[{"data":1,"prerenderedAt":597},["ShallowReactive",2],{"/es/the-source/security/":3,"footer-es":35,"the-source-navigation-es":342,"the-source-newsletter-es":369,"the-source-resources-es":381,"security-articles-list-authors-es":413,"security-articles-list-es":444,"security-page-categories-es":596},{"_path":4,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"config":8,"seo":9,"content":12,"type":27,"slug":28,"_id":29,"_type":30,"title":7,"_source":31,"_file":32,"_stem":33,"_extension":34},"/es/the-source/security","the-source",false,"",{"layout":5},{"title":10,"description":11,"ogImage":7},"Seguridad y cumplimiento","Infórmese sobre cómo las organizaciones pueden mantenerse actualizadas respecto a la evolución de las amenazas de seguridad y los requisitos de cumplimiento.",[13,19],{"componentName":14,"componentContent":15},"TheSourceCategoryHero",{"title":10,"description":11,"image":16},{"config":17},{"src":18},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463273/aplkxrvwpii26xao5yhi.png",{"componentName":20,"componentContent":21},"TheSourceCategoryMainSection",{"config":22},{"gatedAssets":23},[24,25,26],"source-lp-guide-to-dynamic-sboms","source-lp-a-field-guide-to-threat-vectors-in-the-software-supply-chain","application-security-in-the-digital-age","category","security","content:es:the-source:security:index.yml","yaml","content","es/the-source/security/index.yml","es/the-source/security/index","yml",{"_path":36,"_dir":37,"_draft":6,"_partial":6,"_locale":7,"data":38,"_id":338,"_type":30,"title":339,"_source":31,"_file":340,"_stem":341,"_extension":34},"/shared/es/main-footer","es",{"text":39,"source":40,"edit":46,"contribute":51,"config":56,"items":61,"minimal":330},"Git es una marca registrada de Software Freedom Conservancy, y nuestro uso de «GitLab» está bajo licencia",{"text":41,"config":42},"Ver fuente de la página",{"href":43,"dataGaName":44,"dataGaLocation":45},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/","page source","footer",{"text":47,"config":48},"Editar esta página",{"href":49,"dataGaName":50,"dataGaLocation":45},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/content/","web ide",{"text":52,"config":53},"Contribuya",{"href":54,"dataGaName":55,"dataGaLocation":45},"https://gitlab.com/gitlab-com/marketing/digital-experience/about-gitlab-com/-/blob/main/CONTRIBUTING.md/","please contribute",{"twitter":57,"facebook":58,"youtube":59,"linkedin":60},"https://twitter.com/gitlab","https://www.facebook.com/gitlab","https://www.youtube.com/channel/UCnMGQ8QHMAnVIsI3xJrihhg","https://www.linkedin.com/company/gitlab-com",[62,89,161,229,291],{"title":63,"links":64,"subMenu":70},"Plataforma",[65],{"text":66,"config":67},"Plataforma de DevSecOps",{"href":68,"dataGaName":69,"dataGaLocation":45},"/es/platform/","devsecops platform",[71],{"title":72,"links":73},"Precios",[74,79,84],{"text":75,"config":76},"Ver planes",{"href":77,"dataGaName":78,"dataGaLocation":45},"/es/pricing/","view plans",{"text":80,"config":81},"¿Por qué elegir GitLab Premium?",{"href":82,"dataGaName":83,"dataGaLocation":45},"/es/pricing/premium/","why premium",{"text":85,"config":86},"¿Por qué elegir GitLab Ultimate?",{"href":87,"dataGaName":88,"dataGaLocation":45},"/es/pricing/ultimate/","why ultimate",{"title":90,"links":91},"Soluciones",[92,97,101,106,111,116,121,126,131,136,141,146,151,156],{"text":93,"config":94},"Transformación digital",{"href":95,"dataGaName":96,"dataGaLocation":45},"/es/topics/digital-transformation/","digital transformation",{"text":10,"config":98},{"href":99,"dataGaName":100,"dataGaLocation":45},"/es/solutions/security-compliance/","security & compliance",{"text":102,"config":103},"Entrega de software automatizada",{"href":104,"dataGaName":105,"dataGaLocation":45},"/es/solutions/delivery-automation/","automated software delivery",{"text":107,"config":108},"Desarrollo ágil",{"href":109,"dataGaName":110,"dataGaLocation":45},"/es/solutions/agile-delivery/","agile delivery",{"text":112,"config":113},"Transformación en la nube",{"href":114,"dataGaName":115,"dataGaLocation":45},"/es/topics/cloud-native/","cloud transformation",{"text":117,"config":118},"Gestión del código fuente",{"href":119,"dataGaName":120,"dataGaLocation":45},"/es/solutions/source-code-management/","source code management",{"text":122,"config":123},"CI/CD",{"href":124,"dataGaName":125,"dataGaLocation":45},"/es/solutions/continuous-integration/","continuous integration & delivery",{"text":127,"config":128},"Gestión del flujo de valor",{"href":129,"dataGaName":130,"dataGaLocation":45},"/es/solutions/value-stream-management/","value stream management",{"text":132,"config":133},"GitOps",{"href":134,"dataGaName":135,"dataGaLocation":45},"/es/solutions/gitops/","gitops",{"text":137,"config":138},"Empresas",{"href":139,"dataGaName":140,"dataGaLocation":45},"/es/enterprise/","enterprise",{"text":142,"config":143},"Pequeñas empresas",{"href":144,"dataGaName":145,"dataGaLocation":45},"/es/small-business/","small business",{"text":147,"config":148},"Sector público",{"href":149,"dataGaName":150,"dataGaLocation":45},"/es/solutions/public-sector/","public sector",{"text":152,"config":153},"Educación",{"href":154,"dataGaName":155,"dataGaLocation":45},"/es/solutions/education/","education",{"text":157,"config":158},"Servicios financieros",{"href":159,"dataGaName":160,"dataGaLocation":45},"/es/solutions/finance/","financial services",{"title":162,"links":163},"Recursos",[164,169,174,179,184,189,194,199,204,209,214,219,224],{"text":165,"config":166},"Instalar",{"href":167,"dataGaName":168,"dataGaLocation":45},"/es/install/","install",{"text":170,"config":171},"Guías de inicio rápido",{"href":172,"dataGaName":173,"dataGaLocation":45},"/es/get-started/","quick setup checklists",{"text":175,"config":176},"Aprender",{"href":177,"dataGaName":178,"dataGaLocation":45},"https://university.gitlab.com/","learn",{"text":180,"config":181},"Documentación del producto",{"href":182,"dataGaName":183,"dataGaLocation":45},"https://docs.gitlab.com/","docs",{"text":185,"config":186},"Blog",{"href":187,"dataGaName":188,"dataGaLocation":45},"/blog/","blog",{"text":190,"config":191},"Historias de éxito del cliente",{"href":192,"dataGaName":193,"dataGaLocation":45},"/customers/","customer success stories",{"text":195,"config":196},"Remoto",{"href":197,"dataGaName":198,"dataGaLocation":45},"https://handbook.gitlab.com/handbook/company/culture/all-remote/","remote",{"text":200,"config":201},"Servicios de GitLab",{"href":202,"dataGaName":203,"dataGaLocation":45},"/es/services/","services",{"text":205,"config":206},"TeamOps",{"href":207,"dataGaName":208,"dataGaLocation":45},"/es/teamops/","teamops",{"text":210,"config":211},"Comunidad",{"href":212,"dataGaName":213,"dataGaLocation":45},"/community/","community",{"text":215,"config":216},"Foro",{"href":217,"dataGaName":218,"dataGaLocation":45},"https://forum.gitlab.com/","forum",{"text":220,"config":221},"Eventos",{"href":222,"dataGaName":223,"dataGaLocation":45},"/events/","events",{"text":225,"config":226},"Socios",{"href":227,"dataGaName":228,"dataGaLocation":45},"/es/partners/","partners",{"title":230,"links":231},"Empresa",[232,237,242,247,252,257,262,266,271,276,281,286],{"text":233,"config":234},"Acerca de nosotros",{"href":235,"dataGaName":236,"dataGaLocation":45},"/es/company/","company",{"text":238,"config":239},"Jobs",{"href":240,"dataGaName":241,"dataGaLocation":45},"/jobs/","jobs",{"text":243,"config":244},"Liderazgo",{"href":245,"dataGaName":246,"dataGaLocation":45},"/company/team/e-group/","leadership",{"text":248,"config":249},"Equipo",{"href":250,"dataGaName":251,"dataGaLocation":45},"/company/team/","team",{"text":253,"config":254},"Manual",{"href":255,"dataGaName":256,"dataGaLocation":45},"https://handbook.gitlab.com/","handbook",{"text":258,"config":259},"Relaciones con los inversores",{"href":260,"dataGaName":261,"dataGaLocation":45},"https://ir.gitlab.com/","investor relations",{"text":263,"config":264},"Sustainability",{"href":265,"dataGaName":263,"dataGaLocation":45},"/sustainability/",{"text":267,"config":268},"Diversidad, inclusión y pertenencia (DIB)",{"href":269,"dataGaName":270,"dataGaLocation":45},"/diversity-inclusion-belonging/","Diversity, inclusion and belonging",{"text":272,"config":273},"Centro de confianza",{"href":274,"dataGaName":275,"dataGaLocation":45},"/es/security/","trust center",{"text":277,"config":278},"Boletín",{"href":279,"dataGaName":280,"dataGaLocation":45},"/company/contact/","newsletter",{"text":282,"config":283},"Prensa",{"href":284,"dataGaName":285,"dataGaLocation":45},"/press/","press",{"text":287,"config":288},"Declaración de transparencia sobre la Ley de Esclavitud Moderna",{"href":289,"dataGaName":290,"dataGaLocation":45},"https://handbook.gitlab.com/handbook/legal/modern-slavery-act-transparency-statement/","modern slavery transparency statement",{"title":292,"links":293},"Comuníquese con nosotros",[294,299,304,309,314,319,324],{"text":295,"config":296},"Contactar con un experto",{"href":297,"dataGaName":298,"dataGaLocation":45},"/es/sales/","sales",{"text":300,"config":301},"Obtener ayuda",{"href":302,"dataGaName":303,"dataGaLocation":45},"/support/","get help",{"text":305,"config":306},"Portal de clientes",{"href":307,"dataGaName":308,"dataGaLocation":45},"https://customers.gitlab.com/customers/sign_in/","customer portal",{"text":310,"config":311},"Estado",{"href":312,"dataGaName":313,"dataGaLocation":45},"https://status.gitlab.com/","status",{"text":315,"config":316},"Términos de uso",{"href":317,"dataGaName":318,"dataGaLocation":45},"/terms/","terms of use",{"text":320,"config":321},"Declaración de privacidad",{"href":322,"dataGaName":323,"dataGaLocation":45},"/es/privacy/","privacy statement",{"text":325,"config":326},"Preferencias de cookies",{"dataGaName":327,"dataGaLocation":45,"id":328,"isOneTrustButton":329},"cookie preferences","ot-sdk-btn",true,{"items":331},[332,334,336],{"text":315,"config":333},{"href":317,"dataGaName":318,"dataGaLocation":45},{"text":320,"config":335},{"href":322,"dataGaName":323,"dataGaLocation":45},{"text":325,"config":337},{"dataGaName":327,"dataGaLocation":45,"id":328,"isOneTrustButton":329},"content:shared:es:main-footer.yml","Main Footer","shared/es/main-footer.yml","shared/es/main-footer",{"_path":343,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"logo":344,"subscribeLink":349,"navItems":353,"_id":365,"_type":30,"title":366,"_source":31,"_file":367,"_stem":368,"_extension":34},"/shared/es/the-source/navigation",{"altText":345,"config":346},"the source logo",{"src":347,"href":348},"https://res.cloudinary.com/about-gitlab-com/image/upload/v1750191004/t7wz1klfb2kxkezksv9t.svg","/es/the-source/",{"text":350,"config":351},"Suscribirse",{"href":352},"#subscribe",[354,358,361],{"text":355,"config":356},"Inteligencia artificial",{"href":357},"/es/the-source/ai/",{"text":10,"config":359},{"href":360},"/es/the-source/security/",{"text":362,"config":363},"Plataforma e infraestructura",{"href":364},"/es/the-source/platform/","content:shared:es:the-source:navigation.yml","Navigation","shared/es/the-source/navigation.yml","shared/es/the-source/navigation",{"_path":370,"_dir":5,"_draft":6,"_partial":6,"_locale":7,"title":371,"description":372,"submitMessage":373,"formData":374,"_id":378,"_type":30,"_source":31,"_file":379,"_stem":380,"_extension":34},"/shared/es/the-source/newsletter","Boletín