[{"data":1,"prerenderedAt":471},["ShallowReactive",2],{"/es/the-source/authors/josh-lemos/":3,"footer-es":34,"the-source-banner-es":342,"the-source-navigation-es":354,"the-source-newsletter-es":381,"authors-es":392,"categories-es":422,"josh-lemos-articles-list-es":423},{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"config":8,"seo":10,"content":12,"type":26,"slug":27,"_id":28,"_type":29,"title":11,"_source":30,"_file":31,"_stem":32,"_extension":33},"/es/the-source/authors/josh-lemos","authors",false,"",{"layout":9},"the-source",{"title":11},"Josh Lemos",[13,24],{"componentName":14,"componentContent":15},"TheSourceAuthorHero",{"config":16,"name":11,"role":19,"bio":20,"headshot":21},{"gitlabHandle":17,"linkedInProfileUrl":18},"joshlemos","https://www.linkedin.com/in/joshlemos/","Director de Seguridad de la Información","Josh Lemos es director de Seguridad de la Información en GitLab Inc. Sus 20 años de experiencia dirigiendo equipos de seguridad de la información lo convierten una parte fundamental del equipo. Su responsabilidad incluye definir y mantener la visión, la estrategia y el programa de la empresa para garantizar la protección de los activos y las tecnologías de la información, fortalecer la plataforma de DevSecOps de GitLab y garantizar el máximo nivel de seguridad para los clientes.",{"altText":11,"config":22},{"src":23},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463405/f4rqtiecakrekvxfhqar.jpg",{"componentName":25},"TheSourceArticlesList","author","josh-lemos","content:es:the-source:authors:josh-lemos.yml","yaml","content","es/the-source/authors/josh-lemos.yml","es/the-source/authors/josh-lemos","yml",{"_path":35,"_dir":36,"_draft":6,"_partial":6,"_locale":7,"data":37,"_id":338,"_type":29,"title":339,"_source":30,"_file":340,"_stem":341,"_extension":33},"/shared/es/main-footer","es",{"text":38,"source":39,"edit":45,"contribute":50,"config":55,"items":60,"minimal":330},"Git es una marca registrada de Software Freedom Conservancy, y nuestro uso de «GitLab» está bajo licencia",{"text":40,"config":41},"Ver fuente de la página",{"href":42,"dataGaName":43,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":46,"config":47},"Editar esta página",{"href":48,"dataGaName":49,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":51,"config":52},"Contribuya",{"href":53,"dataGaName":54,"dataGaLocation":44},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":56,"facebook":57,"youtube":58,"linkedin":59},"https://twitter.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[61,88,161,229,291],{"title":62,"links":63,"subMenu":69},"Plataforma",[64],{"text":65,"config":66},"Plataforma de DevSecOps",{"href":67,"dataGaName":68,"dataGaLocation":44},"/es/platform/","devsecops platform",[70],{"title":71,"links":72},"Precios",[73,78,83],{"text":74,"config":75},"Ver planes",{"href":76,"dataGaName":77,"dataGaLocation":44},"/es/pricing/","view plans",{"text":79,"config":80},"¿Por qué elegir GitLab Premium?",{"href":81,"dataGaName":82,"dataGaLocation":44},"/es/pricing/premium/","why premium",{"text":84,"config":85},"¿Por qué elegir GitLab Ultimate?",{"href":86,"dataGaName":87,"dataGaLocation":44},"/es/pricing/ultimate/","why ultimate",{"title":89,"links":90},"Soluciones",[91,96,101,106,111,116,121,126,131,136,141,146,151,156],{"text":92,"config":93},"Transformación digital",{"href":94,"dataGaName":95,"dataGaLocation":44},"/es/topics/digital-transformation/","digital transformation",{"text":97,"config":98},"Seguridad y cumplimiento",{"href":99,"dataGaName":100,"dataGaLocation":44},"/solutions/application-security-testing/","Application security testing",{"text":102,"config":103},"Entrega de software automatizada",{"href":104,"dataGaName":105,"dataGaLocation":44},"/solutions/delivery-automation/","automated software delivery",{"text":107,"config":108},"Desarrollo ágil",{"href":109,"dataGaName":110,"dataGaLocation":44},"/es/solutions/agile-delivery/","agile delivery",{"text":112,"config":113},"Transformación en la nube",{"href":114,"dataGaName":115,"dataGaLocation":44},"/es/topics/cloud-native/","cloud transformation",{"text":117,"config":118},"Gestión del código fuente",{"href":119,"dataGaName":120,"dataGaLocation":44},"/es/solutions/source-code-management/","source