan mayor impacto en la adopción de DevOps?
  • 24. • Plan: • Objetivos de negocio Primero • Proceso Iterativo/incremental • Code: • Uso de Frameworks de desarrollo • GenAI Assisted Development • Source Control • SAST Practicas de mayor impacto en DevOps/DevSecOps Valor Productividad Seguridad
  • 27. • Build: • CI – Continuous Integración (incluyendo Unit Testing) • SCA/SAST • Test: • Automatic Testing: Unit, Integration Practicas de mayor impacto en DevOps/DevSecOps Calidad - Velocidad Productividad - Calidad
  • 28. • Release: • CD – Continuous Delivery (En Ambientes Precios) • Runtime Testing • IaC • DAST • Deployment: • CD – Continuous Deployment ( Producción) • IaC – Policy Controls • Blue/Green - Canary Practicas de mayor impacto en DevOps/DevSecOps Calidad – Productividad - Consistencia Productividad - Consistencia Seguridad - Cumplimiento Confiabilidad
  • 29. • Operar: • Gestión de Logs • Operaciones como código • Observabilidad • Monitoreo: • Acciones por Alerta • Respuesta automática a eventos Practicas de mayor impacto en DevOps/DevSecOps Calidad - Velocidad Seguridad Confiabilidad
  • 30. Como aplico políticas y controles desde el día 1?
  • 32. ¿Qué es el Gobierno de Nube? • Se refiere a los procesos, las políticas y los controles utilizados para administrar, supervisar y proteger los recursos en un entorno de nube. • Esto incluye: • Gestión de identidad y Acceso • Políticas y Controles Organizacionales • Cumplimiento y Auditoria • Gestión de recursos • Gestión de Costos • Otros
  • 33. ¿Qué se logra con una estrategia de Gobierno de nube?
  • 34. Ambiente de Gobierno de Nube Listo para Migrar * Listo para Escalar * Optimizado y Eficiente Pilares de Well Architected Excelencia Operativa Seguridad Confiabilidad Rendimiento Optimización de Costos Retirar/Retener Recomprar Re-platforma (Lift, Tinker & Shift) Re-hospedar (Lift & Shift) Re-factorizar/Re- arquiitectar (Transformar & Modernizar) Funciones Interoperables de Gobierno y Gestión Controls & Guardrails Network Connectivity Identity Management Security Operations Service Mgmt (ITSM) Observability Cloud Financial Mgmt Sourcing & Distribution Sostenibilidad
  • 35. • Tipos de Controles • 32 - Preventivos • 31 - Detectivos (De detección) • 390+ Proactivos • Guía de Controles: • 22 - Mandatorios • 14 - Altamente recomendados • 27 - Electivos Controles desde una implementación de Gobierno de Nube Selección de Guardrails = Línea base Catalogo controles personalizados (Clouxter) Artefacto CloudFormation Guardrails Personalización Aceleración Establecer controles base de manera incremental Artefacto CloudFormation Personalizados
  • 36. Conclusiones • El mayor reto con la aplicación de buenas practicas son las personas • La alineación organizacional es clave para el éxito de la adopción de DevOps/DevSecOps • Es clave entender en que punto se encuentra de la adopción de la practica • Un modelo de Gobierno simplifica y facilita la aplicación de controles que alinean la teoría con la practica. • El uso de múltiples tecnologías incluyendo GenAI tienen un impacto importante en el proceso

Notas del editor

  • #6: Esperan que esto se logre en un corto tiempo
  • #7: Equipos sin capacidad Aplicaciones Recursos limitados Cultura
  • #36: (2min) Inicia +24 Pasamos ahora al escenario final o To Be donde veremos los beneficios que obtuvieron nuestros clientes, en este caso estoy haciendo zoom a la gestión de cumplimiento donde abordamos principalmente los controles Pero primero es importante comprender o tener una idea de lo que son esos controles: Básicamente son reglas de alto nivel que actúan como un límite o directriz para asegurar que las cuentas en la nube operen dentro de los parámetros establecidos por la organización Estos controles pueden ser preventivos (evitan que se realicen acciones no permitidas), detectivos (monitorean y alertan sobre actividades que no cumplen con las políticas) o proactivos, aquellos que se ejecutan durante el proceso de despliegue de recursos, por ejemplo, a través de CloudFormation Que obtuvieron nuestros clientes como beneficio en esta función? Aceleración: Definir los controles con los que debo comenzar puede suponer un gran reto, sin embargo, nosotros facilitamos el proceso disponiendo a nuestros clientes una selección de controles debidamente probados que constituyeron una línea base sólida de cumplimiento y que han sido validados exitosamente en más de 20 clientes Personalización: Luego se presentó un catálogo de controles que han sido construidos por nosotros y que fueron personalizados para cada uno de ellos