The Source","Manténgase al día con información sobre el futuro del desarrollo de software.","Se ha suscrito correctamente al boletín The Source.",{"config":375},{"formId":376,"formName":377,"hideRequiredLabel":329},28470,"thesourcenewsletter","content:shared:es:the-source:newsletter.yml","shared/es/the-source/newsletter.yml","shared/es/the-source/newsletter",[382,399],{"_path":383,"_dir":384,"_draft":6,"_partial":6,"_locale":7,"config":385,"title":388,"description":389,"link":390,"_id":396,"_type":30,"_source":31,"_file":397,"_stem":398,"_extension":34},"/shared/es/the-source/gated-assets/navigating-ai-maturity-in-devsecops","gated-assets",{"id":386,"formId":387},"navigating-ai-maturity-in-devsecops",1002,"La madurez de la IA en el enfoque de DevSecOps","Lea los [resultados de la encuesta de más de 5000 profesionales de DevSecOps en todo el mundo](https://about.gitlab.com/developer-survey/2024/ai/) para obtener información sobre cómo las organizaciones están incorporando la IA en el ciclo de desarrollo de software (disponible en inglés).",{"text":391,"config":392},"Leer el informe",{"href":393,"dataGaName":394,"dataGaLocation":395},"https://about.gitlab.com/developer-survey/2024/ai/","Navigating AI Maturity in DevSecOps","thesource","content:shared:es:the-source:gated-assets:navigating-ai-maturity-in-devsecops.yml","shared/es/the-source/gated-assets/navigating-ai-maturity-in-devsecops.yml","shared/es/the-source/gated-assets/navigating-ai-maturity-in-devsecops",{"_path":400,"_dir":384,"_draft":6,"_partial":6,"_locale":7,"config":401,"title":403,"description":404,"link":405,"_id":410,"_type":30,"_source":31,"_file":411,"_stem":412,"_extension":34},"/shared/es/the-source/gated-assets/source-lp-how-to-get-started-using-ai-in-software-development",{"id":402,"formId":387},"source-lp-how-to-get-started-using-ai-in-software-development","Cómo empezar a usar la IA en el desarrollo de software","Lea nuestro e-book (en inglés) para consultar información concreta que le ayudará a crear un marco estratégico de IA para desarrollar software seguro más rápidamente (disponible en inglés).",{"text":406,"config":407},"Leer el e-book",{"href":408,"dataGaName":409,"dataGaLocation":395},"https://about.gitlab.com/the-source/ai/getting-started-with-ai-in-software-development-a-guide-for-leaders/","How to Get Started Using AI in Software Development","content:shared:es:the-source:gated-assets:source-lp-how-to-get-started-using-ai-in-software-development.yml","shared/es/the-source/gated-assets/source-lp-how-to-get-started-using-ai-in-software-development.yml","shared/es/the-source/gated-assets/source-lp-how-to-get-started-using-ai-in-software-development",{"amanda-rueda":414,"andre-michael-braun":415,"andrew-haschka":416,"ayoub-fandi":417,"brian-wald":418,"bryan-ross":419,"chandler-gibbons":420,"dave-steer":421,"ddesanto":422,"derek-debellis":423,"emilio-salvador":424,"erika-feldman":425,"george-kichukov":426,"gitlab":427,"grant-hickman":428,"haim-snir":429,"iganbaruch":430,"jlongo":431,"joel-krooswyk":432,"josh-lemos":433,"julie-griffin":434,"kristina-weis":435,"lee-faus":436,"ncregan":437,"rschulman":438,"sabrina-farmer":439,"sandra-gittlen":440,"sharon-gaudin":441,"stephen-walters":442,"taylor-mccaslin":443},"Amanda Rueda","Andre Michael Braun","Andrew Haschka","Ayoub Fandi","Brian Wald","Bryan Ross","Chandler Gibbons","Dave Steer","David DeSanto","Derek DeBellis","Emilio Salvador","Erika Feldman","George Kichukov","GitLab","Grant Hickman","Haim Snir","Itzik Gan Baruch","Joseph Longo","Joel Krooswyk","Josh Lemos","Julie Griffin","Kristina Weis","Lee Faus","Niall Cregan","Robin Schulman","Sabrina Farmer","Sandra Gittlen","Sharon Gaudin","Stephen Walters","Taylor McCaslin",{"allArticles":445,"visibleArticles":595,"showAllBtn":6},[446,471,491,512,532,553,574],{"_path":447,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":448,"seo":453,"content":457,"type":466,"category":28,"slug":467,"_id":468,"_type":30,"title":454,"_source":31,"_file":469,"_stem":470,"_extension":34,"date":458,"description":459,"timeToRead":460,"heroImage":456,"keyTakeaways":461,"articleBody":465},"/es/the-source/security/key-security-trends-for-cisos-in-2025",{"layout":5,"template":449,"articleType":450,"author":451,"featured":6,"gatedAsset":452,"isHighlighted":6,"authorName":433},"TheSourceArticle","Regular","josh-lemos","source-lp-ai-guide-for-enterprise-leaders-building-the-right-approach",{"title":454,"description":455,"ogImage":456},"Tendencias clave de seguridad para los CISO en 2025","Explore las tendencias clave de seguridad para 2025: IA como riesgo y oportunidad, nueva gestión de identidades y equipos DevOps más resilientes.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464506/hyue0lgqq2lqk3arwnel.jpg",{"title":454,"date":458,"description":459,"timeToRead":460,"heroImage":456,"keyTakeaways":461,"articleBody":465},"2025-02-25","Explore las tendencias de seguridad esenciales para 2025: cómo la IA crea nuevos riesgos y oportunidades, remodela la gestión de identidades y fortalece los equipos de DevOps.","Lectura de 5 min",[462,463,464],"Adoptar IA crea riesgos y oportunidades de seguridad. Las organizaciones deben hacer un seguimiento del uso de la IA en los productos de los proveedores, prepararse para posibles interrupciones y aprovechar la IA para fortalecer los controles de seguridad.","La modernización de la gestión de identidades es clave para gestionar interacciones complejas entre máquinas, permisos dinámicos y acceso a sistemas de IA, y esto requiere herramientas de seguridad más flexibles y adaptables.","Las herramientas de IA cierran la brecha de habilidades de seguridad de DevOps con la automatización de comprobaciones de seguridad, la sugerencia de patrones de codificación seguros y la integración de la seguridad en todo el ciclo de desarrollo.","En 2025, muchas de sus herramientas de seguridad críticas incluirán modelos de IA que no podrá inspeccionar ni controlar por completo. La junta directiva ya se está preguntando cómo evitará la próxima gran vulneración de seguridad. Mientras tanto, sus competidores están utilizando la IA para automatizar la seguridad a una escala que era imposible hace solo unos meses. La evolución de los requisitos reglamentarios agrega otra capa de complejidad, ya que las nuevas reglas en la Unión Europea y California afectan la forma en que se pueden usar los sistemas de IA.\n\nEl panorama de la seguridad está evolucionando rápidamente, pero con el enfoque correcto, puede aprovechar estos desafíos para construir defensas más sólidas mientras se protege contra las nuevas amenazas cibernéticas. Estas son tres tendencias clave que marcarán el panorama de la seguridad empresarial este año.\n\n## 1. Vulnerabilidades en los LLM propios\nCada vez más proveedores utilizan modelos de lenguaje grandes (LLM) fundacionales propios en sus productos, lo que genera nuevos riesgos para su organización. La mayoría de estos LLM son cajas negras: no se puede saber mucho sobre cómo funcionan o qué controles de seguridad tienen. Los investigadores de seguridad han demostrado la fragilidad de las medidas de protección de la IA. La superficie de ataque sobre los modelos es cada vez más grande, y esto también se refleja en los productos que dependen de ellos.\n\nDado que muchos productos dependen de los mismos pocos LLM propios, un ataque a uno podría afectar simultáneamente a muchos de sus sistemas. Esta concentración de riesgos es particularmente preocupante, ya que las funciones empresariales más críticas dependen de herramientas con IA. Deberá hacer lo siguiente:\n\n- Comprobar cuáles de sus proveedores utilizan LLM\n- Evaluar los controles de seguridad que estos proveedores tienen establecidos\n- Planificar posibles interrupciones si falla un servicio basado en LLM\n- Desarrollar planes de respaldo para sistemas críticos que dependen de la IA\n\n> Consulte más información: [Crear una estrategia de IA que priorice la transparencia: 7 preguntas para hacerle a su proveedor de DevOps](https://about.gitlab.com/es/the-source/ai/building-a-transparency-first-ai-strategy-7-questions-to-ask-your-devops/)\n\n## 2. Desafíos de la gestión de identidades\nLos sistemas en la nube y de IA están cambiando la forma en que gestionamos el acceso a los sistemas que utilizamos todos los días. Sus sistemas de identidad ahora deben gestionar lo siguiente:\n\n- Un aumento en las identidades no humanas basadas en servicios\n- Más conexiones de máquina a máquina\n- Cambios rápidos en los accesos necesarios\n- Cadenas complejas de permisos entre servicios\n- Sistemas de IA que necesitan diferentes niveles de acceso a los datos\n\nLas herramientas tradicionales de gestión de identidades y accesos no se crearon para estos desafíos. Necesitará herramientas de identidad más flexibles que puedan adaptarse rápidamente a medida que cambien sus necesidades. Considere implementar [principios Zero Trust y acceso justo a tiempo](https://about.gitlab.com/the-source/security/field-guide-to-threat-vectors-in-the-software-supply-chain/) para controlar mejor estos entornos dinámicos.\n\nLos equipos de seguridad también deben desarrollar estrategias y prepararse para la creciente complejidad de la IA agente con el mismo nivel de rigor y auditabilidad que aplican a los usuarios humanos. A medida que proliferan los sistemas de IA, [el seguimiento y la protección de estas identidades no humanas](https://about.gitlab.com/blog/improve-ai-security-in-gitlab-with-composite-identities/) se vuelve tan importante como la gestión del acceso de los usuarios humanos.\n\n## 3. Hacer que la seguridad funcione en DevOps\n[En una encuesta reciente](https://about.gitlab.com/developer-survey/), el 58 % de los desarrolladores dijeron que sienten cierto grado de responsabilidad por la seguridad de las aplicaciones, pero sigue siendo difícil encontrar personal de DevOps con habilidades de seguridad. Las herramientas con tecnología de IA pueden ayudar de las siguientes maneras:\n\n- Buscar en el código vulnerabilidades de seguridad y posibles amenazas en las primeras etapas del desarrollo, antes de que generen problemas\n- Sugerir patrones de codificación seguros\n- Configurar los permisos de acceso correctos de forma automática\n- Automatizar tareas repetitivas a lo largo del proceso de desarrollo\n\nEstas herramientas pueden ayudar a su equipo de seguridad actual a trabajar de manera más eficiente. También pueden ayudar a los desarrolladores a detectar problemas de seguridad comunes antes de que el código llegue a producción. Esto significa menos emergencias para su equipo y mejores resultados de seguridad en general.\n\nConsidere invertir en herramientas que se integren directamente en los flujos de trabajo de los desarrolladores. Cuanto más fácil sea para los desarrolladores trabajar de forma segura, más probable será que lo hagan.\n\n## Tomar medidas: adoptar la IA para proteger el panorama contra amenazas\nPara mantenerse al día con estos cambios:\n\n1. Identifique dónde las herramientas de IA interactúan con sus sistemas y evalúe los riesgos.\n2. Actualice su enfoque de gestión de identidades para cubrir las necesidades de la nube y la IA.