NOTICIAS

Listado de noticias

ISMS Forum presenta su II Guía DevSecOps que ayuda a desarrollar estrategias de ciberseguridad desde el diseño

  • 03/06/2025

Durante el pasado XIV Foro de Ciberseguridad, celebrado recientemente en la capital, uno de los hitos clave fue la presentación de la segunda Guía sobre la metodología DevSecOps, uno de los pilares fundamentales de la seguridad moderna: la integración de la ciberseguridad en todas las fases del desarrollo de software.

En este panel participaron Enrique Cervantes, CISO de CESCE y coordinador de la publicación, junto con Yan Ballo, PMP, CDBA, CEO/CAIO de Space Minds, y Jorge Pardeiro, Head of Security by Design del Banco de Sabadell. Todos ellos explicaron cómo aplicar los principios de seguridad desde el diseño (by design) y seguridad por defecto (by default), promoviendo una cultura DevSecOps efectiva, colaborativa y alineada con los objetivos de negocio.

El debate resultó enriquecedor y se centró en los retos técnicos, organizativos y culturales para que la seguridad se convierta en un valor integrado y no añadido de forma posterior.

En la guía, coordinada por Enrique Cervantes, han participado, además de Ballo y Pardeiro, otros expertos como Álvaro Mora, Aníbal Ginés, Arturo Navarro, Eva González de Canales, José Antonio Gutiérrez y José Manuel Rivera.

Las opiniones de Cervantes y González de Canales, que se recogen a continuación, reflejan claramente la importancia de emplear esta metodología para reducir las vulnerabilidades en cualquier desarrollo de software. Ambos coinciden en que DevSecOps representa un salto de calidad para cualquier empresa que apueste por la seguridad desde el diseño, al ser una inversión más rentable que solucionar las vulnerabilidades una vez desplegadas.

Visión global de la seguridad

Para Enrique Cervantes, CISO de CESCE, impulsar el enfoque DevSecOps permite visualizar una estrategia global de seguridad del software. “Integrar la seguridad desde las fases iniciales del desarrollo rompe con la forma tradicional de trabajar, que ya ha demostrado ser ineficaz”, afirma.

Explica que CESCE ya aplica esta metodología, la cual ha potenciado desde su llegada a la compañía: “Esto se traduce en software más robusto y seguro desde el diseño, reduciendo significativamente el riesgo operativo y de cumplimiento normativo, algo crítico en el sector financiero. Nos permite ser más ágiles y responder más rápido a las necesidades del negocio sin comprometer la seguridad”.

Cervantes destaca que, sin este enfoque, cuando se detecta un problema de seguridad en producción, la corrección resulta costosa y compleja. “Si no se ha seguido una buena metodología, hay que reestructurar parte de la aplicación. Con DevSecOps, los fallos se detectan y solucionan en etapas más tempranas, lo cual es más fácil y económico”.

También resalta que DevSecOps implica una “colaboración total y sin silos”. Los equipos de desarrollo, operaciones y seguridad deben trabajar juntos desde el inicio de cada proyecto. “Fomentamos una cultura de responsabilidad compartida, donde la comunicación constante y la integración de procesos son clave”.

Sobre la automatización en las canalizaciones CI/CD, indica que “es fundamental. Nos permite ejecutar controles de seguridad de forma repetible y consistente en cada etapa del ciclo de vida del desarrollo, desde el commit hasta el despliegue”. Añade que esto acelera la detección temprana de vulnerabilidades, reduce errores manuales y asegura que solo el código validado llegue a producción.

En cuanto a la reducción de costes y vulnerabilidades, afirma: “El enfoque ‘shift left’ de la seguridad impacta directamente. Corregir errores en etapas tempranas es exponencialmente más barato que en producción. Esto reduce drásticamente los incidentes de seguridad y sus costes asociados”.