code management",{"text":122,"config":123},"CI/CD",{"href":124,"dataGaName":125,"dataGaLocation":44},"/es/solutions/continuous-integration/","continuous integration & delivery",{"text":127,"config":128},"Gestión del flujo de valor",{"href":129,"dataGaName":130,"dataGaLocation":44},"/es/solutions/value-stream-management/","value stream management",{"text":132,"config":133},"GitOps",{"href":134,"dataGaName":135,"dataGaLocation":44},"/es/solutions/gitops/","gitops",{"text":137,"config":138},"Empresas",{"href":139,"dataGaName":140,"dataGaLocation":44},"/es/enterprise/","enterprise",{"text":142,"config":143},"Pequeñas empresas",{"href":144,"dataGaName":145,"dataGaLocation":44},"/es/small-business/","small business",{"text":147,"config":148},"Sector público",{"href":149,"dataGaName":150,"dataGaLocation":44},"/es/solutions/public-sector/","public sector",{"text":152,"config":153},"Educación",{"href":154,"dataGaName":155,"dataGaLocation":44},"/es/solutions/education/","education",{"text":157,"config":158},"Servicios financieros",{"href":159,"dataGaName":160,"dataGaLocation":44},"/es/solutions/finance/","financial services",{"title":162,"links":163},"Recursos",[164,169,174,179,184,189,194,199,204,209,214,219,224],{"text":165,"config":166},"Instalar",{"href":167,"dataGaName":168,"dataGaLocation":44},"/es/install/","install",{"text":170,"config":171},"Guías de inicio rápido",{"href":172,"dataGaName":173,"dataGaLocation":44},"/es/get-started/","quick setup checklists",{"text":175,"config":176},"Aprender",{"href":177,"dataGaName":178,"dataGaLocation":44},"https://university.gitlab.com/","learn",{"text":180,"config":181},"Documentación del producto",{"href":182,"dataGaName":183,"dataGaLocation":44},"https://docs.gitlab.com/","docs",{"text":185,"config":186},"Blog",{"href":187,"dataGaName":188,"dataGaLocation":44},"/blog/","blog",{"text":190,"config":191},"Historias de éxito del cliente",{"href":192,"dataGaName":193,"dataGaLocation":44},"/es/customers/","customer success stories",{"text":195,"config":196},"Remoto",{"href":197,"dataGaName":198,"dataGaLocation":44},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"text":200,"config":201},"Servicios de GitLab",{"href":202,"dataGaName":203,"dataGaLocation":44},"/es/services/","services",{"text":205,"config":206},"TeamOps",{"href":207,"dataGaName":208,"dataGaLocation":44},"/es/teamops/","teamops",{"text":210,"config":211},"Comunidad",{"href":212,"dataGaName":213,"dataGaLocation":44},"/community/","community",{"text":215,"config":216},"Foro",{"href":217,"dataGaName":218,"dataGaLocation":44},"https://forum.gitlab.com/","forum",{"text":220,"config":221},"Eventos",{"href":222,"dataGaName":223,"dataGaLocation":44},"/events/","events",{"text":225,"config":226},"Socios",{"href":227,"dataGaName":228,"dataGaLocation":44},"/partners/","partners",{"title":230,"links":231},"Empresa",[232,237,242,247,252,257,262,266,271,276,281,286],{"text":233,"config":234},"Acerca de nosotros",{"href":235,"dataGaName":236,"dataGaLocation":44},"/es/company/","company",{"text":238,"config":239},"Jobs",{"href":240,"dataGaName":241,"dataGaLocation":44},"/jobs/","jobs",{"text":243,"config":244},"Liderazgo",{"href":245,"dataGaName":246,"dataGaLocation":44},"/company/team/e-group/","leadership",{"text":248,"config":249},"Equipo",{"href":250,"dataGaName":251,"dataGaLocation":44},"/company/team/","team",{"text":253,"config":254},"Manual",{"href":255,"dataGaName":256,"dataGaLocation":44},"https://handbook.gitlab.com/","handbook",{"text":258,"config":259},"Relaciones con los inversores",{"href":260,"dataGaName":261,"dataGaLocation":44},"https://ir.gitlab.com/","investor relations",{"text":263,"config":264},"Sustainability",{"href":265,"dataGaName":263,"dataGaLocation":44},"/sustainability/",{"text":267,"config":268},"Diversidad, inclusión y pertenencia (DIB)",{"href":269,"dataGaName":270,"dataGaLocation":44},"/es/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":272,"config":273},"Centro de confianza",{"href":274,"dataGaName":275,"dataGaLocation":44},"/es/security/","trust