El desarrollo manual sigue dejando vulnerabilidades

A los directores de seguridad de la información (CISO) les resulta cada vez más difícil mantener su software seguro conforme sus entornos híbridos y multinube se vuelven más complejos, y los equipos continúan confiando en procesos manuales, lo que facilita dejar vulnerabilidades en los entornos de producción, reveló una investigación de la empresa de observabilidad y seguridad unificada, Dynatrace.

El reporte, titulado “La convergencia de la observabilidad y la seguridad es fundamental para aprovechar el potencial de DevSecOps”, también encontró que el uso continuo de herramientas aisladas para tareas de desarrollo, entrega y seguridad está obstaculizando la madurez de la adopción de DevSecOps.

Estos hallazgos, señaló Dynatrace, destacan la creciente necesidad de integrar observabilidad y seguridad para impulsar la automatización basada en datos, que permitirá a los equipos de desarrollo, seguridad y operaciones de TI ofrecer una innovación más rápida y segura.

Otros resultados de la encuesta son:

• Más de dos tercios (68 %) de los CISO dicen que la gestión de vulnerabilidades es más difícil porque ha aumentado la complejidad de su cadena de suministro de software y el ecosistema de la nube.
• Solo el 50 % de los CISO confían plenamente en que el software entregado por los equipos de desarrollo se ha probado completamente para detectar vulnerabilidades antes de lanzarse en entornos de producción.
• 77 % de los CISO dicen que es un desafío importante priorizar las vulnerabilidades porque carecen de información sobre el riesgo que estas vulnerabilidades representan para su entorno.
• El 58% de las alertas de vulnerabilidad que los escáneres de seguridad solo marcan como "críticas" no son importantes en la producción, lo que desperdicia un valioso tiempo de desarrollo persiguiendo falsos positivos.
• En promedio, cada miembro de los equipos de seguridad de aplicaciones y desarrollo dedica casi un tercio (28 %) de su tiempo, u 11 horas por semana, a tareas de administración de vulnerabilidades que podrían automatizarse.

“Las organizaciones luchan por equilibrar la necesidad de una innovación más rápida con los controles de gobierno y seguridad que establecieron para mantener seguros sus servicios y datos”, dijo Bernd Greifeneder, CTO de Dynatrace.

“La creciente complejidad de las cadenas de suministro de software y el stack de tecnología nativa de la nube, que proporcionan la base para la innovación digital, hacen que sea cada vez más difícil identificar, evaluar y priorizar rápidamente los esfuerzos de respuesta cuando surgen nuevas vulnerabilidades. Estas tareas han crecido más allá de la capacidad humana de gestionar. Los equipos de desarrollo, seguridad y TI están descubriendo que los controles de gestión de vulnerabilidades que tienen ya no son adecuados en el dinámico mundo digital actual, que expone a sus negocios a un riesgo inaceptable”, resaltó el ejecutivo.

La encuesta encontró que la mayoría de los CISO (75 %) considera que los silos de equipo y las soluciones puntuales en DevSecOps facilitan que las vulnerabilidades entren en producción, y 81 % dicen que verán más explotaciones de vulnerabilidades si no pueden hacer que DevSecOps funcione de manera más efectiva, aunque solo 12 % de las organizaciones tienen una cultura DevSecOps madura. Para un 86 % de directores de seguridad, la IA y la automatización son fundamentales para el éxito de DevSecOps.

“A pesar de una comprensión generalizada de los muchos beneficios de DevSecOps, la mayoría de las organizaciones permanecen en las primeras etapas de adopción de estas prácticas debido a los datos aislados que carecen de contexto y limitan el análisis”, continuó Greifeneder. “Para superar esto, deben usar soluciones que converjan la observabilidad y los datos de seguridad y que funcionen con inteligencia artificial confiable y automatización inteligente”, subrayó.

El informe estuvo basado en una encuesta global independiente, realizada por Coleman Parkes por encargo de Dynatrace, a 1.300 CISO en grandes organizaciones con más de mil empleados. La muestra incluyó a: 200 encuestados en Estados Unidos; 100 en cada uno de los países de Reino Unido, Francia, Alemania, España, Italia, los Países Nórdicos, Oriente Medio, Australia e India; y 50 en Singapur, Malasia, Brasil y México.