\n3. Busque formas en que la IA pueda reforzar su trabajo de seguridad.\n4. Mantenga a su junta directiva informada sobre los nuevos riesgos y regulaciones de la IA.\n5. Establezca relaciones con proveedores clave para comprender sus medidas de seguridad en IA. \n6. Capacite a su equipo sobre los riesgos y oportunidades de seguridad con la IA. \n\nSi bien la IA conlleva nuevos riesgos, también le brinda nuevas herramientas para proteger su organización. Concéntrese en usar la IA para fortalecer su enfoque de seguridad mientras permanece atento a las nuevas amenazas. Las revisiones periódicas de su enfoque de seguridad de IA le ayudarán a mantenerse a la vanguardia de los riesgos emergentes.\n\n## De cara al futuro\nEl panorama de la seguridad seguirá evolucionando a medida que avance la tecnología de la IA. Mantenga la flexibilidad y la disposición para adaptar su estrategia de seguridad a medida que surjan nuevas amenazas y oportunidades. Fomente relaciones sólidas en toda su organización, especialmente con los equipos legales, de desarrollo y de operaciones. Estas asociaciones le ayudarán a responder de manera más efectiva a los desafíos de seguridad.\n\nRecuerde que, si bien la tecnología cambia, su misión principal sigue siendo la misma: proteger los activos de su organización y garantizar operaciones comerciales seguras. Implemente nuevas herramientas y enfoques cuando sea pertinente, pero no descuide los aspectos esenciales de la seguridad en el impulso por adoptar la IA.","article","key-security-trends-for-cisos-in-2025","content:es:the-source:security:key-security-trends-for-cisos-in-2025:index.yml","es/the-source/security/key-security-trends-for-cisos-in-2025/index.yml","es/the-source/security/key-security-trends-for-cisos-in-2025/index",{"_path":472,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":473,"seo":474,"content":479,"type":466,"category":28,"slug":487,"_id":488,"_type":30,"title":475,"_source":31,"_file":489,"_stem":490,"_extension":34,"date":480,"description":481,"timeToRead":460,"heroImage":477,"keyTakeaways":482,"articleBody":486},"/es/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security",{"layout":5,"template":449,"articleType":450,"author":451,"featured":329,"gatedAsset":26,"isHighlighted":6,"authorName":433},{"title":475,"description":476,"ogImage":477,"config":478},"Abordar el origen de las frustraciones habituales en seguridad","Las frustraciones en seguridad suelen ser culturales, pero también importa la complejidad tecnológica y cómo se gestionan las vulnerabilidades.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464489/mragusmxl1wz8ozdaoml.png",{"ignoreTitleCharLimit":329},{"title":475,"date":480,"description":481,"timeToRead":460,"heroImage":477,"keyTakeaways":482,"articleBody":486},"2024-10-29","Las frustraciones en materia de seguridad suelen enmarcarse en una cuestión cultural, pero los responsables también deben centrarse en aspectos como la complejidad de la pila tecnológica y la gestión de vulnerabilidades.",[483,484,485],"Adoptar el análisis autenticado en la gestión de vulnerabilidades aumenta la eficacia, pero puede desviar los esfuerzos de ingeniería hacia tareas no críticas y crear así una división entre los equipos de seguridad e ingeniería.","Un enfoque minimalista del desarrollo de software puede minimizar las dependencias, reducir las alertas generadas por el análisis de vulnerabilidades y aligerar la carga del desarrollador, lo que contribuye a mejorar la seguridad del software.","La adopción de un enfoque estructurado, que implica patrones de diseño probados y garantizados basados en casos de uso repetibles, puede reducir la carga de los equipos de ingeniería y aumentar la seguridad.","Este año, la [encuesta anual de profesionales de DevSecOps](https://about.gitlab.com/developer-survey/) de GitLab reveló varios problemas relacionados con la cultura organizacional que podrían estar impidiendo una alineación más profunda entre los equipos de ingeniería y seguridad. La mayoría (el 58 %) de los encuestados sobre seguridad dijeron que tienen dificultades para lograr que el departamento de desarrollo priorice la corrección de vulnerabilidades, y el 52 % afirmó que los trámites burocráticos a menudo ralentizan sus esfuerzos para solucionar rápidamente las vulnerabilidades. Además, los encuestados sobre seguridad señalaron varias frustraciones específicas relacionadas con sus trabajos, incluida la dificultad para comprender los hallazgos de seguridad, el exceso de falsos positivos y las pruebas que se realizan al final del proceso de desarrollo de software.\n\n[DevSecOps](/topics/devsecops/) promete una mejor integración entre ingeniería y seguridad, pero está claro que persisten las frustraciones y los desajustes. Esto se debe a que estos desafíos son síntomas de un problema mayor en la forma en que las organizaciones ven la seguridad, así como la forma en que los equipos trabajan juntos y en cómo asignan el tiempo a la seguridad.\n\n## Escapar del círculo vicioso de la vulnerabilidad\n\nEl análisis de vulnerabilidades revela todas las vulnerabilidades potenciales; sin embargo, el hecho de que un paquete de software tenga una vulnerabilidad o exposición común (CVE) no significa que se pueda alcanzar o explotar. Tanto los equipos de seguridad como los desarrolladores siguen clasificando y filtrando los hallazgos de vulnerabilidades que han crecido exponencialmente a lo largo de los años desde que el análisis de vulnerabilidades autenticado se convirtió en la norma.\n\nEl paso al análisis autenticado ha mejorado la eficacia de los programas de seguridad en muchos aspectos, pero también ha metido a los desarrolladores en una rueda interminable de arreglar cosas que no importan. Cuando los equipos desperdician sus esfuerzos en parches que no abordan una vulnerabilidad explotable, se desvían de tareas más críticas, como implementar parches en fallas vulnerables y explotables. Ese es el origen de gran parte de la división entre los equipos de seguridad e ingeniería en la actualidad.\n\nEntonces, ¿cómo pueden las organizaciones abordar la causa raíz de estos problemas y fomentar una mejor integración entre ingeniería y seguridad? Aquí hay tres formas de evitar frustraciones de seguridad comunes en el origen.\n\n### 1. Silenciar el ruido, concentrarse en señales útiles de alta fidelidad\n\nEl exceso de falsos positivos fue la segunda frustración más señalada por los encuestados sobre seguridad en nuestra encuesta. Los falsos positivos son claramente un desafío, pero suelen ser un problema de gestión de vulnerabilidades disfrazado. \n\nSi una organización ve muchos falsos positivos, podría ser una señal de que no han hecho todo lo posible para garantizar que sus hallazgos de seguridad sean de alta fidelidad. Las organizaciones deben centrar sus esfuerzos de seguridad en lo que importa. Eso significa que las soluciones tradicionales de pruebas estáticas de seguridad de las aplicaciones (SAST) probablemente son insuficientes. SAST es una herramienta poderosa, pero pierde gran parte de su valor si los resultados no se pueden manejar o carecen del contexto adecuado. Para que SAST sea lo más eficaz posible, debe utilizarse [a la perfección con otras herramientas de seguridad y desarrollo y ser accesible para los desarrolladores](https://about.gitlab.com/blog/oxeye-joins-gitlab-to-advance-application-security-capabilities/).\n\nOtro problema es que la mayoría de las herramientas de análisis tienen una ventana de contexto muy estrecha para comprender los hallazgos de vulnerabilidades. Esta es una de las áreas en las que la IA puede ayudar con [funcionalidades con tecnología de IA que explican las vulnerabilidades de seguridad](https://about.gitlab.com/blog/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/).\n\n### 2. Minimizar la pila tecnológica y minimizar la superficie de ataque\n\nLa organización no solo debe centrarse en lo que importa para las pruebas de seguridad, sino en la propia manera en que crea el software.\n\nAunque la IA promete ayudar a simplificar los procesos de desarrollo de software, [según nuestra encuesta, muchas organizaciones aún tienen un largo camino por delante](https://about.gitlab.com/blog/3-surprising-findings-from-our-2024-global-devsecops-survey/). De hecho, las personas entrevistadas que usan IA se mostraron significativamente más propensas que aquellas que no usan IA a querer consolidar su cadena de herramientas, lo que indica que la proliferación de diferentes soluciones específicas que ejecutan diferentes modelos de IA podría estar aumentar la complejidad en lugar de reducirla.\n\nLa complejidad cada vez mayor de las pilas tecnológicas de las organizaciones es un factor importante que contribuye a las frustraciones de seguridad. Cierta complejidad es inevitable al crear grandes sistemas de software multifacéticos. Sin embargo, las organizaciones deben tomar medidas para evitar la complejidad que generan las decisiones de diseño poco óptimas, como el código difícil de mantener y las dependencias redundantes. Esta complejidad innecesaria crea una superficie de ataque más grande y genera más hallazgos de análisis de seguridad que los equipos deben clasificar, priorizar y resolver.\n\nLas organizaciones deben abordar el desarrollo desde la perspectiva de la minimización del software, es decir, prestar especial atención a las herramientas que adoptan y lo que deciden incorporar a sus códigos base. Esto ayudará a minimizar las dependencias, mejorar la seguridad de la cadena de suministro de software, reducir el ruido del análisis y aliviar la carga de los desarrolladores para solucionar problemas no críticos.\n\n### 3. Normalizar la adopción de un enfoque estructurado\n\nLas pruebas de seguridad que se realizan demasiado tarde en el ciclo de desarrollo del software fueron otra de las principales frustraciones identificadas por los encuestados. Los equipos pueden sentirse frustrados cuando quieren enviar algo y se retrasa porque se detecta tarde una vulnerabilidad, pero en muchos casos no habría sido posible detectarla antes. Sin embargo, lo que sí es posible es poner en funcionamiento componentes de seguridad fácilmente desplegables y reutilizables para limitar las variables y las posibles vulnerabilidades\n\nLos equipos pueden evitar sorpresas en las últimas etapas al adoptar [patrones de diseño probados y garantizados basados en casos de uso repetibles](https://about.gitlab.com/the-source/platform/how-devops-and-platform-engineering-turbocharge-efficiency/): el enfoque «estructurado». Un enfoque estructurado es una ruta recomendada, que incluye un conjunto selecto de herramientas, procesos y componentes, que los equipos pueden seguir para crear aplicaciones seguras de manera más eficiente, por ejemplo, usar GitOps para versionar e implementar una infraestructura como código bien diseñada y probada que se implementa a escala para todas las cargas de trabajo. \n\nLa adopción de enfoques estructurados elimina potencialmente cierta flexibilidad, pero finalmente reduce la carga operativa y repetición del trabajo en los equipos de ingeniería, además, aumenta la seguridad. Este debe ser un esfuerzo de colaboración entre los equipos de seguridad y desarrollo. El equipo de seguridad puede ayudar a diseñar enfoques estructurados, pero el de ingeniería debe participar para operar y mantenerlos como parte del código base.