center",{"text":277,"config":278},"Boletín",{"href":279,"dataGaName":280,"dataGaLocation":44},"/company/contact/","newsletter",{"text":282,"config":283},"Prensa",{"href":284,"dataGaName":285,"dataGaLocation":44},"/press/","press",{"text":287,"config":288},"Declaración de transparencia sobre la Ley de Esclavitud Moderna",{"href":289,"dataGaName":290,"dataGaLocation":44},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"title":292,"links":293},"Comuníquese con nosotros",[294,299,304,309,314,319,324],{"text":295,"config":296},"Contactar con un experto",{"href":297,"dataGaName":298,"dataGaLocation":44},"/es/sales/","sales",{"text":300,"config":301},"Obtener ayuda",{"href":302,"dataGaName":303,"dataGaLocation":44},"/support/","get help",{"text":305,"config":306},"Portal de clientes",{"href":307,"dataGaName":308,"dataGaLocation":44},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"text":310,"config":311},"Estado",{"href":312,"dataGaName":313,"dataGaLocation":44},"https://status.gitlab.com/","status",{"text":315,"config":316},"Términos de uso",{"href":317,"dataGaName":318,"dataGaLocation":44},"/terms/","terms of use",{"text":320,"config":321},"Declaración de privacidad",{"href":322,"dataGaName":323,"dataGaLocation":44},"/es/privacy/","privacy statement",{"text":325,"config":326},"Preferencias de cookies",{"dataGaName":327,"dataGaLocation":44,"id":328,"isOneTrustButton":329},"cookie preferences","ot-sdk-btn",true,{"items":331},[332,334,336],{"text":315,"config":333},{"href":317,"dataGaName":318,"dataGaLocation":44},{"text":320,"config":335},{"href":322,"dataGaName":323,"dataGaLocation":44},{"text":325,"config":337},{"dataGaName":327,"dataGaLocation":44,"id":328,"isOneTrustButton":329},"content:shared:es:main-footer.yml","Main Footer","shared/es/main-footer.yml","shared/es/main-footer",{"_path":343,"_dir":344,"_draft":6,"_partial":6,"_locale":7,"id":345,"visibility":329,"title":346,"button":347,"_id":351,"_type":29,"_source":30,"_file":352,"_stem":353,"_extension":33},"/shared/es/the-source/banner/the-economics-of-software-innovation-2025-08-18","banner","The Economics of Software Innovation","The Economics of Software Innovation—AI’s $750 Billion Opportunity",{"config":348,"text":350},{"href":349},"/software-innovation-report/","Get the research report","content:shared:es:the-source:banner:the-economics-of-software-innovation-2025-08-18.yml","shared/es/the-source/banner/the-economics-of-software-innovation-2025-08-18.yml","shared/es/the-source/banner/the-economics-of-software-innovation-2025-08-18",{"_path":355,"_dir":9,"_draft":6,"_partial":6,"_locale":7,"logo":356,"subscribeLink":361,"navItems":365,"_id":377,"_type":29,"title":378,"_source":30,"_file":379,"_stem":380,"_extension":33},"/shared/es/the-source/navigation",{"altText":357,"config":358},"the source logo",{"src":359,"href":360},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1750191004/t7wz1klfb2kxkezksv9t.svg","/es/the-source/",{"text":362,"config":363},"Suscribirse",{"href":364},"#subscribe",[366,370,373],{"text":367,"config":368},"Inteligencia artificial",{"href":369},"/es/the-source/ai/",{"text":97,"config":371},{"href":372},"/es/the-source/security/",{"text":374,"config":375},"Plataforma e infraestructura",{"href":376},"/es/the-source/platform/","content:shared:es:the-source:navigation.yml","Navigation","shared/es/the-source/navigation.yml","shared/es/the-source/navigation",{"_path":382,"_dir":9,"_draft":6,"_partial":6,"_locale":7,"title":383,"description":384,"submitMessage":385,"formData":386,"_id":389,"_type":29,"_source":30,"_file":390,"_stem":391,"_extension":33},"/shared/es/the-source/newsletter","Boletín The Source","Manténgase al día con información sobre el futuro del desarrollo de software.","Se ha suscrito correctamente al boletín The Source.",{"config":387},{"formId":388,"formName":280,"hideRequiredLabel":329},28470,"content:shared:es:the-source:newsletter.yml","shared/es/the-source/newsletter.yml","shared/es/the-source/newsletter",{"amanda-rueda":393,"andre-michael-braun":394,"andrew-haschka":395,"ayoub-fandi":396,"brian-wald":397,"bryan-ross":398,"chandler-gibbons":399,"dave-steer":400,"ddesanto":401,"derek-debellis":402,"emilio-salvador":403,"erika-feldman":404,"george-kichukov":405,"gitlab":406,"grant-hickman":407,"haim-snir":408,"iganbaruch":409,"jlongo":410,"joel-krooswyk":411,"josh-lemos":11,"julie-griffin":412,"kristina-weis":413,"lee-faus":414,"ncregan":415,"rschulman":416,"sabrina-farmer":417,"sandra-gittlen":418,"sharon-gaudin":419,"stephen-walters":420,"taylor-mccaslin":421},"Amanda