Creando una Cultura DevSecOps en el Sector Público
Las administraciones públicas con equipos de desarrollo de software internos y externos deberían considerar adoptar un enfoque DevSecOps para facilitar una mayor eficiencia, colaboración, comunicación e integración entre los equipos de desarrollo de software, seguridad y operaciones de TI.
En un reciente evento de mesa redonda organizado por GitLab y ByTIC, Carlos Canitrot, director de consultoría en AdjudicacionesTIC, ofreció su perspectiva sobre la importancia de la cultura DevSecOps en las organizaciones públicas. Según Canitrot, DevSecOps es una metodología que incorpora la seguridad en todas las fases del desarrollo de software.
“Es una forma de abordar el desarrollo de software y la gestión de sistemas”, dijo.
Canitrot subrayó la relevancia de la metodología DevSecOps en el dominio público, donde la seguridad de los datos y los sistemas son cruciales. Según él, no se trata solo de desarrollar aplicaciones de manera eficiente, sino también de garantizar que estén protegidas contra vulnerabilidades y ciberataques desde el principio.
Identificó varios desafíos asociados con la adopción de DevSecOps en entornos públicos. Destacó la “cultura organizacional tradicional”, con estructuras jerárquicas y procesos burocráticos, como un obstáculo significativo para adoptar métodos ágiles y colaborativos. También señaló el considerable problema de la falta de habilidades y conocimientos de ciberseguridad.
Los desafíos adicionales que discutió Canitrot incluyeron la integración con sistemas heredados y la necesidad de garantizar la protección continua de los datos sensibles manejados por las administraciones públicas durante todo el proceso de desarrollo. “La implementación implica un cambio cultural muy significativo”, dijo. Para superar estos desafíos, Canitrot enfatizó la necesidad de un enfoque proactivo y una estrategia bien planificada adaptada a las necesidades y restricciones específicas de cada organización pública.
Los asistentes al evento incluyeron a José Andrés Jiménez, Jefe del Departamento de TIC en el Congreso de los Diputados; Israel Varea, Jefe de Área del Departamento de TIC en el Ministerio de Transición Ecológica y Desafío Demográfico; Luz Elena Barrado, Coordinadora CAJAL (Sistema de Defensa Médica) – Subdirección General de Planes y Sistemas de Telecomunicaciones en el Ministerio de Defensa; Sergio López, Coordinador en la Subdirección General de Planes y Sistemas de Telecomunicaciones en CESTIC, Conchi García, Consultora de Gestión de Servicios y Aplicaciones y Experta en Inteligencia Artificial en Madrid Digital; Francisco Matarrubia, ex Jefe de la Unidad de Sistemas de Información en AEAT/DIT, Emilio Salvador (VP de Relaciones con Desarrolladores y Comunidad) GitLab; y Garcia Kostrzewa (Ejecutivo Senior de Cuentas Estratégicas) GitLab.
José Andrés, Jefe de TIC en el Congreso de los Diputados, compartió sus reflexiones sobre los desafíos y los esfuerzos en curso dentro de su administración. Andrés enfatizó que su administración pública es un “universo algo separado” con poco en común con las administraciones públicas territoriales. Reconoció que el considerable legado tecnológico es un obstáculo para adoptar metodologías tecnológicas más avanzadas y ágiles, como DevOps.
“No llegas ni a DevOps”, admitió José Andrés. Sin embargo, también señaló que están haciendo esfuerzos para avanzar en esta área. Mencionó el contrato de ciberseguridad como servicio como un paso positivo. “Tenemos una parte muy importante de ciberseguridad relacionada con las aplicaciones y la calidad del software”, dijo.
Andrés también habló sobre los desafíos únicos que enfrenta su administración en cuanto al desarrollo de software. A diferencia de las administraciones públicas territoriales, cree que los parlamentos enfrentan obstáculos debido a la falta de aplicaciones específicas disponibles en el mercado. “El problema es que no hay grandes desarrollos de software para los parlamentos”, explicó. Esta falta de software hecho a medida para los parlamentos ha llevado a una fragmentación significativa y a un universo en expansión de pequeñas aplicaciones que consumen valiosos recursos.
Sin embargo, Andrés dijo que están haciendo esfuerzos para superar estos desafíos adaptándose a las tecnologías actuales y adoptando herramientas más simples y de bajo código. “Estamos haciendo esfuerzos significativos para llegar a esa cultura”, concluyó José Andrés, señalando que su enfoque es “muy poco ortodoxo” pero adaptado a la naturaleza única de su administración.
Israel Varea, jefe del Departamento de TIC en el Ministerio de Transición Ecológica y Desafío Demográfico, compartió sus pensamientos sobre los desafíos y oportunidades que enfrenta su departamento. Aunque el Ministerio es relativamente nuevo, ha trabajado duro para integrar y homogeneizar sus operaciones tecnológicas.
Varea explicó: “En el Ministerio de Transición Ecológica, todos los esfuerzos en los últimos años han estado en las áreas de comunicaciones, seguridad e infraestructura. La integración y consolidación de código y operaciones tecnológicas es una prioridad clave. El ministerio está en las primeras etapas de poner en marcha una cadena DevOps eficiente”.