\n\n## La seguridad es un dominio, no un equipo{class=\"no-anchor\"}\n\nYa estamos viendo cómo la seguridad como práctica pasa a las manos de los equipos de ingeniería y podemos esperar que los límites entre los equipos continúen difuminándose. Sin embargo, con la rápida adopción de la IA y la correspondiente aceleración del desarrollo de software (el 66 % de las personas encuestadas afirmaron que lanzan software dos veces más rápido o incluso más que el año pasado), será fundamental que las organizaciones establezcan sistemas y marcos que optimicen para obtener el mayor beneficio de seguridad. Por eso, la idea de una desconexión cultural entre el equipo de desarrollo y seguridad no explica la situación entera. Es esencial fomentar una cultura de colaboración, pero los equipos de seguridad e ingeniería también deben trabajar juntos para replantearse aspectos fundamentales del desarrollo de software, como la optimización de los códigos base existentes y la creación de soluciones escalables centradas en la ingeniería que los equipos técnicos de toda la organización puedan adoptar sin problemas.","security-its-more-than-culture-addressing-the-root-cause-of-common-security","content:es:the-source:security:security-its-more-than-culture-addressing-the-root-cause-of-common-security:index.yml","es/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security/index.yml","es/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security/index",{"_path":492,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":493,"seo":495,"content":499,"type":466,"category":28,"slug":508,"_id":509,"_type":30,"title":500,"_source":31,"_file":510,"_stem":511,"_extension":34,"date":480,"description":501,"timeToRead":502,"heroImage":498,"keyTakeaways":503,"articleBody":507},"/es/the-source/security/strengthen-your-cybersecurity-strategy-with-secure-by-design",{"layout":5,"template":449,"articleType":450,"author":494,"featured":6,"gatedAsset":24,"isHighlighted":6,"authorName":432},"joel-krooswyk",{"title":496,"description":497,"ogImage":498},"Refuerce su ciberseguridad con Secure by Design | GitLab","Consulte los principios de Secure by Design y conceptos relacionados, y descubra qué implementar para integrar la seguridad en el desarrollo de software.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463932/pnfdgovoaq5qd1yprxuc.png",{"title":500,"date":480,"description":501,"timeToRead":502,"heroImage":498,"keyTakeaways":503,"articleBody":507},"Fortalezca su estrategia de ciberseguridad con el concepto Secure by Design","Eche un vistazo más de cerca a los principios de Secure by Design y a los conceptos relacionados, y descubra las medidas que puede implementar hoy para integrar la seguridad en sus procesos de desarrollo de software.","Lectura de 6 min",[504,505,506],"Secure by Design, Secure by Default y Secure by Demand previenen vulnerabilidades y ataques a la cadena de suministro de software, animando a fabricantes tecnológicos a integrar la seguridad en todos los aspectos del diseño y desarrollo de productos.","Adoptar un enfoque integral de DevSecOps y crear y mantener listas de materiales de software (SBOM) son medidas clave para cumplir con los principios de Secure by Design.","La integración de la IA en el ciclo de desarrollo de software también puede acelerar los procesos de desarrollo, fortalecer la seguridad y facilitar la resolución de vulnerabilidades.","El enfoque de una organización con respecto a la ciberseguridad debe evolucionar constantemente a medida que aumentan las superficies de ataque y se adquiere más conocimiento sobre las amenazas potenciales. Al comprender que las amenazas pueden provenir de cualquier punto de la cadena de suministro de software, el enfoque Secure by Design integra la seguridad en las fases de diseño, programación, prueba e implementación del desarrollo de software. Como estándar para las agencias federales de Estados Unidos, y para cualquier organización que utilice su software, el enfoque Secure by Design se ha convertido en un verdadero punto de referencia para integrar la seguridad en el ciclo de desarrollo de software.\n\nCon el tiempo, el concepto Secure by Design se ha diversificado en conceptos relacionados como _Secure by Default_ y _Secure by Demand_, que enfatizan diferentes estrategias para implementar los principios de Secure by Design:\n\n- [Secure by Default](#en-que-consiste-el-concepto-secure-by-default) se centra en garantizar que todos los productos de software sean seguros desde el primer momento.\n- [Secure by Demand](#en-que-consiste-el-concepto-secure-by-demand) amplía los principios del concepto Secure by Design al proceso de adquisiciones.\n\nA continuación, presentamos un análisis más detallado de los principios de Secure by Design y de estos enfoques relacionados, así como una [guía paso a paso](#desarrollar-una-estrategia-de-ciberseguridad-que-cumpla-con-los-principios-de-Secure-by-Design) sobre cómo las organizaciones pueden adaptar sus estrategias para prevenir vulnerabilidades explotables y ataques a la cadena de suministro de software.\n\n## ¿En qué consiste el concepto Secure by Design?\nLa Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) de los Estados Unidos presentó su [Iniciativa Secure by Design](https://www.cisa.gov/securebydesign) en abril de 2023, con un enfoque en tres principios clave de seguridad de software: \n\n1. Asumir la responsabilidad de los resultados de seguridad del cliente\n1. Adoptar la transparencia y la rendición de cuentas radicales\n1. Establecer una estructura organizativa y un liderazgo para lograr estos objetivos\n\nEl concepto Secure by Design integra principios y protocolos de seguridad en cada etapa del proceso de desarrollo de software. Esto significa que las medidas de seguridad se integran en las fases de diseño, programación, pruebas e implementación del desarrollo de software, en lugar de añadirse como un aspecto secundario.\n\nEl objetivo del concepto Secure by Design es crear una estructura segura para el software desde el principio, reduciendo así las vulnerabilidades y superficies de ataque potenciales.### ¿En qué consiste el concepto Secure by Default?\nSecure by Default es una rama de Secure by Design que se centra en garantizar que cualquier software o hardware se configure en su forma más segura sin que el usuario deba realizar ajustes adicionales. Los productos que implementan los principios de Secure by Default habilitan automáticamente los controles de seguridad más importantes necesarios para proteger a las organizaciones contra el acceso no autorizado por parte de actores malintencionados. Esto significa que significa que los usuarios no tienen tomar medidas adicionales para garantizar que un producto esté protegido contra las técnicas de explotación más comunes.\n\nLas políticas de Secure by Default incluyen la eliminación de contraseñas predeterminadas y la obligatoriedad de la autenticación multifactor y el inicio de sesión único para permitir que solo los usuarios autorizados accedan a los recursos. Este enfoque también incluye actualizaciones y parches automáticos, así como configuraciones seguras para todas las cuentas de usuario y dispositivos.\n\n### ¿En qué consiste el concepto Secure by Demand?\nEl concepto Secure by Demand combina los principios de Secure by Design con la planificación presupuestaria y los contratos de adquisición, con el fin de impulsar Secure by Design como un mandato tanto para proveedores como para contratistas. La [Guía Secure by Demand de CISA](https://www.cisa.gov/resources-tools/resources/secure-demand-guide) proporciona un conjunto de preguntas y recursos que los clientes de software y responsables de compras pueden utilizar para comprender mejor el enfoque de un proveedor potencial hacia la ciberseguridad. Incluye preguntas sobre las prácticas de autenticación del proveedor, la seguridad de la cadena de suministro de software y la divulgación y reporte de vulnerabilidades.\n\nAl exigir a los proveedores que se adhieran a los principios y protocolos de Secure by Design en sus productos y servicios, las organizaciones pueden ayudar a prevenir que vulnerabilidades potenciales ingresen a su cadena de suministro de software. El enfoque Secure by Demand también incentiva a los proveedores a mejorar continuamente su propia postura de ciberseguridad.\n\n## Desarrollar una estrategia de ciberseguridad que cumpla con los principios de Secure by Design\nA medida que las organizaciones priorizan la transición hacia un modelo Secure by Design, deben cumplir con determinados pasos que incluyen la implementación de prácticas efectivas de DevSecOps, el mantenimiento de una lista de materiales de software (SBOM) y la integración de IA para defenderse contra las amenazas que puedan surgir en cualquier etapa del ciclo de desarrollo de software.\n\n### Adoptar prácticas de DevSecOps\nUna de las primeras medidas para respaldar una postura Secure by Design es un proceso de desarrollo de software seguro: desarrollar, construir, proteger e implementar software utilizando un enfoque integral de DevSecOps.\n\nHoy en día, muchos desarrolladores utilizan herramientas complejas para crear nuevos programas. Según una [encuesta reciente de GitLab](https://about.gitlab.com/developer-survey/), el 62 % de los participantes utiliza 6 o más herramientas para el desarrollo de software, y un 20 % utiliza 11 o más. Esta situación genera ineficiencias que incrementan el riesgo al introducir posibles vulnerabilidades de seguridad.\n\nLos desarrolladores deberían poder acceder a todas las herramientas necesarias para los flujos de trabajo de DevSecOps en una interfaz única y fácil de usar. Con una solución de extremo a extremo, como una [plataforma de DevSecOps](/platform/), las organizaciones pueden implementar un enfoque Secure by Design sin aumentar la carga para los desarrolladores.\n\n### Crear y mantener SBOM\nAdoptar la transparencia es otro aspecto importante del concepto Secure by Design. Las organizaciones deben comprender qué contiene su software, especialmente cuando puede incluir componentes de múltiples fuentes.Las [SBOM son herramientas esenciales para lograr esta transparencia](https://about.gitlab.com/blog/the-ultimate-guide-to-sboms/). Proporcionan inventarios detallados de componentes de software, que incluye información sobre versiones, licencias y dependencias, lo que permite una mayor conciencia sobre posibles vulnerabilidades o código malicio. \n\nMantener este inventario permite a las organizaciones comprender plenamente las vulnerabilidades y riesgos potenciales que podrían surgir cuando se incorporan elementos de repositorios de código abierto y componentes de terceros con licencia. Una plataforma de DevSecOps puede ayudar a [generar y actualizar automáticamente SBOM](/solutions/security-compliance/), integrarlas en los flujos de trabajo existentes y vincularlas a las vulnerabilidades asociadas.