Rueda","Andre Michael Braun","Andrew Haschka","Ayoub Fandi","Brian Wald","Bryan Ross","Chandler Gibbons","Dave Steer","David DeSanto","Derek DeBellis","Emilio Salvador","Erika Feldman","George Kichukov","GitLab","Grant Hickman","Haim Snir","Itzik Gan Baruch","Joseph Longo","Joel Krooswyk","Julie Griffin","Kristina Weis","Lee Faus","Niall Cregan","Robin Schulman","Sabrina Farmer","Sandra Gittlen","Sharon Gaudin","Stephen Walters","Taylor McCaslin",{"ai":367,"platform":374,"security":97},{"allArticles":424,"visibleArticles":470,"showAllBtn":329},[425,449],{"_path":426,"_dir":427,"_draft":6,"_partial":6,"_locale":7,"config":428,"seo":431,"content":435,"type":444,"category":427,"slug":445,"_id":446,"_type":29,"title":432,"_source":30,"_file":447,"_stem":448,"_extension":33,"date":436,"description":437,"timeToRead":438,"heroImage":434,"keyTakeaways":439,"articleBody":443},"/es/the-source/security/key-security-trends-for-cisos-in-2025","security",{"layout":9,"template":429,"author":27,"featured":6,"sourceCTA":430,"isHighlighted":6,"authorName":11},"TheSourceArticle","source-lp-ai-guide-for-enterprise-leaders-building-the-right-approach",{"title":432,"description":433,"ogImage":434},"Tendencias clave de seguridad para los CISO en 2025","Explore las tendencias clave de seguridad para 2025: IA como riesgo y oportunidad, nueva gestión de identidades y equipos DevOps más resilientes.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464506/hyue0lgqq2lqk3arwnel.jpg",{"title":432,"date":436,"description":437,"timeToRead":438,"heroImage":434,"keyTakeaways":439,"articleBody":443},"2025-02-25","Explore las tendencias de seguridad esenciales para 2025: cómo la IA crea nuevos riesgos y oportunidades, remodela la gestión de identidades y fortalece los equipos de DevOps.","Lectura de 5 min",[440,441,442],"Adoptar IA crea riesgos y oportunidades de seguridad. Las organizaciones deben hacer un seguimiento del uso de la IA en los productos de los proveedores, prepararse para posibles interrupciones y aprovechar la IA para fortalecer los controles de seguridad.","La modernización de la gestión de identidades es clave para gestionar interacciones complejas entre máquinas, permisos dinámicos y acceso a sistemas de IA, y esto requiere herramientas de seguridad más flexibles y adaptables.","Las herramientas de IA cierran la brecha de habilidades de seguridad de DevOps con la automatización de comprobaciones de seguridad, la sugerencia de patrones de codificación seguros y la integración de la seguridad en todo el ciclo de desarrollo.","En 2025, muchas de sus herramientas de seguridad críticas incluirán modelos de IA que no podrá inspeccionar ni controlar por completo. La junta directiva ya se está preguntando cómo evitará la próxima gran vulneración de seguridad. Mientras tanto, sus competidores están utilizando la IA para automatizar la seguridad a una escala que era imposible hace solo unos meses. La evolución de los requisitos reglamentarios agrega otra capa de complejidad, ya que las nuevas reglas en la Unión Europea y California afectan la forma en que se pueden usar los sistemas de IA.\n\nEl panorama de la seguridad está evolucionando rápidamente, pero con el enfoque correcto, puede aprovechar estos desafíos para construir defensas más sólidas mientras se protege contra las nuevas amenazas cibernéticas. Estas son tres tendencias clave que marcarán el panorama de la seguridad empresarial este año.\n\n## 1. Vulnerabilidades en los LLM propios\nCada vez más proveedores utilizan modelos de lenguaje grandes (LLM) fundacionales propios en sus productos, lo que genera nuevos riesgos para su organización. La mayoría de estos LLM son cajas negras: no se puede saber mucho sobre cómo funcionan o qué controles de seguridad tienen. Los investigadores de seguridad han demostrado la fragilidad de las medidas de protección de la IA. La superficie de ataque sobre los modelos es cada vez más grande, y esto también se refleja en los productos que dependen de ellos.