Como consejo para las organizaciones que quieran aplicar DevSecOps, Cervantes subraya: “Hay que empezar por la cultura. No es solo una cuestión tecnológica. La colaboración y la responsabilidad compartida son vitales. Tecnológicamente, identificar herramientas adecuadas e integrarlas progresivamente es clave. Hay que verlo como una inversión a largo plazo en resiliencia operativa y reducción del riesgo”.

Finalmente, recuerda que esta visión no es nueva: “El propio RGPD ya introdujo el concepto de privacy by design, que puede adaptarse perfectamente al enfoque DevSecOps”.

La metodología es útil

Por su parte, Eva González de Canales, Ingeniera Técnica y Responsable de Desarrollo Seguro en Abanca, ha liderado este ámbito durante los doce años que lleva en la entidad. Supervisa las tareas relacionadas con la seguridad del software desde el diseño, junto con un equipo de desarrolladores.

Señala que “ha sido interesante formar parte del equipo liderado por Enrique Cervantes para actualizar esta guía. Creo que hemos logrado una publicación muy práctica que detalla la implementación de esta metodología. Para que DevSecOps funcione, es fundamental involucrar a los departamentos de TI, Arquitectura, Gobierno y, también, al área de negocio”.

González de Canales insiste en que “es importante reportar con métricas comprensibles para todos, que expliquen el valor de estas acciones técnicas. Todo lo implementado debe ser medible para saber si estamos optimizando el uso de la tecnología. También es muy importante el papel de la dirección de la empresa, que debe estar implicada en el proceso”.

Abanca también apuesta por la automatización en la integración de la seguridad en sus canalizaciones CI/CD. “Esto permite realizar análisis durante el desarrollo, antes de pasar a producción, e identificar vulnerabilidades en el momento en que surgen. Al tener múltiples productos y servicios, contamos con muchas aplicaciones, por lo que automatizar es esencial”.

No obstante, advierte que “automatizar es complejo. Aunque muchas herramientas son automáticas, a menudo es necesario un triaje manual. Nosotros hacemos este análisis conjuntamente con los equipos de desarrollo, que tienen una visión clara de sus aplicaciones”.

Respecto a la utilidad de la guía, destaca que “implementar un proceso de seguridad integrado con el desarrollo permite detectar vulnerabilidades desde el inicio. Antes, se hacía un análisis anual, lo que dejaba muchas vulnerabilidades sin detectar. Con DevSecOps, el análisis es continuo y se integra desde el diseño inicial”.

Añade que “este enfoque facilita el trabajo y permite resolver vulnerabilidades de forma más rápida y económica. Es especialmente útil en cada aplicación y en el software en general”.

Como miembro del equipo que elaboró la nueva guía, su recomendación es clara: “Si la empresa ya trabaja con procesos similares, le será más fácil integrar la seguridad desde el diseño. Para las que empleen otras metodologías, será necesario un cambio de mentalidad”.

Concluye que “lo primero es adaptar toda la normativa de seguridad de la empresa. Todo debe estar documentado con normas y procedimientos. También es clave un programa de formación colaborativa desde el área de seguridad con los equipos de TI. Además, hay que reportar adecuadamente a la alta dirección y tener un inventario claro de activos tecnológicos e información crítica”.