\n\nSi bien muchas organizaciones ahora utilizan las SBOM, estas deben ser dinámicas, estar conectadas a herramientas de análisis de seguridad y actualizarse de manera constante para ser completamente efectivas. Cuando se integran con herramientas de análisis y con paneles de control, las SBOM pueden proporcionar una forma de identificar los riesgos asociados a una aplicación. Incluso cuando no son necesarias, las SBOM pueden respaldar el cumplimiento de las normas de seguridad al validar que el código sea seguro.\n\n### Uso de la IA en el desarrollo de software\nA medida que las organizaciones exploran formas de utilizar la IA, los flujos de trabajo de desarrollo de software proporcionan un punto de entrada valioso para esta tecnología, que tiene el potencial de acelerar los procesos de desarrollo y mejorar la seguridad.\n\nOrganizaciones de todos los sectores ya están comenzando a explorar estas aplicaciones: el 39 % de los participantes [de la encuesta de GitLab](https://about.gitlab.com/developer-survey/2024/ai/) afirmó que ya está utilizando la IA en el ciclo de desarrollo de software.\n\nAplicar la IA en todo el ciclo de desarrollo de software puede ayudar a las organizaciones a prevenir los silos y los retrasos basados en la IA dentro de los flujos de trabajo de desarrollo. La IA puede desempeñar funciones clave como:\n\n* Explicación del código y refactorización del código heredado a [lenguajes con memoria segura](https://about.gitlab.com/blog/memory-safe-vs-unsafe/).\n* [Análisis de causa raíz para pipelines de DevSecOps](https://about.gitlab.com/blog/developing-gitlab-duo-blending-ai-and-root-cause-analysis-to-fix-ci-cd/), que acelera la resolución de problemas complejos durante las fases de prueba.\n* [Resolución de vulnerabilidades](https://about.gitlab.com/blog/understand-and-resolve-vulnerabilities-with-ai-powered-gitlab-duo/) para ayudar a conciliar las vulnerabilidades conocidas, apoyando una corrección más exhaustiva\n\nAl integrar la inteligencia artificial en sus flujos de trabajo, es crucial que los líderes prioricen la privacidad y la seguridad de los datos. Un aspecto fundamental de la adopción de un enfoque Secure by Design es desarrollar una [estrategia de IA que proteja los datos confidenciales y los derechos de propiedad intelectual](https://about.gitlab.com/the-source/ai/building-a-transparency-first-ai-strategy-7-questions-to-ask-your-devops/).\n\n### Lo que sigue\nEs posible que el enfoque Secure by Design pronto se convierta en el predeterminado para crear un ecosistema de software más confiable. El [gobierno de Estados Unidos](https://about.gitlab.com/the-source/security/national-cybersecurity-strategy-a-wake-up-call-for-software-developers/) colabora actualmente con desarrolladores de software para establecer marcos que incentiven legalmente al sector privado a desarrollar y lanzar software Secure by Design, lo que impulsa a las empresas a realizar mayores inversiones en tecnologías y prácticas de seguridad.\n\nCon la seguridad integrada en el desarrollo de software desde el inicio, la transparencia lograda a través de SBOM efectivas, y la IA que optimiza el proceso de desarrollo, todos los involucrados en el ciclo de desarrollo de software estarán mejor posicionados para alcanzar el éxito.","strengthen-your-cybersecurity-strategy-with-secure-by-design","content:es:the-source:security:strengthen-your-cybersecurity-strategy-with-secure-by-design:index.yml","es/the-source/security/strengthen-your-cybersecurity-strategy-with-secure-by-design/index.yml","es/the-source/security/strengthen-your-cybersecurity-strategy-with-secure-by-design/index",{"_path":513,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":514,"seo":516,"content":521,"type":466,"category":28,"slug":528,"_id":529,"_type":30,"title":517,"_source":31,"_file":530,"_stem":531,"_extension":34,"date":522,"description":518,"timeToRead":460,"heroImage":519,"keyTakeaways":523,"articleBody":527},"/es/the-source/security/how-gitlab-can-help-you-prepare-for-your-soc-2-exam",{"layout":5,"template":449,"articleType":450,"author":515,"featured":6,"isHighlighted":6,"authorName":427},"gitlab",{"title":517,"description":518,"ogImage":519,"config":520},"Cómo GitLab puede ayudar en la preparación para la auditoría SOC 2","Obtenga información sobre las funcionalidades de la plataforma de DevSecOps pensadas para la auditoría del marco SOC 2.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751463759/yk7f6poowtw5y5d5oflv.png",{"ignoreTitleCharLimit":329},{"title":517,"date":522,"description":518,"timeToRead":460,"heroImage":519,"keyTakeaways":523,"articleBody":527},"2024-07-18",[524,525,526],"Las pruebas automatizadas y los informes de cobertura de código mejoran la disponibilidad y la integridad del procesamiento en SOC 2.","Los análisis de seguridad y los controles basados en roles de GitLab garantizan el cumplimiento del marco SOC 2 mediante la protección de los datos de vulnerabilidades y accesos no autorizados.","Las plantillas de GitLab para pruebas de rendimiento del navegador y de carga simplifican las auditorías SOC 2 al validar el rendimiento y la seguridad de las aplicaciones en cada etapa de desarrollo.","Los clientes de GitLab han descubierto que el uso de GitLab como su plataforma para DevSecOps ha simplificado el proceso de la auditoría SOC 2.  En este artículo, analizaremos el marco SOC 2 y las funcionalidades de GitLab que ayudan a los clientes con su auditoría SOC 2.\n\n## Introducción a SOC 2\nSystem and Organization Controls 2 (Controles del Sistema y la Organización 2) o [SOC 2](https://us.aicpa.org/interestareas/frc/assuranceadvisoryservices/serviceorganization-smanagement) es un estándar de cumplimiento voluntario que define cómo las organizaciones deben administrar los datos de los clientes. El informe de la auditoría SOC 2 permite a las empresas dar fe de la confiabilidad del software que ofrece a los clientes comerciales.\n\nDesarrollado por la Association of International Certified Professional Accountants (AICPA), el SOC 2 se centra en cinco criterios de servicios de confianza (TSC):\n- Seguridad: proteger los datos de los clientes de vulnerabilidades y accesos no autorizados\n- Disponibilidad: garantizar que los sistemas sean tolerantes a fallas y que funcionen bajo cargas altas para cumplir con los acuerdos de nivel de servicio de disponibilidad \n- Integridad de procesamiento: garantizar que los sistemas funcionen según lo previsto sin vulnerabilidades, errores o fallas\n- Confidencialidad: proteger la información confidencial, como el código fuente de la aplicación, los nombres de usuario y las contraseñas, la información de la tarjeta de crédito, etc., de modo que solo las personas que necesiten acceso para hacer su trabajo tengan acceso a ella\n- Privacidad: proteger la información de identificación personal (PII) confidencial frente a usuarios no autorizados\n\nLa seguridad es el único criterio que se exige en todas las auditorías SOC 2. Los demás criterios se pueden agregar a la auditoría en los casos en que se consideren esenciales para los servicios que se prestan.\n\n## Criterio de servicio de confianza de seguridad\nEl criterio de seguridad hace referencia no solo a la seguridad de los servidores y sistemas físicos, sino también a la de las aplicaciones. Las vulnerabilidades de software pueden exponer una aplicación a atacantes y poner en riesgo los datos de los clientes, pero esta es un área en la que GitLab puede ayudar. \n\nGitLab proporciona diferentes tipos de análisis de seguridad para identificar posibles vulnerabilidades en las aplicaciones que crea una empresa, como los siguientes:\n- [Pruebas estáticas de seguridad de las aplicaciones (SAST)](https://docs.gitlab.com/ee/user/application_security/sast/): analiza el código fuente en busca de posibles errores y vulnerabilidades, como código inseguro que pueda provocar la ejecución involuntaria de código \n- [Análisis de dependencias](https://docs.gitlab.com/ee/user/application_security/dependency_scanning/): identifica vulnerabilidades de seguridad en las dependencias de software de una aplicación\n- [Análisis de contenedores](https://docs.gitlab.com/ee/user/application_security/container_scanning/): identifica vulnerabilidades de seguridad en las dependencias del sistema operativo de una aplicación en contenedores\n- [Pruebas dinámicas de seguridad de las aplicaciones (DAST)](https://docs.gitlab.com/ee/user/application_security/dast/): identifica vulnerabilidades de seguridad en una aplicación web en ejecución que podrían hacerla susceptible a un ataque\n- [Análisis de infraestructura como código (IaC)](https://docs.gitlab.com/ee/user/application_security/iac_scanning/): analiza archivos de configuración de infraestructura como código, incluyendo Terraform, Ansible, AWS CloudFormation y Kubernetes, para detectar vulnerabilidades de seguridad\n\nGitLab también proporciona un [informe de vulnerabilidades](https://docs.gitlab.com/ee/user/application_security/vulnerability_report/) que muestra todas las vulnerabilidades conocidas, según los análisis anteriores, en la aplicación actual. Además, GitLab ofrece una lista de materiales de software ([SBOM](https://docs.gitlab.com/ee/user/application_security/dependency_list/)) en formato estándar CycloneDX JSON, que muestra todas las dependencias a nivel de software y de sistema operativo, así como las vulnerabilidades conocidas de cada una de ellas.\n\nRealizar análisis de vulnerabilidades periódicos y contar con informes sólidos de vulnerabilidades ayuda a cumplir con tres criterios de seguridad:\n- CC7.1 – Para cumplir con sus objetivos, la entidad utiliza procedimientos de detección y supervisión a fin de identificar (1) cambios en las configuraciones que pueden resultar en la introducción de nuevas vulnerabilidades y (2) susceptibilidades a vulnerabilidades recién descubiertas.\n- CC4.1 – Principio 16 de COSO: la entidad selecciona, desarrolla y realiza evaluaciones continuas y/o separadas para determinar si los componentes del control interno están presentes y en funcionamiento.\n- CC4.2 – Principio 17 de COSO: la entidad evalúa y comunica de manera oportuna las deficiencias de control interno a las partes responsables de tomar medidas correctivas, incluida la alta gerencia y la junta directiva, según corresponda.\n\nUn componente fundamental de los análisis de seguridad es la gobernanza y el cumplimiento. GitLab proporciona funcionalidades para garantizar que los análisis se realicen de manera periódica y que los equipos de desarrollo de software no puedan eludirlos. Estas funcionalidades incluyen lo siguiente:\n- [Controles de acceso basados en roles](https://docs.gitlab.com/ee/user/permissions.html) para limitar quién puede realizar cambios en los ajustes de configuración a nivel de proyecto \n- [Políticas de ejecución de análisis](https://docs.gitlab.com/ee/user/application_security/policies/scan-execution-policies.html) para exigir que los análisis se ejecuten en todos los repositorios de código\n- [Políticas de aprobación de solicitudes de fusión](https://docs.gitlab.com/ee/user/application_security/policies/merge_request_approval_policies.html) para garantizar que los resultados de los análisis las revisen y aprueben las partes interesadas en seguridad correspondientes a fin de que las vulnerabilidades recién encontradas no se introduzcan en el software implementado\n- [Informes de cumplimiento](https://docs.gitlab.com/ee/user/application_security/) para mostrar cualquier cambio en las configuraciones de GitLab que pueda violar los procesos de seguridad implementados\n\nCon estas configuraciones, las organizaciones pueden demostrar que la seguridad del software es una prioridad absoluta para sus aplicaciones y que se aplican prácticas de seguridad.