\n\nDado que muchos productos dependen de los mismos pocos LLM propios, un ataque a uno podría afectar simultáneamente a muchos de sus sistemas. Esta concentración de riesgos es particularmente preocupante, ya que las funciones empresariales más críticas dependen de herramientas con IA. Deberá hacer lo siguiente:\n\n- Comprobar cuáles de sus proveedores utilizan LLM\n- Evaluar los controles de seguridad que estos proveedores tienen establecidos\n- Planificar posibles interrupciones si falla un servicio basado en LLM\n- Desarrollar planes de respaldo para sistemas críticos que dependen de la IA\n\n> Consulte más información: [Crear una estrategia de IA que priorice la transparencia: 7 preguntas para hacerle a su proveedor de DevOps](https://about.gitlab.com/es/the-source/ai/building-a-transparency-first-ai-strategy-7-questions-to-ask-your-devops/)\n\n## 2. Desafíos de la gestión de identidades\nLos sistemas en la nube y de IA están cambiando la forma en que gestionamos el acceso a los sistemas que utilizamos todos los días. Sus sistemas de identidad ahora deben gestionar lo siguiente:\n\n- Un aumento en las identidades no humanas basadas en servicios\n- Más conexiones de máquina a máquina\n- Cambios rápidos en los accesos necesarios\n- Cadenas complejas de permisos entre servicios\n- Sistemas de IA que necesitan diferentes niveles de acceso a los datos\n\nLas herramientas tradicionales de gestión de identidades y accesos no se crearon para estos desafíos. Necesitará herramientas de identidad más flexibles que puedan adaptarse rápidamente a medida que cambien sus necesidades. Considere implementar [principios Zero Trust y acceso justo a tiempo](https://about.gitlab.com/the-source/security/field-guide-to-threat-vectors-in-the-software-supply-chain/) para controlar mejor estos entornos dinámicos.\n\nLos equipos de seguridad también deben desarrollar estrategias y prepararse para la creciente complejidad de la IA agente con el mismo nivel de rigor y auditabilidad que aplican a los usuarios humanos. A medida que proliferan los sistemas de IA, [el seguimiento y la protección de estas identidades no humanas](https://about.gitlab.com/blog/improve-ai-security-in-gitlab-with-composite-identities/) se vuelve tan importante como la gestión del acceso de los usuarios humanos.\n\n## 3. Hacer que la seguridad funcione en DevOps\n[En una encuesta reciente](https://about.gitlab.com/developer-survey/), el 58 % de los desarrolladores dijeron que sienten cierto grado de responsabilidad por la seguridad de las aplicaciones, pero sigue siendo difícil encontrar personal de DevOps con habilidades de seguridad. Las herramientas con tecnología de IA pueden ayudar de las siguientes maneras:\n\n- Buscar en el código vulnerabilidades de seguridad y posibles amenazas en las primeras etapas del desarrollo, antes de que generen problemas\n- Sugerir patrones de codificación seguros\n- Configurar los permisos de acceso correctos de forma automática\n- Automatizar tareas repetitivas a lo largo del proceso de desarrollo\n\nEstas herramientas pueden ayudar a su equipo de seguridad actual a trabajar de manera más eficiente. También pueden ayudar a los desarrolladores a detectar problemas de seguridad comunes antes de que el código llegue a producción. Esto significa menos emergencias para su equipo y mejores resultados de seguridad en general.\n\nConsidere invertir en herramientas que se integren directamente en los flujos de trabajo de los desarrolladores. Cuanto más fácil sea para los desarrolladores trabajar de forma segura, más probable será que lo hagan.\n\n## Tomar medidas: adoptar la IA para proteger el panorama contra amenazas\nPara mantenerse al día con estos cambios:\n\n1. Identifique dónde las herramientas de IA interactúan con sus sistemas y evalúe los riesgos.\n2. Actualice su enfoque de gestión de identidades para cubrir las necesidades de la nube y la IA.\n3. Busque formas en que la IA pueda reforzar su trabajo de seguridad.\n4. Mantenga a su junta directiva informada sobre los nuevos riesgos y regulaciones de la IA.