Descarga aquí la guía

Global Gold Sponsor

ADVENS
Aiuken
Akamai
Armis
Avepoint
BigID Glosario
Biocatch
Bitdefender
BSI
cato
checkpoint-1421653472437
cisco-1421650965584
cloudflare1421692707520
comforte
corelight-1421708018278
crowdstrike-142x531699271338
logo-cyberark-pour-signaletiques--
cyberguru-1421683269126
cyberprooflogo-negro-011711383209
Deloitte
devo1421618475498
digit-142x531688728851
digital ai
elastic-1421681117927
entrust-1421665994898
EverBridge
extrahop
fortinet1584959160
fujitsu
group-ib-142x531696331301
hashicorp
hcl-1421692878218
ibmsubir1520936809
ic-consult-1421709636627
inmersivelabs-1421650967812
infoblox-142x531698221380
Innovery
insside-142x531694532390
Integrity360
Izertis
KPMG
leet-security
mandiant1712242876
METODOS Y TECNOLOGIA DE SISTEMAS Y PROCESOS, S.L.
microsoft1421636982759
mimecast
netskope1421542790367
nextvision-1421678725138
okta-142x531690371671
Omada
onetrust
Onum
OpenText
paloalto1421664436588
ping-identity
primix-142x531690198289
qualys-subir1520939472
proofpointsubir1491214442
recorderfuture1421636531854
red-sift-142-21668078952
riskrecon-1421646309412
netwitness
Rubrik
S2GRUPO-AZUL_400
Sailpoint
samsung-subir14912155251502970957
sectigo-142x531707909251
secure-it-1421679989183
security-scorecard-142x531696326865
semperis-1421677077532
sentinelonelogo-nuevo1712129729
sia1613034479
Sonatype
sosafe-142x531699271952
splunk1421636028052
spycloud-1421681117779
stormshield-1421681119821
symantec-142x531693480568
synack
Tier8
transmitsecurity
TRC
trellix-1421650963625
trustworks
varonis1421555406337
veracode-1421677058859
logo-cytomic-142x531698911457
wiz-1421650968592
xm-cyber-142x531693291888
zepo
zscalerlogo1421569595297

Síguenos la pista

Linkedin X-twitter Youtube Instagram

Estamos en

Calle Segre, 29 1ºB.
28002 Madrid – España
+34 91 563 50 62

+34 636 69 13 92

Close

Ventajas de ser socio

¿POR QUÉ HACERSE SOCIO DE ISMS FORUM?

  • Tendrás acceso gratuito a todos los eventos organizados por ISMS Forum, incluyendo la Jornada Internacional de Seguridad de la Información anual.
  • Contarás con descuentos especiales para matricularte en las actividades formativas organizadas por ISMS Forum, como cursos o seminarios.
  • Podrás darte de alta en el Registro de Profesionales Certificados de España y poner a disposición del mercado, si lo deseas, tus datos de contacto. El único requisito es poseer al menos alguna de las siguientes certificaciones:
    • CDPP, CCSP, CPCC, CAIP, CDPD
    • CISA, CISM, CISSP, CDPSE, CC
  • Recibirás la newsletter de la Asociación y tendrás acceso a la descarga gratuita de estudios y publicaciones fruto de la labor de los Grupos de Trabajo de ISMS Forum u otros de especial interés para el sector.
  • Gracias al networking podrías incrementar tu red de contactos e intercambiar experiencias con otros profesionales de la Seguridad de la Información que desarrollan su labor en empresas, administraciones públicas, universidades y centros de investigación, otras asociaciones y organismos de todos los sectores.
  • Podrás formar parte de los grupos de trabajo de las distintas iniciativas de ISMS Forum (Data Privacy Institute (DPI), Cloud Security Alliance España (CSA-ES), Cyber Security Center (CSC), Grupo de Inteligencia Artificial (GIA), y Cyber Resilien Centre (CRC), y participar directamente en el desarrollo de sus actividades.

Y ADEMÁS LAS EMPRESAS

  • Podrán hacer visible su compromiso con la Seguridad de la Información y materializar la Responsabilidad Social Corporativa.
  • Si eres empresa tendrás la capacidad para nombrar a 8 trabajadores de la empresa como socios de pleno derecho.
  • Si eres microempresa (empresas de menos de 10 trabajadores) podrás nombrar hasta 2 trabajadores como socios de pleno derecho.
  • Si eres una gran empresa tendrás la capacidad para nombrar a 24 trabajadores de la empresa como socios de pleno derecho

Si te haces socio de ISMS Forum, formarás parte de la mayor red activa de organizaciones y expertos comprometidos con la Seguridad de la Información en España.