\n\n## Criterios de servicios de confianza de disponibilidad e integridad del procesamiento\nGitLab también puede ayudar a aplicar los criterios de servicios de confianza de disponibilidad e integridad del procesamiento. Estos criterios se centran en la calidad y el rendimiento de la aplicación en sí. Para respaldar estos criterios, GitLab proporciona lo siguiente:\n- Los resultados de las pruebas unitarias y los cambios en la cobertura del código en forma de [informes de cobertura de código](https://docs.gitlab.com/ee/ci/testing/code_coverage.html), que garantizan que el código fuente sea validado por un conjunto de pruebas\n- [Calidad del código](https://docs.gitlab.com/ee/ci/testing/code_quality.html), que analiza la calidad y la complejidad del código fuente para facilitar la legibilidad y el mantenimiento\n\nSi bien las prácticas de desarrollo de software anteriores se utilizan al principio del ciclo de desarrollo de software para garantizar un código probado de alta calidad, GitLab también ofrece plantillas para varios tipos de pruebas automatizadas en una aplicación en ejecución, con el fin de garantizar que funcione como se espera. Estas pruebas incluyen lo siguiente:\n- [Pruebas de rendimiento del navegador](https://docs.gitlab.com/ee/ci/testing/browser_performance_testing.html): miden el tiempo de carga de los sitios web durante el ciclo de vida del desarrollo para probar el impacto de cualquier cambio de código en el rendimiento del navegador\n- [Pruebas de rendimiento de carga](https://docs.gitlab.com/ee/ci/testing/load_performance_testing.html): miden el rendimiento del sistema del back-end de una aplicación durante el ciclo de vida del desarrollo para probar el impacto de cualquier cambio de código en el rendimiento\n- [Fuzzing guiado por cobertura](https://docs.gitlab.com/ee/user/application_security/coverage_fuzzing/): envía datos inesperados, inválidos o aleatorios a una aplicación y luego la supervisa en busca de comportamientos inestables y fallas\n- [Fuzzing de la API web](https://docs.gitlab.com/ee/user/application_security/api_fuzzing/): envía datos inesperados, inválidos o aleatorios a los puntos de conexión de la API para detectar errores y problemas de seguridad\n\nAl centrarse en prácticas sólidas de DevSecOps con GitLab para crear aplicaciones seguras y de alta calidad, las organizaciones pueden aprobar con mayor facilidad la auditoría SOC 2 y así dar fe de la seguridad de los datos de los clientes.\n\n> **Más información:** [fortalezca su postura de ciberseguridad](https://about.gitlab.com/the-source/security/strengthen-your-cybersecurity-strategy-with-secure-by-design/) con los principios de Secure by Design.","how-gitlab-can-help-you-prepare-for-your-soc-2-exam","content:es:the-source:security:how-gitlab-can-help-you-prepare-for-your-soc-2-exam:index.yml","es/the-source/security/how-gitlab-can-help-you-prepare-for-your-soc-2-exam/index.yml","es/the-source/security/how-gitlab-can-help-you-prepare-for-your-soc-2-exam/index",{"_path":533,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":534,"seo":535,"content":540,"type":466,"category":28,"slug":549,"_id":550,"_type":30,"title":536,"_source":31,"_file":551,"_stem":552,"_extension":34,"date":541,"description":542,"timeToRead":543,"heroImage":538,"keyTakeaways":544,"articleBody":548},"/es/the-source/security/10-tips-to-prioritize-security-in-software-development",{"layout":5,"template":449,"articleType":450,"author":515,"featured":6,"isHighlighted":6,"authorName":427},{"title":536,"description":537,"ogImage":538,"config":539},"10 consejos para priorizar la seguridad en el desarrollo de software","Siga estos consejos para aplicar la metodología shift left desde el inicio del ciclo de desarrollo y lograr mayor eficiencia y seguridad en su software.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464607/pmqkaclogv0y5tf4hk3t.png",{"ignoreTitleCharLimit":329},{"title":536,"date":541,"description":542,"timeToRead":543,"heroImage":538,"keyTakeaways":544,"articleBody":548},"2024-04-16","Siga estos consejos para aplicar la metodología de prueba shift left al principio del ciclo de desarrollo y obtener así una mayor eficiencia y un software más seguro.","Lectura de 2 min",[545,546,547],"Aplicar la metodología de prueba shift left mejora la seguridad del software al detectar vulnerabilidades al principio del SDLC.","GitLab integra la seguridad en DevSecOps para conseguir una gestión de riesgos proactiva.","Optimice los procesos con GitLab para mejorar la velocidad y el cumplimiento en el desarrollo.","Los ciberataques y las amenazas a la ciberseguridad siguen siendo una de las máximas prioridades para las organizaciones, por lo que así es como continúa la evolución del rol desarrollador. Más de la mitad de los participantes de la [Encuesta Global de DevSecOps 2024](https://about.gitlab.com/developer-survey/) de GitLab dijeron que son responsables de la seguridad de las aplicaciones como parte de un equipo más amplio, lo que indica que las prácticas de seguridad continúan cambiando.\n\nAplicar la metodología de prueba shift left, diseñar software con las prácticas recomendadas de seguridad incorporadas para detectar y corregir vulnerabilidades antes en el ciclo de desarrollo del software (SDLC), permite a los equipos trabajar con más eficacia y lanzar software más rápido.\n\nSi bien el 67 % de los profesionales de seguridad encuestados por GitLab dijeron que han aplicado la metodología de prueba shift left o planean hacerlo en los próximos tres años, es posible que no sepa por dónde comenzar.\n\nAquí tiene 10 consejos para ayudar a sus equipos a aplicar la metodología de prueba shift left para que DevSecOps sea más eficiente:\n\n### 1. Mida el tiempo\n\n¿Cuánto tiempo se pierde corrigiendo vulnerabilidades después de fusionar el código? Mida ese tiempo y, luego, busque un patrón en el tipo o la fuente de esas vulnerabilidades, y haga los ajustes necesarios para mejorar.\n\n### 2. Identifique los cuellos de botella\n\n¿Cuáles son las dificultades y los cuellos de botella entre los protocolos y los procesos de seguridad? Identifíquelos y, luego, cree y ejecute un plan de resolución.\n\n### 3. Comience poco a poco\n\nRealice pequeños cambios en el código: son más fáciles de revisar y de proteger; además, se lanzan más rápido que los cambios importantes de los proyectos.\n\n### 4. Elimine el efecto cascada\n\n¿La gente todavía se aferra a los procesos de seguridad estilo cascada en el SDLC? Eliminar o reducir el efecto cascada ayudará a su organización a prevenir la lucha por cambiar de dirección a medida que surjan las necesidades.\n\n### 5. Automatice los análisis\n\n¿Los procesos manuales están ralentizando y obstaculizando el proceso de detección de vulnerabilidades? Automatice los resultados en una solicitud de fusión para facilitar la revisión, hacer posible la búsqueda de fuentes\u2028y ofrecer accesibilidad para que los desarrolladores puedan brindar una solución.\n\n### 6. Actualice los flujos de trabajo\n\n¿Están incluidos los análisis de seguridad en el flujo de trabajo de sus desarrolladores? Diseñar e integrar la seguridad en los flujos de trabajo de los desarrolladores les permite encontrar y corregir vulnerabilidades antes de que el código pase a otra etapa.\n\n### 7. Demuestre el cumplimiento\n\n¿El trabajo no planificado y no programado demora los lanzamientos? La automatización y la implementación de marcos de cumplimiento ayudan a mantener la coherencia entre los entornos de desarrollo, los equipos y las aplicaciones.\n\n### 8. Empodere a los desarrolladores con informes de seguridad\n\n¿Sus desarrolladores tienen acceso a informes SAST y DAST? Estas valiosas herramientas ayudan a los equipos de desarrollo a crear prácticas de codificación seguras y a corregir vulnerabilidades como parte de su flujo de trabajo.\n\n### 9. Deje que los equipos trabajen de manera más inteligente\n\nEmpodere al equipo de seguridad para que trabaje de manera más inteligente con paneles de seguridad que aborden las vulnerabilidades resueltas y no resueltas, que indiquen dónde están las vulnerabilidades, quién las creó y en qué estado se encuentran para la corrección.\n\n### 10. Deshágase de la cadena de herramientas\n\nOptimice y reduzca su cadena de herramientas para que los empleados puedan centrar su atención en una única interfaz: una fuente única de la verdad.\n\n## Aplique la metodología de prueba Shift Left con GitLab\n\nGitLab le ayuda a iniciar una estrategia de seguridad proactiva para descubrir vulnerabilidades antes en el SDLC. La seguridad y el cumplimiento están integrados en la plataforma de DevSecOps de GitLab, con un flujo de trabajo integral que le permite comprender y administrar los riesgos. Realice análisis automáticos en busca de vulnerabilidades en una rama de características que pueda corregir las vulnerabilidades antes de pasar a producción.\n\nGitLab cuenta con un historial de apoyo a las iniciativas de DevSecOps de las agencias gubernamentales, los proveedores y las instituciones educativas federales, estatales y locales de EE. UU., y tiene una plataforma de desarrollo de software integral que cumple con los estrictos requisitos de seguridad y cumplimiento. Obtenga más información sobre [cómo GitLab puede ayudarle a aplicar la metodología de prueba shift left](https://about.gitlab.com/solutions/public-sector/) y a acelerar su camino hacia el éxito de manera segura.","10-tips-to-prioritize-security-in-software-development","content:es:the-source:security:10-tips-to-prioritize-security-in-software-development:index.yml","es/the-source/security/10-tips-to-prioritize-security-in-software-development/index.yml","es/the-source/security/10-tips-to-prioritize-security-in-software-development/index",{"_path":554,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":555,"seo":557,"content":561,"type":466,"category":28,"slug":570,"_id":571,"_type":30,"title":562,"_source":31,"_file":572,"_stem":573,"_extension":34,"date":563,"description":559,"timeToRead":564,"heroImage":560,"keyTakeaways":565,"articleBody":569},"/es/the-source/security/enterprise-scale-security-and-compliance-policy-management-in-the-ai-era",{"layout":5,"template":449,"articleType":450,"author":556,"featured":6,"isHighlighted":6,"authorName":428},"grant-hickman",{"title":558,"description":559,"ogImage":560},"Seguridad y cumplimiento a escala con IA | GitLab","Un vistazo a cómo la gestión de políticas de seguridad de GitLab puede ayudar a que su seguridad y cumplimiento sigan el ritmo del desarrollo de software.