Señaló la fragmentación dentro del ministerio como un desafío significativo. Nuestro ministerio está muy fragmentado», dijo, “así que todos tienen un poco de guerra por su cuenta”, reconoció Varea. La tarea principal es homogeneizar los desarrollos y despliegues para garantizar la coherencia y la eficiencia.
Varea también identificó la resistencia al cambio como otro obstáculo. “Siempre hay resistencia”, admitió. Sin embargo, enfatizó la importancia de una comunicación efectiva con los desarrolladores para establecer políticas homogéneas que sean aceptadas y aplicadas universalmente.
Israel Varea concluyó enfatizando la necesidad de colaboración e integración: “Lo que tenemos que hacer es realmente comunicarnos muy bien con las empresas que están haciendo los desarrollos. Este enfoque colaborativo será crucial para superar los desafíos actuales y futuros a medida que el ministerio avanza hacia una operación más cohesiva y eficiente”.
Por su parte, Luz Elena Barrado, Coordinadora CAJAL (Sistema de Defensa Médica) en la Subdirección General de Planes y Sistemas de Telecomunicaciones del Ministerio de Defensa, destacó la importancia de la adaptabilidad y el aprendizaje continuo en el Ministerio de Defensa. “Somos el servicio de telecomunicaciones para todo el ministerio”, explicó Barrado. A pesar de los avances en monitoreo y seguridad digital, admitió que «estamos un poco atrasados”. La razón principal se atribuye a las limitaciones presupuestarias y a la contratación con empresas externas. Sin embargo, Barrado enfatizó que se están haciendo progresos, aunque todavía queda un largo camino por recorrer.
Por otro lado, destacó la diversidad de tareas y responsabilidades dentro del departamento, que incluyen el monitoreo de plataformas y la introducción de nuevas herramientas para la gestión de sitios web. En su opinión, es vital avanzar en temas relacionados con la seguridad digital y el monitoreo. Aunque se ha hecho un progreso significativo, todavía queda un largo camino por recorrer para optimizar completamente estos aspectos cruciales.
Desafíos y Oportunidades Digitales en Madrid
Conchi García, Consultora de Gestión de Servicios y Aplicaciones y Experta en Inteligencia Artificial en Madrid Digital, señaló que “en Madrid Digital, no vemos dificultad en colaborar entre equipos externos e internos”. La pandemia ha demostrado la flexibilidad y adaptabilidad necesarias para mantener operativos los sistemas esenciales. Sin embargo, también señaló barreras para la integración entre diferentes disciplinas tecnológicas.
La complejidad tecnológica fue un tema central en su discurso. García explicó que los equipos multidisciplinarios enfrentan desafíos para integrar un conocimiento preciso de Cloud, Big Data e inteligencia artificial. “Estos grupos de personas que trabajan en diferentes disciplinas estaban acostumbrados a trabajar en entornos no integrados”, dijo.
Además, García expresó preocupaciones sobre la obsolescencia de las infraestructuras existentes y el riesgo asociado con la inteligencia artificial generativa. “Dependiendo de cómo lo uses, puedes sacar datos críticos o confidenciales de tu organización a esas plataformas”, advirtió. En un tono reflexivo, también abordó el tema del respeto por los valores europeos sobre la privacidad por parte de las plataformas tecnológicas no europeas. Dijo que, si bien hay iniciativas para construir una nube europea fuerte, todavía hay “agujeros” relacionados con problemas de privacidad.
La agilidad de la administración pública
En este contexto, Emilio Salvador, Vicepresidente de Relaciones con Desarrolladores y Comunidad en GitLab, ofreció sus pensamientos sobre la evolución y los desafíos que enfrenta la administración pública a medida que avanza hacia la simplificación y modernización de sus procesos.
Salvador expresó su asombro por “la velocidad con la que opera la administración pública”, lo que desafía las nociones preconcebidas de lentitud y burocracia. Destacó el Sistema de Contratación Dinámica (DPS) como un instrumento que promueve este proceso ágil, aunque no está exento de riesgos y desafíos. Salvador enfatizó la necesidad de preparación y colaboración para avanzar, declarando: “Finalmente, tienes que hacerlo, tienes que aprender sobre ello”.
La transición a modelos más ágiles como DevSecOps no es tarea fácil; implica una profunda transformación en tecnología, procesos y personas. “Poseer DevSecOps no es como comprar un producto”, comentó Salvador, destacando el viaje multifacético desde modelos tradicionales hasta enfoques más dinámicos e innovadores.
La seguridad también fue un tema importante en su discurso. Salvador planteó preguntas críticas sobre cómo se integra la seguridad en el desarrollo y quién se encarga de implementar políticas de seguridad efectivas. “¿Quién se informa sobre seguridad?”, preguntó, señalando un área crucial para la innovación y la mejora.