\n5. Establezca relaciones con proveedores clave para comprender sus medidas de seguridad en IA. \n6. Capacite a su equipo sobre los riesgos y oportunidades de seguridad con la IA. \n\nSi bien la IA conlleva nuevos riesgos, también le brinda nuevas herramientas para proteger su organización. Concéntrese en usar la IA para fortalecer su enfoque de seguridad mientras permanece atento a las nuevas amenazas. Las revisiones periódicas de su enfoque de seguridad de IA le ayudarán a mantenerse a la vanguardia de los riesgos emergentes.\n\n## De cara al futuro\nEl panorama de la seguridad seguirá evolucionando a medida que avance la tecnología de la IA. Mantenga la flexibilidad y la disposición para adaptar su estrategia de seguridad a medida que surjan nuevas amenazas y oportunidades. Fomente relaciones sólidas en toda su organización, especialmente con los equipos legales, de desarrollo y de operaciones. Estas asociaciones le ayudarán a responder de manera más efectiva a los desafíos de seguridad.\n\nRecuerde que, si bien la tecnología cambia, su misión principal sigue siendo la misma: proteger los activos de su organización y garantizar operaciones comerciales seguras. Implemente nuevas herramientas y enfoques cuando sea pertinente, pero no descuide los aspectos esenciales de la seguridad en el impulso por adoptar la IA.","article","key-security-trends-for-cisos-in-2025","content:es:the-source:security:key-security-trends-for-cisos-in-2025.yml","es/the-source/security/key-security-trends-for-cisos-in-2025.yml","es/the-source/security/key-security-trends-for-cisos-in-2025",{"_path":450,"_dir":427,"_draft":6,"_partial":6,"_locale":7,"config":451,"seo":453,"content":458,"type":444,"category":427,"slug":466,"_id":467,"_type":29,"title":454,"_source":30,"_file":468,"_stem":469,"_extension":33,"date":459,"description":460,"timeToRead":438,"heroImage":456,"keyTakeaways":461,"articleBody":465},"/es/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",{"layout":9,"template":429,"author":27,"featured":329,"sourceCTA":452,"isHighlighted":6,"authorName":11},"application-security-in-the-digital-age",{"title":454,"description":455,"ogImage":456,"config":457},"Abordar el origen de las frustraciones habituales en seguridad","Las frustraciones en seguridad suelen ser culturales, pero también importa la complejidad tecnológica y cómo se gestionan las vulnerabilidades.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464489/mragusmxl1wz8ozdaoml.png",{"ignoreTitleCharLimit":329},{"title":454,"date":459,"description":460,"timeToRead":438,"heroImage":456,"keyTakeaways":461,"articleBody":465},"2024-10-29","Las frustraciones en materia de seguridad suelen enmarcarse en una cuestión cultural, pero los responsables también deben centrarse en aspectos como la complejidad de la pila tecnológica y la gestión de vulnerabilidades.",[462,463,464],"Adoptar el análisis autenticado en la gestión de vulnerabilidades aumenta la eficacia, pero puede desviar los esfuerzos de ingeniería hacia tareas no críticas y crear así una división entre los equipos de seguridad e ingeniería.","Un enfoque minimalista del desarrollo de software puede minimizar las dependencias, reducir las alertas generadas por el análisis de vulnerabilidades y aligerar la carga del desarrollador, lo que contribuye a mejorar la seguridad del software.","La adopción de un enfoque estructurado, que implica patrones de diseño probados y garantizados basados en casos de uso repetibles, puede reducir la carga de los equipos de ingeniería y aumentar la seguridad.","Este año, la [encuesta anual de profesionales de DevSecOps](https://about.gitlab.com/developer-survey/) de GitLab reveló varios problemas relacionados con la cultura organizacional que podrían estar impidiendo una alineación más profunda entre los equipos de ingeniería y seguridad. La mayoría (el 58 %) de los encuestados sobre seguridad dijeron que tienen dificultades para lograr que el departamento de desarrollo priorice la corrección de vulnerabilidades, y el 52 % afirmó que los trámites burocráticos a menudo ralentizan sus esfuerzos para solucionar rápidamente las vulnerabilidades. Además, los encuestados sobre seguridad señalaron varias frustraciones específicas relacionadas con sus trabajos, incluida la dificultad para comprender los hallazgos de seguridad, el exceso de falsos positivos y las pruebas que se realizan al final del proceso de desarrollo de software.