Inteligencia artificial, agilidad y desarrollo de aplicaciones seguras

En un contexto en el que las aplicaciones se han convertido en el núcleo de las operaciones empresariales, la seguridad ya no es un aspecto que pueda ser relegado al final del ciclo de desarrollo. Con el auge de la inteligencia artificial (IA) y la integración de metodologías DevSecOps, el desafío de construir aplicaciones seguras es más crítico que nunca. Así, la rapidez con la que el negocio reclama lanzar nuevos desarrollos, debe ir acompañado de esas garantías sólidas de seguridad, sin comprometer la agilidad ni la innovación.

Para reflexionar sobre este tema, esta mañana hemos celebrado, con la colaboración de OpenText, «Inteligencia artificial, agilidad y desarrollo de aplicaciones seguras», una mesa redonda en la que hemos explorado cómo las organizaciones pueden implementar prácticas efectivas de DevSecOps para asegurar que las aplicaciones, impulsadas por IA, estén preparadas para los desafíos actuales. En este debate, hemos contado con la participación de:

• Dachi Gogotchuri, Cloud Solutions Lead Engineer de Nationale Nederlanden
• Juan Manuel Maroto responsable de delivery de soluciones digitales en Ricoh España.
• Javier Barroso, Head of Digital Engineering for South Europe de Cognizant
• Rubén Carretero, Lead Engineer en Wolters Kluwer Tax & Accounting España
• Manuel Moreno, consultor especialista en tecnología Cloud e Inteligencia Artificial de Kyndryl.
• Julio César Gómez, Field CTO Advisory Solution Architect de Dell Technologies España
• Pablo Andrés Castañeda, Head of Customer Sucess of Data Intelligence and AI de Fujitsu.
• Xavi Ventura Cloud Business Consultant de Econocom
• Filipe Ribeiro – VP Sales North and South Europe de OpenText
• Bernardo Pizarro – Sr Account Executive de OpenText
• Gustavo de Porcellinis – Director comercial de TPNET
• Rodolfo de Juana – Coordinador editorial de MCPRO.

Uno de las principales cuestiones que se plantearon a lo largo de esta mesa redonda, es que la implementación de una cultura DevSecOps sólida es clave para que ingenieros y usuarios comprendan y adopten de manera integral los riesgos y medidas de seguridad en cada fase del desarrollo. Como apuntaron varios de los participantes, esta cultura no debe considerarse como un añadido, sino como el núcleo del proceso, orientada desde el diseño para prevenir vulnerabilidades y asegurar la integridad de los sistemas.

Al mismo tiempo, a medida que los equipos maduran, se adaptan mejor a los entornos ágiles y logran mayor libertad operativa, aunque siempre dentro de los marcos de seguridad y estándares predefinidos. Esta madurez, comentaron, permite que la agilidad no comprometa la seguridad; más bien, ambas se refuerzan mutuamente para crear procesos fluidos y seguros. La evangelización interna y la creación de una comunidad colaborativa dentro de la empresa fomentan la responsabilidad compartida y aseguran que las prácticas de seguridad no se releguen a un equipo separado, sino que estén integradas en cada proceso.

«La agilidad con la que hemos adoptado la IA en la empresa es tremenda, pero tenemos que ser muy rápidos y ágiles para introducir seguridad» – Dachi Gogotchuri

Por otro lado, la automatización de controles en DevSecOps es otro aspecto fundamental. Herramientas que supervisan y gestionan la seguridad en cada etapa del ciclo de vida del software minimizan errores humanos y aseguran un cumplimiento de los estándares. A su vez, la adaptación de las soluciones a las particularidades de cada sector, como la salud o la banca, optimiza la seguridad y el cumplimiento normativo en contextos altamente sensibles.

El desafío de construir equipos de DevSecOps altamente especializados

Como no podía ser de otra forma, la dificultad de atraer y en este caso desarrollar el talento adecuado, protagonizó buena parte de la jornada. La implementación de DevSecOps conlleva costos significativos, que van desde la formación de empleados hasta la implementación de tecnologías y herramientas de seguridad. Estos gastos deben ser incorporados desde el inicio en los planes de negocio y presupuestos de la organización, dado que la seguridad es una prioridad que impacta directamente en la eficiencia y protección de los activos digitales.

«Tanto la velocidad como la seguridad son muy importantes, pero no hay que olvidarse de la calidad del desarrollo» – Filipe Ribeiro.

Como evidenciaron todos los ponentes, la contratación de perfiles especializados en DevSecOps es un reto importante para las empresas, especialmente al buscar profesionales con experiencia en infraestructura como código o platform engineering. La escasez de estos perfiles obliga a las organizaciones a invertir en formación interna en un enfoque, que aunque resulta costoso, permite que las empresas formen profesionales alineados con sus necesidades y cultura.

«Para desarrollar un equipo maduro, necesitas una formación continua de los perfiles que ya tienes en la empresa, que a su vez, tienen que ser más plurales y mixtos» – Juan Manuel Maroto.