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464499/qriml3qncnibzphitcax.png",{"title":562,"date":563,"description":559,"timeToRead":564,"heroImage":560,"keyTakeaways":565,"articleBody":569},"Gestión de políticas de seguridad y cumplimiento a escala empresarial en la era de la IA","2023-10-17","Lectura de 8 min",[566,567,568],"Los equipos de seguridad se esfuerzan por seguir el ritmo del rápido desarrollo de software, intensificado por la IA; la gestión efectiva de vulnerabilidades se vuelve esencial para garantizar una seguridad sólida.","Las políticas de seguridad de GitLab automatizan el cumplimiento, al fomentar la colaboración entre los equipos de AppSec y desarrollo para la detección y corrección eficientes de vulnerabilidades.","Las técnicas de priorización, como el CVSS y la puntuación basada en riesgos, ayudan a gestionar las vulnerabilidades, lo que garantiza que se centre en los problemas críticos en medio de las crecientes vulnerabilidades de código generadas por la IA.","Los equipos de seguridad han tenido el desafío de seguir el ritmo del desarrollo de software. Y siguen enfrentando obstáculos, como líderes que erróneamente pasaron por alto la importancia de la seguridad en el proceso de desarrollo y la desproporción entre desarrolladores y personal de seguridad. Ahora llegó la IA, que acelera aún más ese ritmo. La velocidad de desarrollo solo aumentará a medida que las empresas se expandan a niveles empresariales. Por lo tanto, las herramientas de seguridad que se utilizan para gobernar los procesos de desarrollo deben coincidir con ese crecimiento.\n\nLos equipos de seguridad de las aplicaciones deben gestionar y priorizar las vulnerabilidades de manera efectiva. Gracias a las [políticas de seguridad de GitLab](https://docs.gitlab.com/ee/user/application_security/policies/), junto con nuestro conjunto de herramientas de seguridad, las organizaciones pueden fomentar la colaboración entre los equipos de AppSec y desarrollo, lo que permite detectar, clasificar y corregir vulnerabilidades de forma eficiente. Las políticas de seguridad también proporcionan un mecanismo para automatizar el cumplimiento de la seguridad y gestionarlo a escala empresarial.\n\nSi bien el análisis de más fuentes potenciales de vulnerabilidades ofrece mayores oportunidades para la detección temprana y la resolución de problemas, el gran volumen de hallazgos puede abrumar a los equipos de AppSec. La identificación de lo que es útil se está convirtiendo en un desafío cada vez mayor a medida que obtenemos información colectiva sobre las vulnerabilidades a partir de análisis adicionales. \n\n## Procesos para la clasificación de gestión de vulnerabilidades\nHoy en día, existen algunos enfoques comunes para manejar la clasificación de vulnerabilidades:\n\n- **Sistema de puntuación de vulnerabilidades comunes:** el CVSS proporciona un método estandarizado para evaluar la gravedad de las vulnerabilidades. Mediante las puntuaciones de CVSS, las organizaciones pueden priorizar las vulnerabilidades en función de su impacto potencial y asignar los recursos según sea necesario.\n\n- **Puntuación basada en riesgos:** la puntuación basada en el riesgo permite a las organizaciones evaluar las vulnerabilidades en función de su probabilidad de explotación y posible impacto comercial. Al considerar los factores contextuales, como el valor de los activos, las capacidades de los actores de amenazas y la prevalencia de exploits, las organizaciones pueden priorizar las vulnerabilidades de manera efectiva.\n\n- **Modelado de amenazas:** el modelado de amenazas es un enfoque con el que se identifican y evalúan las amenazas potenciales de una aplicación o un sistema. Mediante un análisis exhaustivo de la arquitectura del sistema, el flujo de datos y los posibles vectores de ataque, las organizaciones pueden priorizar las vulnerabilidades en función de su relevancia para las posibles amenazas. Este enfoque ayuda a asignar los recursos de manera efectiva al centrarse en las vulnerabilidades que tienen más probabilidades de ser explotadas.\n\n- **Análisis de impacto comercial (BIA):** el BIA es una técnica utilizada para evaluar el impacto potencial de las vulnerabilidades en las operaciones y los objetivos comerciales. Implica identificar los activos críticos, evaluar su importancia para la organización y cuantificar las posibles consecuencias de un ataque exitoso. Al tener en cuenta el posible impacto financiero, de reputación y operativo, las organizaciones pueden priorizar las vulnerabilidades que representan el riesgo más significativo para sus funciones comerciales principales.\n\nA medida que aumenta la proliferación de código generado por IA, también lo hace la cantidad de vulnerabilidades no intencionales que se introducen. Este tipo de técnicas se vuelven fundamentales a la hora de ayudar a las empresas a clasificar y comprender cómo priorizar. Pero ¿cómo podemos aplicar estas estructuras conceptuales en el mundo real? Analicemos cómo podemos poner en práctica estas técnicas.\n\n## Gestión de políticas de seguridad\nLas [políticas de seguridad](https://docs.gitlab.com/ee/user/application_security/policies/) son la solución para transformar las políticas y los requisitos de cumplimiento a nivel empresarial en instrucciones operativas tangibles que se incorporan a sus prácticas de DevSecOps y al ciclo de vida de desarrollo del software. Mediante la creación de reglas en las políticas de seguridad de GitLab, las organizaciones pueden definir criterios detallados para la evaluación de vulnerabilidades, lo que garantiza que solo los hallazgos procesables se marquen para su revisión.\n\nLas políticas de seguridad le permiten aplicar sus requisitos de seguridad y cumplimiento, así como sus mejores prácticas, integrándolos directamente en el código. Las [políticas de ejecución de análisis](https://docs.gitlab.com/ee/user/application_security/policies/scan-execution-policies.html) garantizan que los análisis se ejecuten en proyectos específicos en función de sus necesidades y requisitos. De este modo, las vulnerabilidades y exposiciones se detectan antes de que el código se fusione en producción.\n\nTambién puede aprovechar las [políticas de aprobación de solicitudes de fusión](https://docs.gitlab.com/ee/user/application_security/policies/scan-result-policies.html) para crear flujos de trabajo personalizados para abordar las vulnerabilidades. Las políticas evalúan los resultados de los análisis de seguridad y cumplimiento para evitar o bloquear las solicitudes de fusión a menos que se hayan revisado y aprobado exhaustivamente en función de las reglas que usted haya definido.\n\nAl adoptar políticas de aprobación de solicitudes de fusión y políticas de ejecución de análisis, agrega una capa de control al proceso de desarrollo. Esto puede garantizar que el código, escrito por humanos o no, se analice automáticamente y que las violaciones de las políticas fomenten la colaboración entre los equipos de ingeniería y AppSec cuando sea más factible. \n\n### Definición de reglas granulares en las políticas de aprobación de solicitudes de fusión\nPara ir un paso más allá, puede definir reglas granulares dentro de las políticas de aprobación de solicitudes de fusión en función de los filtros y atributos que se comparten a continuación. Estas reglas pueden ayudarle a identificar las vulnerabilidades más procesables y a encontrar información útil en medio del caos:\n\n- **Estado de la vulnerabilidad:** se pueden aplicar políticas de seguridad en función del estado de una vulnerabilidad, por lo general centrándose en las vulnerabilidades recién detectadas que necesitan clasificación. También es posible crear reglas en función de vulnerabilidades detectadas previamente con una gravedad determinada, o incluir/excluir vulnerabilidades si se han descartado.\n\n- **Rama:** aplique la normativa solo en ramas específicas, por ejemplo, enfocándose en hacer cumplir las normas en la rama predeterminada de proyectos críticos o en cualquier rama protegida.\n\n- **Corrección disponible:** filtre los hallazgos de los resultados de análisis de dependencias y contenedores cuando no se dispone de una solución. A menudo dependen de cambios introducidos por terceros y, por lo tanto, no pueden corregirse de inmediato. Puede crear y supervisar tickets de vulnerabilidades con fecha de vencimiento para resolverlos en cuanto haya una solución disponible.\n\n- **Falso positivo:** cuando los escáneres de GitLab identifiquen un hallazgo como falso positivo (en los análisis de contenedores y dependencias), marcaremos el estado dentro de la vulnerabilidad. De este modo, las políticas de seguridad podrán filtrar los falsos positivos de la supervisión, lo que permitirá a los desarrolladores e ingenieros de AppSec ignorar estos hallazgos y fusionar el código sin preocupaciones. Las vulnerabilidades seguirán estando disponibles en el informe de vulnerabilidades en caso de que se requiera un análisis más detallado.\n\n- **Antigüedad o acuerdo de nivel de servicio (SLA):** a veces, las organizaciones pueden tolerar vulnerabilidades de menor gravedad durante un tiempo, pero estas deben planificarse y abordarse dentro de un SLA razonable. Por ejemplo, su estrategia de seguridad podría definir un SLA en función de la gravedad de una vulnerabilidad y autorizar la fusión de código que contenga vulnerabilidades de gravedad media sin necesidad de aprobación durante 60 días, siempre que se resuelvan mediante un ticket de seguimiento con fecha de vencimiento. Sin embargo, si la vulnerabilidad supera el SLA de 60 días, las solicitudes de fusión se bloquearán y habrá que resolver la vulnerabilidad.\n\n![security-policies-rules-ds-all-filters](https://res.cloudinary.com/about-gitlab-com/image/upload/v1752175811/Blog/k0bror5vmcosg8jm4zi1.png)\n\n### Priorización de los hallazgos críticos en toda la organización\nUn enfoque común para hacer frente a grandes volúmenes de vulnerabilidades es empezar poco a poco mediante la priorización de los hallazgos más críticos de su organización. Un SLA de clasificación de vulnerabilidades puede facilitar este proceso definiendo reglas para abordar las vulnerabilidades dentro de un SLA específico, en función de la gravedad de la vulnerabilidad. A continuación, se muestra una demostración rápida de cómo utilizar una política de aprobación de solicitudes de fusión de GitLab para aplicar diferentes SLA en función del nivel de gravedad de las vulnerabilidades. En este caso, si se detecta un hallazgo de alta gravedad, las solicitudes de fusión no se bloquearán durante 30 días, lo que permitirá a los desarrolladores resolver el problema dentro de la ventana del SLA.\n\n\u003C!-- blank line -->\n\u003Cfigure class=\"video_container\">\n  \u003Ciframe src=\"https://www.youtube.com/embed/cOsAaLXdV2k\" frameborder=\"0\" allowfullscreen=\"true\"> \u003C/iframe>\n\u003C/figure>\n\u003C!-- blank line -->\n\n### Garantizar la separación de funciones\n\nLas políticas de seguridad pueden gestionarse de varias maneras, pero lo mejor es crear un proyecto aislado en GitLab, que garantice la separación de funciones entre los profesionales de la seguridad y los equipos de desarrollo. Las políticas se almacenan en YAML. Este enfoque de política como código empodera a su equipo de seguridad y ofrece una serie de ventajas, como un historial en Git de los cambios en las políticas para una mayor visibilidad, control de versiones que facilita la reversión de cambios perjudiciales, supervisión y aprobaciones obligatorias de los cambios de política (si es necesario), auditabilidad mediante eventos de auditoría de GitLab y controles concretos que pueden presentarse como pruebas a los auditores.