El desarrollo de aplicaciones se encuentra principalmente en el área de DevOps. Sin embargo, al mismo tiempo, es importante llevar al mercado productos innovadores lo más rápido posible. Las herramientas y los procesos de desarrollo son una bendición si no fuera por las muchas regulaciones de cumplimiento que deben observarse.
Con respecto a los errores de programa, ha habido un cambio en el desarrollo de software durante mucho tiempo. Esto significa que los errores deben detectarse y evitarse en una etapa temprana del proceso de aprovisionamiento de software. Ahora existe este cambio hacia el cumplimiento de las regulaciones legales y autoimpuestas.
Al integrar los requisitos de cumplimiento en el flujo de trabajo de desarrollo lo antes posible, los equipos de desarrollo pueden ahorrar tiempo al crear un código seguro y de bajo riesgo. Esto es particularmente importante en el sector financiero para cumplir con los estándares internos y, sobre todo, la normativa legal.
Por: Lenildo Morais. Maestro en la Ciencias de la Computación. Gerente de Proyectos en Ustore / Claro. Profesor del Centro Universitario Maurício de Nassau e Investigador de Assert – Tecnologías Avanzadas de Investigación en Ingeniería de Sistemas y Software.
¿Qué es el cumplimiento como código?
Cumplimiento como código significa definir los requisitos de cumplimiento en lenguaje legible por humanos y máquinas. Las configuraciones se pueden aprovisionar, probar, monitorear y documentar automáticamente en un entorno de TI regulado. Los métodos de cumplimiento similares al código garantizan que se cumplan los requisitos de cumplimiento normativo o interno de la empresa correctos en el camino a la producción, sin esfuerzo adicional ni toque. Por lo tanto, esto crea cumplimiento tanto en el desarrollo como en la operación.
Este tipo de implementación fluida y cumplimiento del cumplimiento es un enfoque central e importante para las grandes empresas, especialmente aquellas que están sujetas a regulaciones complejas. Al integrar el cumplimiento en el ciclo de vida de DevOps, puede optimizar su flujo de trabajo y ahorrar un valioso tiempo para los desarrolladores en términos de revisión y prueba.
La implementación requiere colaboración y transparencia
Para que todo tenga éxito, las pautas de cumplimiento deben definirse de antemano como pautas de código. Por lo tanto, los responsables de gestión, cumplimiento, auditoría interna, PMO y seguridad de la información deben trabajar juntos. Tienes que definir reglas y controlar los flujos de trabajo. La gerencia también debe comprender cómo manejar los riesgos operativos y de otro tipo.
La forma en que un banco implementa el cumplimiento de las directrices de cumplimiento como código, por ejemplo, depende de la estructura de los equipos respectivos. Sin embargo, en principio, la transparencia es fundamental. Para asegurar que la información sea compartida y las decisiones se tomen de manera colectiva, se debe establecer lo siguiente:
Revisiones por pares: la persona que escribe el código no debe ser la persona que publica el código. Esto asegura que no se realicen cambios sin que al menos otra persona revise el cambio. Para garantizar la calidad de las revisiones, los revisores de código se pueden seleccionar al azar.
Pruebas de seguridad para aplicaciones estáticas: las pruebas estáticas (o de caja blanca) deben realizarse siempre que se cambie el código.
Revisiones de códigos de alto riesgo: cualquier código que el equipo de administración considere de alto riesgo (como el código de seguridad) debe estar sujeto a revisión profesional cuando se realicen cambios.
Controles de acceso regulados: la dirección debe estar siempre pendiente del acceso: por un lado, para que los cambios no los pueda realizar un solo desarrollador y, por otro, para que cada cambio pase por todo el workflow y pueda ser verificado por cualquier con acceso al tablero.
También: PSD2 ¿Cómo monetizan los bancos?
Mejorando la tecnología a través de la cultura
La tecnología y los procesos solo funcionan si la cultura de los equipos está alineada con el objetivo respectivo y la cultura comienza desde arriba. Los líderes de equipo deben alentar y dar ejemplo de una mentalidad centrada en la seguridad y la apertura al cambio colaborativo. Esta puede ser una nueva forma de pensar para algunos, pero esta cultura ayuda a los equipos a adoptar la tendencia a girar a la izquierda. En última instancia, esto ahorra tiempo a todos los involucrados y se reduce el riesgo comercial.
El cumplimiento como código ofrece ventajas para toda la organización
Desde el desarrollador hasta el auditor externo, todos los involucrados se benefician cuando el cumplimiento está integrado en el código desde el principio. Estos beneficios incluyen:
Ahorro de tiempo: los equipos dedicarán menos tiempo a realizar correcciones de código de un lado a otro.
Transparencia de cumplimiento: la gerencia comprenderá dónde y cómo su propio software cumple con los requisitos de cumplimiento.
Los informes de rutina agilizan la auditoría: los informes completos del ciclo de vida de DevOps proporcionan documentación y evidencia que la administración puede usar para rastrear y optimizar todos los procesos de revisión regulatoria.
En el pasado, los bancos tenían dificultades para digitalizar continuamente sus procesos. Una regulación muy estricta en el sector bancario es sin duda un obstáculo para este desarrollo, pero el enfoque DevOps ofrece nuevas oportunidades para llevar productos al mercado más rápido, por ejemplo, en servicios en línea y banca de inversión. Con métodos de cumplimiento como el código, el cumplimiento se convierte en una parte integral del desarrollo y la operación del software.