\n\n[DevSecOps](/topics/devsecops/) promete una mejor integración entre ingeniería y seguridad, pero está claro que persisten las frustraciones y los desajustes. Esto se debe a que estos desafíos son síntomas de un problema mayor en la forma en que las organizaciones ven la seguridad, así como la forma en que los equipos trabajan juntos y en cómo asignan el tiempo a la seguridad.\n\n## Escapar del círculo vicioso de la vulnerabilidad\n\nEl análisis de vulnerabilidades revela todas las vulnerabilidades potenciales; sin embargo, el hecho de que un paquete de software tenga una vulnerabilidad o exposición común (CVE) no significa que se pueda alcanzar o explotar. Tanto los equipos de seguridad como los desarrolladores siguen clasificando y filtrando los hallazgos de vulnerabilidades que han crecido exponencialmente a lo largo de los años desde que el análisis de vulnerabilidades autenticado se convirtió en la norma.\n\nEl paso al análisis autenticado ha mejorado la eficacia de los programas de seguridad en muchos aspectos, pero también ha metido a los desarrolladores en una rueda interminable de arreglar cosas que no importan. Cuando los equipos desperdician sus esfuerzos en parches que no abordan una vulnerabilidad explotable, se desvían de tareas más críticas, como implementar parches en fallas vulnerables y explotables. Ese es el origen de gran parte de la división entre los equipos de seguridad e ingeniería en la actualidad.\n\nEntonces, ¿cómo pueden las organizaciones abordar la causa raíz de estos problemas y fomentar una mejor integración entre ingeniería y seguridad? Aquí hay tres formas de evitar frustraciones de seguridad comunes en el origen.\n\n### 1. Silenciar el ruido, concentrarse en señales útiles de alta fidelidad\n\nEl exceso de falsos positivos fue la segunda frustración más señalada por los encuestados sobre seguridad en nuestra encuesta. Los falsos positivos son claramente un desafío, pero suelen ser un problema de gestión de vulnerabilidades disfrazado. \n\nSi una organización ve muchos falsos positivos, podría ser una señal de que no han hecho todo lo posible para garantizar que sus hallazgos de seguridad sean de alta fidelidad. Las organizaciones deben centrar sus esfuerzos de seguridad en lo que importa. Eso significa que las soluciones tradicionales de pruebas estáticas de seguridad de las aplicaciones (SAST) probablemente son insuficientes. SAST es una herramienta poderosa, pero pierde gran parte de su valor si los resultados no se pueden manejar o carecen del contexto adecuado. Para que SAST sea lo más eficaz posible, debe utilizarse [a la perfección con otras herramientas de seguridad y desarrollo y ser accesible para los desarrolladores](https://about.gitlab.com/blog/oxeye-joins-gitlab-to-advance-application-security-capabilities/).\n\nOtro problema es que la mayoría de las herramientas de análisis tienen una ventana de contexto muy estrecha para comprender los hallazgos de vulnerabilidades. Esta es una de las áreas en las que la IA puede ayudar con [funcionalidades con tecnología de IA que explican las vulnerabilidades de seguridad](https://about.gitlab.com/es/the-source/ai/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/).\n\n### 2. Minimizar la pila tecnológica y minimizar la superficie de ataque\n\nLa organización no solo debe centrarse en lo que importa para las pruebas de seguridad, sino en la propia manera en que crea el software.\n\nAunque la IA promete ayudar a simplificar los procesos de desarrollo de software, [según nuestra encuesta, muchas organizaciones aún tienen un largo camino por delante](https://about.gitlab.com/es/the-source/platform/3-surprising-findings-from-our-2024-global-devsecops-survey/). De hecho, las personas entrevistadas que usan IA se mostraron significativamente más propensas que aquellas que no usan IA a querer consolidar su cadena de herramientas, lo que indica que la proliferación de diferentes soluciones específicas que ejecutan diferentes modelos de IA podría estar aumentar la complejidad en lugar de reducirla.