\n\n![gitlab security-policies policy-yml](https://res.cloudinary.com/about-gitlab-com/image/upload/v1752175821/Blog/bqfig4ufupuitbarasuj.png)\n\n## Combinar todos estos elementos\nLa gestión de la afluencia cada vez mayor de vulnerabilidades requiere un enfoque preciso que combine análisis exhaustivos con una clasificación y corrección eficientes. Las políticas de seguridad de GitLab ofrecen una potente solución al permitir la colaboración, posibilitar la definición de reglas de política flexibles y personalizadas y proporcionar un medio para aplicar con precisión los requisitos y marcos de cumplimiento. Al aprovechar las herramientas de seguridad de GitLab y aplicar filtros y atributos personalizados, las organizaciones pueden optimizar la gestión de vulnerabilidades y centrar sus esfuerzos en abordar los riesgos más críticos. En última instancia, pueden reforzar su enfoque general de seguridad y cumplir con los requisitos de organismos externos. Aunque el código generado por la IA pueda suscitar preocupación, los tres pilares de la seguridad (personas, procesos y tecnología) permanecen inalterados. Al incorporar políticas de seguridad en sus procesos comerciales, puede proteger a su empresa contra este tipo de riesgos.\n\nAdemás de utilizar políticas de seguridad para aplicar políticas como código a escala, la plataforma de DevSecOps de GitLab ofrece un sólido conjunto de herramientas de seguridad. En nuestro reciente [Informe global de DevSecOps de 2023](https://learn.gitlab.com/devsecops-survey-2023/), el 57 % de los profesionales de la seguridad afirmaron que utilizan seis o más herramientas para el desarrollo de software y el 69 % de los profesionales de la seguridad afirmaron que desean consolidar su cadena de herramientas. Muchos CISO (responsables de seguridad de la información) aspiran a consolidar las herramientas, y GitLab ayuda a limitar la expansión de la cadena de herramientas. Ofrecemos las principales soluciones de análisis de seguridad: pruebas estáticas de seguridad de las aplicaciones (incluida la infraestructura como código), detección de secretos, pruebas dinámicas de seguridad de las aplicaciones (incluidas las API), análisis de dependencias y seguridad de las API. También simplificamos la gestión de vulnerabilidades para los equipos de AppSec mediante los informes dinámicos sobre vulnerabilidades. Por último, controlamos el cumplimiento a través de marcos de cumplimiento, informes de adhesión a los marcos de cumplimiento y eventos de auditoría.\n\nMás información sobre cómo gestionar la [seguridad de la aplicación](https://docs.gitlab.com/ee/user/application_security/#use-security-scanning-tools-with-merge-request-pipelines) con GitLab.\n\n> **A continuación:** Josh Lemos, CISO de GitLab, explica cómo [resolver las frustraciones más comunes en materia de seguridad](https://about.gitlab.com/the-source/security/security-its-more-than-culture-addressing-the-root-cause-of-common-security/).\n","enterprise-scale-security-and-compliance-policy-management-in-the-ai-era","content:es:the-source:security:enterprise-scale-security-and-compliance-policy-management-in-the-ai-era:index.yml","es/the-source/security/enterprise-scale-security-and-compliance-policy-management-in-the-ai-era/index.yml","es/the-source/security/enterprise-scale-security-and-compliance-policy-management-in-the-ai-era/index",{"_path":575,"_dir":28,"_draft":6,"_partial":6,"_locale":7,"config":576,"seo":578,"content":583,"type":466,"category":28,"slug":591,"_id":592,"_type":30,"title":579,"_source":31,"_file":593,"_stem":594,"_extension":34,"date":584,"description":580,"timeToRead":585,"heroImage":581,"keyTakeaways":586,"articleBody":590},"/es/the-source/security/how-to-strengthen-security-by-applying-devsecops-principles",{"layout":5,"template":449,"articleType":450,"author":577,"featured":6,"isHighlighted":6,"authorName":437},"ncregan",{"title":579,"description":580,"ogImage":581,"config":582},"Cómo fortalecer la seguridad mediante la aplicación de los principios de DevSecOps","Descubra cómo aplicar los principios de DevSecOps hoy mismo y aproveche el poder de este enfoque.","https://res.cloudinary.com/about-gitlab-com/image/upload/v1751464433/bdwagz0bt5bpgghjkout.png",{"ignoreTitleCharLimit":329},{"title":579,"date":584,"description":580,"timeToRead":585,"heroImage":581,"keyTakeaways":586,"articleBody":590},"2023-02-23","Lectura de 4 min",[587,588,589],"DevSecOps integra la seguridad en el ciclo de vida del desarrollo de software (SDLC), lo que garantiza aplicaciones seguras sin retrasar la entrega.","La automatización en DevSecOps aumenta la seguridad y agiliza la detección de amenazas y respuesta ante incidentes.","La colaboración en DevSecOps promueve un enfoque unificado para el desarrollo de software seguro y rápido.","Al adoptar los principios de DevSecOps, las empresas pueden proteger sus aplicaciones contra actores maliciosos y, al mismo tiempo, ofrecer valor de manera rápida y eficiente. En este artículo, analizaremos en profundidad los principios de DevSecOps y cómo pueden ayudar a las organizaciones a mantenerse a la vanguardia en materia de seguridad. Empecemos.\n\n## ¿Qué es DevSecOps?\n[DevSecOps](/topics/devsecops/) es un enfoque para el desarrollo de software que combina tres principios clave: desarrollo, seguridad y operaciones. Permite a los equipos crear productos seguros y confiables a la vez que ofrecen valor de forma rápida y eficiente. La implementación exitosa de DevSecOps implica integración continua, automatización y pruebas constantes, con el objetivo de acelerar el tiempo de salida al mercado sin sacrificar la calidad ni la seguridad.\n\n## Principios de DevSecOps: Una visión general\nLos [principios de DevSecOps](/blog/4-must-know-devops-principles/) permiten a los equipos de desarrollo crear aplicaciones seguras y confiables a gran velocidad mediante la ejecución de pruebas de seguridad integradas. Al adoptar un enfoque DevSecOps, los equipos integran la seguridad en el ciclo de vida del desarrollo de software (SDLC) desde el diseño inicial hasta la entrega e implementación continuas. Este enfoque ayuda a prevenir que actores malintencionados aprovechen vulnerabilidades del sistema para generar brechas de seguridad, reduciendo así el riesgo general de ciberataques.\n\nLos principios de DevSecOps incluyen:\n\n### Automatización e integración\nLa automatización y la integración son componentes esenciales de DevSecOps. La automatización de los procesos de seguridad facilita el desarrollo de aplicaciones seguras y confiables, al tiempo que reduce el riesgo de futuros ataques maliciosos. Puede configurar y ejecutar medidas de seguridad en múltiples puntos durante el ciclo de desarrollo para simplificar y optimizar las prácticas de seguridad mediante la aplicación de seguridad continua.\n\n### Entrega continua e implementación continua\nSe trata de procesos que permiten a los equipos responder rápidamente a amenazas potenciales y proteger su cadena de suministro de software de actores malintencionados. La [implementación continua de aplicaciones mediante procesos automatizados](/blog/cd-solution-overview/) permite desarrollar de manera ágil nuevas funcionalidades y productos; además, garantiza la seguridad y calidad de las aplicaciones.\n\n### Un enfoque colaborativo para la seguridad\nLa seguridad es un aspecto fundamental de DevSecOps. Para garantizar que las aplicaciones se mantengan seguras y confiables, se necesita [un enfoque de gran colaboración](/topics/version-control/software-team-collaboration/) que incluya controles de seguridad continuos y en varias etapas. Es necesario que todas las partes interesadas involucradas en el proceso de desarrollo participen activamente en el proceso de seguridad.\n\nLos equipos de seguridad deben trabajar en conjunto con los desarrolladores para asegurarse de que las aplicaciones se diseñen con los [controles de seguridad adecuados](/topics/devsecops/devsecops-security-checklist/) y con el mínimo posible de vulnerabilidades de seguridad. Al mismo tiempo, para que las aplicaciones se implementen y supervisen de manera segura, el equipo de operaciones debe colaborar estrechamente con los equipos de seguridad.\n\n### Seguridad en cada etapa del SDLC\nAplicar la seguridad en cada etapa del SDLC garantiza el desarrollo eficiente de aplicaciones seguras sin sacrificar la calidad. Es esencial cubrir [cada fase del ciclo de vida](/blog/top-10-gitlab-hacks/) desde el diseño hasta el desarrollo y la implementación.\n\nPara que el proceso sea efectivo, los desarrolladores deben diseñar aplicaciones con controles de seguridad adecuados, y los equipos de operaciones deben implementarlas y supervisarlas de forma segura.\n\n### Estrategias proactivas de supervisión y respuesta\nLas estrategias proactivas de supervisión y respuesta son esenciales para mantener la seguridad de las aplicaciones a lo largo de su vida útil. La [supervisión](/blog/working-with-performance-metrics/) se logra mediante el uso de herramientas automatizadas que identifican vulnerabilidades potenciales y alertan a los equipos cuando surgen.\n\nEsto permite minimizar los riesgos y a garantizar la coherencia en toda la organización. La implementación de una estrategia de respuesta integral permite identificar y resolver problemas antes de que se conviertan en riesgos de seguridad.\n\n## Beneficios de implementar DevSecOps\nLa implementación de DevSecOps ofrece numerosas ventajas a las organizaciones:\n1. Ayuda a generar confianza con los clientes al proporcionar aplicaciones seguras.\n2. Evita que actores malintencionados exploten vulnerabilidades del sistema y mejora la seguridad general.\n3. La metodología de DevSecOps permite a los equipos entregar valor rápidamente y, al mismo tiempo, garantizar los más altos niveles de seguridad.\n4. Al integrar la seguridad en el pipeline de desarrollo de software desde el diseño hasta la implementación, los equipos pueden identificar y abordar riesgos potenciales de manera oportuna, lo que reduce el riesgo de ataques maliciosos.\n5. DevSecOps ayuda a las organizaciones a mantenerse a la vanguardia de las amenazas potenciales y a seguir siendo competitivas en sus mercados.\n\nLa [implementación de DevSecOps](/blog/whats-next-for-devsecops/) es esencial para las organizaciones que busquen proteger sus sistemas de ataques maliciosos y al mismo tiempo agregar valor de manera rápida y eficiente. Además, la integración de la seguridad en el SDLC garantiza que todas las aplicaciones nuevas sean seguras desde el principio. La adopción de una cultura y un enfoque de DevSecOps maximiza la eficiencia y la calidad generales del proceso de desarrollo de software.","how-to-strengthen-security-by-applying-devsecops-principles","content:es:the-source:security:how-to-strengthen-security-by-applying-devsecops-principles:index.yml","es/the-source/security/how-to-strengthen-security-by-applying-devsecops-principles/index.yml","es/the-source/security/how-to-strengthen-security-by-applying-devsecops-principles/index",[446,471,491,512,532,553],{"ai":355,"platform":362,"security":10},1753733297430]