Mientras esto ocurre, también señalaron que los roles técnicos también han evolucionado, haciendo necesario un enfoque multidisciplinario. En lugar de los roles tradicionales, hoy se requieren equipos que manejen un conjunto diverso de habilidades, lo que incluye competencias en el uso de herramientas de seguridad y monitorización en tiempo real, por lo que la colaboración entre los equipos de desarrollo y seguridad se ha convertido en una pieza fundamental para el éxito de DevSecOps. Incluir la seguridad desde la fase de definición del producto permite a las empresas reducir vulnerabilidades y cumplir con las normativas desde el inicio del proyecto.

IA y DevSecOps: seguridad y privacidad y ¿fin del boom?

La omnipresente inteligencia artificial también acaparó buena parte de las conversaciones. Todos partieron de la premisa de que la seguridad y privacidad de los datos son aspectos críticos en el desarrollo de IA, especialmente cuando se maneja información personal. A partir de aquí, abundaron, la falta de medidas adecuadas de segregación y cifrado puede llevar a graves brechas de seguridad, sobre todo durante fases sensibles como el entrenamiento y prueba de modelos. Estas fallos no solo exponen datos sensibles, sino que también pueden dañar la confianza del usuario y la reputación de la empresa.

«La automatización de procesos, incluida la seguridad, es clave para garantizar la calidad y cumplimiento en el ciclo de vida del software» – Rubén Carretero.

Al mismo tiempo, la protección de la propiedad intelectual se presentó como otro reto a superar. Al utilizar modelos y librerías públicas y otros recursos en el desarrollo de IA, las empresas corren el riesgo de diluir su propiedad intelectual y perder control sobre su código. Esto subraya la necesidad de implementar medidas que garanticen la exclusividad y protección del desarrollo interno, preservando el valor y la originalidad de los productos basados en IA.

Pero por supuesto, la IA también ofrece grandes oportunidades, tanto en el presente como en el futuro del desarrollo de software. La implementación de IA ha demostrado ser un gran aliado en la optimización de tiempos y costos, especialmente en la generación de casos de prueba. La capacidad de reducir tareas que antes requerían semanas a solo minutos,, ilustra el impacto positivo que la IA puede tener en términos de eficiencia y retorno de inversión.

«Si no haces una correcta gestión de datos ya tienes una brecha de seguridad, incluso en pruebas de concepto de tu desarrollo» – Javier Barroso.

Para ello, insistieron, la calidad de los datos es esencia. Sin datos precisos y pertinentes, los modelos de IA carecen de la base necesaria para operar eficazmente. Este énfasis en la calidad también se extiende a la contextualización de la IA: adaptar los modelos al contexto específico de cada área (DevOps, seguridad, marketing) maximiza la relevancia y precisión de los resultados, evitando problemas que surgen con un enfoque genérico.

«El 83% de los casos de IA no son un éxito, si los datos no son buenos, no generan valor para el negocio» – Manuel Moreno.

A medida que la IA evoluciona, las empresas han comenzado a priorizar aplicaciones especializadas en lugar de modelos generalistas. Esto marca el fin del «boom» inicial de una IA generalista y orienta el desarrollo hacia soluciones específicas que aporten un valor real y alineado con los objetivos de negocio. La especialización permite a cada empresa nutrir sus modelos con datos y contextos propios, aumentando así su eficacia y utilidad en áreas clave del negocio.

Y no se olvidaron del creciente papel que está jugando la regulación. La regulación de la IA, especialmente en la Unión Europea, está comenzando a clasificar los riesgos asociados con distintos modelos, como el reconocimiento facial y la gestión de emociones. Sin embargo, estas normativas han creado cierta incertidumbre para las empresas, que en algunos casos optan por no lanzar productos en Europa hasta tener claridad sobre los requisitos regulatorios. Este entorno ha ralentizado la adopción de algunas tecnologías, aunque impulsa a las organizaciones a desarrollar sus soluciones con un enfoque más riguroso.

Una visión de futuro

En la ronda de conclusiones, los participantes argumentaron que incorporar DevSecOps en la estrategia empresarial es esencial para que se convierta en un verdadero generador de valor y no solo en un centro de costos. Para lograrlo, es necesario integrar DevSecOps como parte de la cultura organizacional, permitiendo que la seguridad y la calidad se prioricen en cada fase del desarrollo.

«Es crucial integrar la seguridad desde el inicio, en la fase de definición del producto, para evitar vulnerabilidades en etapas posteriores» – Pablo Andrés Castañeda.

En este sentido, tanto la calidad como la seguridad del software son aspectos críticos, ya que impactan directamente en la confianza de los usuarios. Una buena gobernanza es crucial para controlar los costos a largo plazo y mitigar los riesgos asociados con el crecimiento de las infraestructuras digitales.

A medida que las empresas adoptan DevSecOps y la IA, se enfrentan a varios desafíos que aún deben superar, como la madurez en estas áreas y una perspectiva realista de lo que la IA puede lograr. La IA debe ser vista como una herramienta con un potencial estratégico que, aunque poderoso, no resuelve todos los problemas.