¿Qué es el Cumplimiento DevOps y Por Qué es Importante?
El cumplimiento es una necesidad: El cumplimiento normativo es fundamental para las empresas, especialmente aquellas que operan en línea. El cumplimiento afecta a todas las organizaciones y está convirtiéndose en esencial para hacer negocios prácticamente en cualquier lugar.
Maraña de regulaciones: Las empresas enfrentan numerosas normativas regulatorias como HIPAA, PCI DSS, GDPR y SOX. Estas reglas afectan el desarrollo moderno de software, lo que convierte el cumplimiento en una responsabilidad crucial para los equipos DevOps.
Anticipa el cumplimiento con DevOps: El cumplimiento DevOps busca integrar revisiones regulatorias desde etapas tempranas del ciclo de vida de desarrollo de software (SDLC). Este enfoque proactivo reduce riesgos al garantizar el cumplimiento en múltiples fases del desarrollo, y no solo antes del despliegue.
La automatización es la salvación del cumplimiento: La automatización en el SDLC debe incluir el cumplimiento para minimizar riesgos y costes. Garantizar el cumplimiento durante el desarrollo de nuevas funciones evita costosas correcciones posteriores y promueve la adhesión continua a las regulaciones.
Desafíos de visibilidad y colaboración: El cumplimiento efectivo en DevOps depende de cerrar las brechas entre equipos de ingeniería y GRC mediante visibilidad, comunicación mejorada, colaboración y herramientas tecnológicas avanzadas. Ambos equipos deben trabajar juntos sin fisuras.
El cumplimiento normativo podría ser uno de los temas menos glamorosos en toda la tecnología.
Sin embargo, es un tema completamente necesario. Los requisitos de cumplimiento afectan a organizaciones grandes, pequeñas y de tamaño intermedio, especialmente a cualquier empresa que opere en línea, que en este momento son todas las empresas.
“Hoy en día, la mayoría de las empresas están viendo un cambio en el panorama regulatorio con nuevas normativas que surgen cada año, a veces cada trimestre”, dice Daniel Marashlian, CTO y cofundador de Drata, una empresa de automatización de seguridad y cumplimiento. “El cumplimiento se está convirtiendo en un requisito esencial para hacer negocios [prácticamente en cualquier lugar].”
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
De hecho, la cantidad de acrónimos regulatorios parece una prueba en el oculista: HIPAA, PCI DSS, GDPR, SOX, FISMA, NIST – ¿sigues con nosotros? Eso es solo la punta del iceberg de las posibles reglas y marcos normativos con los que podrías tener que cumplir, especialmente en el mundo moderno del software.
Dado que el software empresarial se cruza prácticamente con cada parte de un negocio, resulta lógico que el software—y ni hablar de sus datos e infraestructura—forme parte integral del entorno regulatorio. Esto, a su vez, significa que los equipos DevOps tienen cada vez más responsabilidad en la estrategia y la postura de cumplimiento de su organización.
“A los equipos DevOps cada vez más se les pide que cumplan con estos nuevos requisitos regulatorios”, afirma Marashlian.
En este artículo, veremos más de cerca el cumplimiento en DevOps: qué es, por qué es importante y cómo lo implementan los equipos.
¿Qué es el Cumplimiento DevOps?
DevOps siempre ha consistido en construir mejores procesos, herramientas y equipos, con el objetivo final de entregar software excelente de manera rápida y confiable. El cumplimiento en DevOps, entonces, se centra en garantizar que el ciclo de vida de entrega de software (SDLC) cumpla con todos los requisitos de cumplimiento, ya sean dictados por políticas organizacionales, regulaciones gubernamentales, normas de la industria u otras reglas.
En el pasado, el cumplimiento podía verse como una verificación final antes del despliegue, o incluso como algo que no se priorizaba a menos que surgiera un problema en una versión en producción. Hoy en día, se busca incorporar el cumplimiento—al igual que la seguridad, control de calidad y otros procesos—lo más "a la izquierda" posible en el SDLC, es decir, en las etapas iniciales del desarrollo. Esto lo convierte en una parte más integrada del ciclo de vida y permite que los equipos verifiquen (en varias etapas) que su código y sus sistemas cumplen regularmente para reducir riesgos.
¿Por qué importa el cumplimiento en DevOps?
DevOps se ha convertido en uno de los enfoques principales para el desarrollo de software. Basta decir que muchas aplicaciones y, por supuesto, cualquier sistema que genere, use o almacene datos sensibles, están sujetos a diversas políticas, regulaciones y marcos de seguridad que rigen cómo operan las empresas.
El cumplimiento en DevOps es importante porque, sin él, es mucho más difícil minimizar riesgos y asegurar un cumplimiento constante, ya que los equipos despliegan código más rápido y con mayor frecuencia—realmente, de forma continua—que nunca antes. Esto es aún más cierto dado el nivel de automatización en muchos elementos del SDLC, incluidas las canalizaciones de integración/entrega continua (CI/CD), la automatización de infraestructura, automatización de seguridad y más. Esa misma mentalidad de "automatización primero" también debe aplicarse al cumplimiento.