Salvador concluyó citando a José Andrés Jiménez: “la voluntad es poder”. A pesar de los desafíos inherentes que conlleva cualquier transformación significativa, Salvador ve un futuro prometedor impulsado por la voluntad colectiva de avanzar. La administración pública está en medio de una metamorfosis significativa; aunque todavía queda un largo camino por recorrer, los primeros pasos audaces ya están marcando una diferencia tangible.
Mientras tanto, Francisco Matarrubia, Jefe de la Unidad de Sistemas de Información en AEAT/DIT, compartió valiosas reflexiones sobre la evolución actual y los desafíos de la administración en el campo de la tecnología y la seguridad de TI.
Matarrubia, ahora retirado, no dudó en compartir su vasta experiencia y conocimientos acumulados a lo largo de los años. “La seguridad está en nuestro ADN”, dijo Matarrubia. Desde el primer día, “cada nuevo empleado recibe instrucciones detalladas sobre cómo usar las herramientas de su trabajo de manera responsable”. Una cultura que, en su experiencia, también se extiende a los colaboradores externos.
Matarrubia destacó el desafío pero también la necesidad imperativa de migrar al entorno abierto para implementar proyectos como poder presentar declaraciones de impuestos a través de un sitio web. “Era el único camino a seguir”, confesó. Este proceso requiere un liderazgo audaz y un equipo dispuesto a innovar y adaptarse a las nuevas tecnologías.
Mirando hacia el futuro, anticipa una expansión del departamento de ciberseguridad para fortalecer aún más las comunicaciones integradas y los planes de recuperación de desastres. “Es crítico”, enfatizó Matarrubia.
Con una mezcla equilibrada de personal interno y externo, así como salarios competitivos que atraen talento excepcional, AEAT/DIT está bien posicionado para enfrentar los desafíos futuros en un mundo cada vez más digitalizado e interconectado. “Es emocionante estar trabajando en esto”, concluyó Matarrubia.
Código abierto
Emilio Salvador de GitLab ofreció una retrospectiva de su carrera y la evolución del código abierto en la industria tecnológica.
Salvador recordó sus días en Microsoft en 2005, cuando su principal misión era promover el código cerrado como una opción segura y viable frente al modelo de código abierto. “Estamos hablando de 2005 y 2006, y ahora estamos viendo exactamente lo contrario, un fuerte impulso hacia las tecnologías de código abierto”, dijo Salvador.
Hoy en día, Kubernetes, una plataforma de código abierto que comenzó con Google, se ha convertido en un componente esencial de cualquier servicio o aplicación y en un estándar de la industria. Salvador enfatizó que ningún modelo es perfecto, ni el código abierto ni el cerrado. Sin embargo, argumentó que los modelos de código abierto permiten tiempos de reacción mucho más rápidos.
Salvador citó un incidente reciente en el que un ingeniero de Microsoft identificó un posible defecto importante en la tecnología simplemente utilizando tecnología de código abierto. Este incidente destaca la importancia de tener múltiples ojos en las soluciones de código abierto. “Si hubiera sido código cerrado, este individuo de Microsoft nunca lo habría descubierto”, dijo Salvador.
También destacó la relevancia del código abierto en la industria tecnológica actual y cómo ha cambiado la percepción del código abierto desde su inicio. Aunque reconoció que no hay un modelo perfecto, enfatizó las ventajas del código abierto, especialmente en términos de reactividad y transparencia.
Por otro lado, Jiménez pintó un panorama más sombrío del escenario actual del código abierto. “Estamos enfrentando una crisis; grandes infraestructuras respaldadas por voluntarios”, lamentó Jiménez, mientras exponía la desigualdad que existe en este ecosistema.
La seguridad también ocupó un lugar central en su discurso. “Peor que la falta de seguridad es una falsa sensación de ella”, advirtió Jiménez, instando a una integración más orgánica de los protocolos de seguridad en el desarrollo de software.
La pandemia también estuvo presente en su discurso; España ha presenciado un éxodo masivo de talento a empresas extranjeras gracias al teletrabajo. Varea se hizo cargo para abordar un tema crucial: la percepción negativa que rodea a las administraciones públicas entre los jóvenes talentos tecnológicos.
Sin adquisición
Varea expresó su asombro de que muchos estudiantes universitarios no vean la administración pública como una opción de carrera atractiva. Según él, “Me ha sorprendido que se sorprendan de que en las administraciones públicas hagamos proyectos tecnológicamente interesantes y de vanguardia que brindan un servicio a los ciudadanos”. Esta declaración refleja un desafío significativo: cambiar la narrativa y percepción existentes de las oportunidades de carrera en el sector público.
Además, Varea destacó cómo los estudiantes se vuelven más receptivos y entusiastas cuando se les presentan proyectos reales e impactantes desarrollados dentro de la esfera pública. “En cuanto les hablas de proyectos reales, sus caras se iluminan y luego les prestan atención”, dijo.
Varea también señaló la necesidad de una mejor comunicación y divulgación a los jóvenes para informarles sobre las iniciativas significativas e innovadoras que se están llevando a cabo en el sector público. “Si realmente queremos atraer a los jóvenes, tenemos que hacerles ver no solo las condiciones de trabajo y demás, sino que hay proyectos geniales”, dijo.