\n\nLa complejidad cada vez mayor de las pilas tecnológicas de las organizaciones es un factor importante que contribuye a las frustraciones de seguridad. Cierta complejidad es inevitable al crear grandes sistemas de software multifacéticos. Sin embargo, las organizaciones deben tomar medidas para evitar la complejidad que generan las decisiones de diseño poco óptimas, como el código difícil de mantener y las dependencias redundantes. Esta complejidad innecesaria crea una superficie de ataque más grande y genera más hallazgos de análisis de seguridad que los equipos deben clasificar, priorizar y resolver.\n\nLas organizaciones deben abordar el desarrollo desde la perspectiva de la minimización del software, es decir, prestar especial atención a las herramientas que adoptan y lo que deciden incorporar a sus códigos base. Esto ayudará a minimizar las dependencias, mejorar la seguridad de la cadena de suministro de software, reducir el ruido del análisis y aliviar la carga de los desarrolladores para solucionar problemas no críticos.\n\n### 3. Normalizar la adopción de un enfoque estructurado\n\nLas pruebas de seguridad que se realizan demasiado tarde en el ciclo de desarrollo del software fueron otra de las principales frustraciones identificadas por los encuestados. Los equipos pueden sentirse frustrados cuando quieren enviar algo y se retrasa porque se detecta tarde una vulnerabilidad, pero en muchos casos no habría sido posible detectarla antes. Sin embargo, lo que sí es posible es poner en funcionamiento componentes de seguridad fácilmente desplegables y reutilizables para limitar las variables y las posibles vulnerabilidades\n\nLos equipos pueden evitar sorpresas en las últimas etapas al adoptar [patrones de diseño probados y garantizados basados en casos de uso repetibles](https://about.gitlab.com/the-source/platform/how-devops-and-platform-engineering-turbocharge-efficiency/): el enfoque «estructurado». Un enfoque estructurado es una ruta recomendada, que incluye un conjunto selecto de herramientas, procesos y componentes, que los equipos pueden seguir para crear aplicaciones seguras de manera más eficiente, por ejemplo, usar GitOps para versionar e implementar una infraestructura como código bien diseñada y probada que se implementa a escala para todas las cargas de trabajo. \n\nLa adopción de enfoques estructurados elimina potencialmente cierta flexibilidad, pero finalmente reduce la carga operativa y repetición del trabajo en los equipos de ingeniería, además, aumenta la seguridad. Este debe ser un esfuerzo de colaboración entre los equipos de seguridad y desarrollo. El equipo de seguridad puede ayudar a diseñar enfoques estructurados, pero el de ingeniería debe participar para operar y mantenerlos como parte del código base.\n\n## La seguridad es un dominio, no un equipo{class=\"no-anchor\"}\n\nYa estamos viendo cómo la seguridad como práctica pasa a las manos de los equipos de ingeniería y podemos esperar que los límites entre los equipos continúen difuminándose. Sin embargo, con la rápida adopción de la IA y la correspondiente aceleración del desarrollo de software (el 66 % de las personas encuestadas afirmaron que lanzan software dos veces más rápido o incluso más que el año pasado), será fundamental que las organizaciones establezcan sistemas y marcos que optimicen para obtener el mayor beneficio de seguridad. Por eso, la idea de una desconexión cultural entre el equipo de desarrollo y seguridad no explica la situación entera. Es esencial fomentar una cultura de colaboración, pero los equipos de seguridad e ingeniería también deben trabajar juntos para replantearse aspectos fundamentales del desarrollo de software, como la optimización de los códigos base existentes y la creación de soluciones escalables centradas en la ingeniería que los equipos técnicos de toda la organización puedan adoptar sin problemas.","security-its-more-than-culture-addressing-the-root-cause-of-common-security","content:es:the-source:security:security-its-more-than-culture-addressing-the-root-cause-of-common-security.yml","es/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security.yml","es/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",[425,449],1759347906378]