“Incorporar el cumplimiento en las funcionalidades a medida que se desarrollan, en lugar de identificar estos problemas después de que la función es desplegada, puede evitar costosas remediaciones”, dice Marashlian.
Desafíos de cumplimiento en implementaciones DevOps
El cumplimiento en DevOps también es importante porque representa un cambio continuo en la forma en que los equipos de ingeniería de software interactúan con el resto de la organización. Así como DevOps buscó derribar barreras tradicionales entre dominios de TI—principalmente desarrollo y operaciones, pero también funciones como seguridad y control de calidad—el cumplimiento en DevOps debería facilitar el flujo entre los equipos de software y otros actores clave, especialmente el personal de gobernanza, riesgo y cumplimiento (GRC).
“En lo que respecta a los cambios realizados por los equipos de ingeniería, los equipos de GRC carecen de visibilidad sobre cómo estos cambios afectan su postura de cumplimiento, ya que la única manera de obtener esta visibilidad es mediante auditorías manuales o herramientas automatizadas que escanean su entorno de producción”, señala Marashlian.
Esto evidencia varios desafíos de cumplimiento superpuestos en los entornos DevOps: falta de visibilidad, falta de comunicación, falta de colaboración y falta de herramientas tecnológicas efectivas, especialmente aquellas que ayuden a implementar, automatizar y gestionar un “estado deseado” para los requisitos de cumplimiento de la empresa.
El cumplimiento en DevOps “significa dar visibilidad de los marcos de cumplimiento y requisitos normativos a los desarrolladores de una forma accesible y accionable, para que puedan asegurarse de que los objetivos de negocio de la organización relacionados con el cumplimiento se cumplan con sus cambios de código”, explica Marashlian.
Es una vía de doble sentido: los equipos de GRC también necesitan visibilidad y comprensión sobre cómo el software de una organización impacta en su postura de cumplimiento, pero de un modo que no genere fricción con los desarrolladores y ingenieros DevOps ni cree cuellos de botella en el SDLC.
Buenas noticias: Estos desafíos deberían sonar familiares para los profesionales DevOps experimentados porque son similares a los conflictos que antes existían entre Desarrollo y Operaciones. Las prácticas de DevOps, como los incentivos compartidos y las evaluaciones/post-mortem sin culpabilización, también pueden ser valiosas aquí.
La automatización también es fundamental, ya que permite realizar verificaciones frecuentes que comienzan temprano en el ciclo de vida del desarrollo de software (SDLC) y minimizan los problemas en producción más adelante. Si esos incidentes ocurren, un enfoque colaborativo para resolverlos—en lugar de buscar culpables—es crucial.
“Cuando se identifican problemas críticos de cumplimiento en producción, los equipos de GRC y de Ingeniería deben trabajar juntos para priorizar las soluciones de estos problemas, garantizando que la organización siga cumpliendo sus objetivos de conformidad”, dice Marashlian. “Esto ayuda a evitar los silos y facilita una colaboración más estrecha entre ambos equipos.”
Mejores prácticas para el cumplimiento DevOps
Independientemente de las herramientas específicas u otras soluciones que selecciones para el cumplimiento DevOps, hay algunos componentes clave y mejores prácticas que debes considerar como fundamentos para tu programa. Estos incluyen:
Reglas y objetivos claros: No puedes cumplir si no sabes cuál es el objetivo. Así que, naturalmente, cualquier programa de cumplimiento DevOps debe comenzar por identificar qué regulaciones y marcos normativos necesitas o quieres cumplir, y luego implementar políticas y herramientas en consecuencia. A veces, estos se pueden definir como “rangos aceptables”, lo que significa que existe un espectro de posibles resultados aceptables para las verificaciones de cumplimiento a medida que se ejecutan durante distintas fases del SDLC.
Control de versiones: Los sistemas de control de versiones como Git suelen estar ya presentes en las cadenas de herramientas DevOps. Eso es algo bueno porque el control de versiones se considera ampliamente imprescindible para el cumplimiento DevOps también: es una tecnología habilitadora para auditorías de seguridad y cumplimiento, entre otras razones.
Infraestructura como código (IaC): Las herramientas de infraestructura como código—o automatización de infraestructura—permiten a los ingenieros DevOps y a otros encargarse programáticamente de tareas de gestión de infraestructura como aprovisionamiento, escalado o configuraciones. Esto permite a los equipos DevOps gestionar la infraestructura de forma coherente y automática, ahorrando tiempo y esfuerzo significativos en tareas manuales y repetitivas de infraestructura.
Automatización de seguridad / DevSecOps: Aunque la seguridad y el cumplimiento suelen considerarse dominios separados, ciertamente están relacionados, especialmente en lo que respecta a los datos. Para simplificar la conexión: Si tienes vulnerabilidades de seguridad en tu software, infraestructura o datos, probablemente también tengas vulnerabilidades de cumplimiento. Una forma de ver el cumplimiento DevOps es que sigue un patrón similar al de DevOps y seguridad –que a veces se conoce como DevSecOps– en el sentido de que requiere una mentalidad de "shift left" y abandonar los antiguos paradigmas en los que la seguridad (y el cumplimiento) se trataban como una lista de comprobación final en el momento del despliegue.
Los procesos de cumplimiento también suelen cruzarse con varios estándares y estrategias de ciberseguridad, como el control de accesos (piensa en MFA/2FA y en el control de acceso basado en roles) y marcos de seguridad como los publicados por NIST u OWASP.
Conformidad como código (CaC): La Conformidad como Código (CaC)—también conocida como automatización de cumplimiento—utiliza scripts y herramientas de automatización para mitigar los riesgos relacionados con la configuración manual y asegurar la coherencia en todo el stack de TI y el SDLC de una organización.
CaC mejora la trazabilidad y la responsabilidad de los cambios realizados en la infraestructura y el software. En conjunto con Infraestructura como Código (IaC), las empresas pueden lograr cambios de infraestructura sostenibles, repetibles y auditables que se alineen con los mandatos de cumplimiento, y hacer lo mismo en sus bases de código de software.
Veremos con más detalle algunas herramientas CaC en la siguiente sección.
Herramientas y soluciones para el cumplimiento DevOps
Como señala Marashlian arriba, uno de los grandes desafíos del cumplimiento en cualquier organización es que es un entorno en constante evolución. Se aprueban nuevas normativas y leyes, los marcos o reglas existentes cambian, y así sucesivamente.
Esa es una de las principales propuestas de valor de las herramientas CaC. Aportan mayor estandarización, coherencia y automatización a las verificaciones de cumplimiento a lo largo del SDLC, al tiempo que preservan una clara trazabilidad de auditoría.
Como escribe Jim Bird, autor del libro de O’Reilly DevOpsSec: “La estandarización hace felices a los auditores. La auditoría hace felices a los auditores (obviamente). La Conformidad como Código proporciona una excelente trazabilidad de auditoría para cada cambio, desde cuando se solicitó el cambio y por qué, hasta quién realizó el cambio y qué cambió esa persona, quién revisó el cambio y qué se encontró en la revisión, cómo y cuándo se probó el cambio, hasta cuándo se desplegó.”
A medida que DevOps ha madurado, parece que más organizaciones están viendo la luz: Marashlian de Drata cita un reciente informe de Gartner que predice que “para 2026, el 70% de las empresas habrán integrado la conformidad como código en sus cadenas de herramientas DevOps, reduciendo la gestión de riesgos y mejorando el tiempo de entrega al menos en un 15%.”
Drata lanzó recientemente una capacidad de CaC en su plataforma. "Los equipos de DevOps y GRC obtienen visibilidad de los problemas de cumplimiento desde las primeras etapas del ciclo de desarrollo, [pueden] remediar fácilmente y rápidamente estos problemas en el código, y [pueden] construir barreras para controlar si se permiten realizar cambios de código que impacten la postura de cumplimiento de la organización", dice Marashlian.
Si eres una organización de atención médica que busca automatizar más aspectos del cumplimiento de HIPAA, por ejemplo, puedes configurar una herramienta de CaC para hacerlo. Esto es similar a la mayoría de los otros reglamentos importantes, como SOC 2, GDPR e ISO 27001. Las herramientas de CaC pueden ayudar a automatizar la validación de diferentes estándares de cumplimiento a lo largo del SDLC, avanzando hacia un modelo de cumplimiento continuo, muy parecido a la entrega continua y las canalizaciones de CD.
Existen varias otras opciones además de Drata, incluidas Vanta, Sprinto y Scrut. Obviamente, uno de los criterios básicos para la selección debe ser asegurarte de que cualquier herramienta que utilices pueda soportar tus requisitos de cumplimiento en particular.
Además, ten en cuenta que existe un menú mucho más amplio de herramientas de software que podrían estar bajo el paraguas del cumplimiento DevOps: sistemas de control de versiones como Git, plataformas de automatización como Terraform y Ansible, e incluso Kubernetes. Las principales plataformas en la nube también ofrecen sus propias versiones de estas y otras herramientas.
Conclusión
El cumplimiento regulatorio quizás no sea el mejor tema para iniciar una conversación en una cena, pero es imprescindible para la mayoría de las organizaciones. Y el cumplimiento —especialmente en lo que respecta a aplicaciones de software, datos e infraestructura— se gestiona cada vez más como código de manera altamente automatizada.
¿Qué papel juega tu DevOps en el cumplimiento de tu organización? ¡Suscríbete al boletín de The CTO Club para recibir más noticias y debates del sector!
