Dynatrace anunció los resultados de una encuesta global independiente realizada a 1.300 directores de seguridad de la información (CISO por sus siglas en inglés) en grandes organizaciones.
La investigación reveló que a los CISO les resulta cada vez más difícil mantener seguro su software a medida que sus entornos híbridos y multicloud se vuelven más complejos, y que los equipos continúan confiando en procesos manuales lo que facilita que las vulnerabilidades se deslicen en los entornos de producción.
También encontró que el uso continuo de herramientas aisladas para tareas de desarrollo, entrega y seguridad está obstaculizando la madurez de la adopción de DevSecOps.
Estos hallazgos destacan la creciente necesidad de la convergencia de la observabilidad y la seguridad para impulsar la automatización basada en datos que les permite a los equipos de desarrollo, seguridad y operaciones de TI brindar una innovación más rápida y segura.
El informe “La convergencia de la observabilidad y la seguridad es fundamental para aprovechar el potencial de DevSecOps” está disponible para su descarga y donde se incluyen algunos de los resultados como:
Más de dos tercios (68 por ciento) de los CISO dicen que la gestión de vulnerabilidades es más difícil porque ha aumentado la complejidad de su cadena de suministro de software y el ecosistema de la Nube.
Solo el 50 por ciento de los CISO confía plenamente en que el software entregado por los equipos de desarrollo se ha probado completamente para detectar vulnerabilidades antes de lanzarse en entornos de producción.
El 77 por ciento de los CISO dice que es un desafío importante priorizar las vulnerabilidades porque carecen de información sobre el riesgo que estas vulnerabilidades representan para su entorno.
El 58 por ciento de las alertas de vulnerabilidad que los escáneres de seguridad solo marcan como “críticas” no es importante en la producción, lo que desperdicia un valioso tiempo de desarrollo persiguiendo falsos positivos.
En promedio, cada miembro de los equipos de seguridad de aplicaciones y desarrollo dedica casi un tercio (28 por ciento) de su tiempo, u 11 horas por semana, a tareas de administración de vulnerabilidades que podrían automatizarse.
“La creciente complejidad de las cadenas de suministro de software y el stack de tecnología nativa de la Nube que proporcionan la base para la innovación digital hacen que sea cada vez más difícil identificar, evaluar y priorizar rápidamente los esfuerzos de respuesta cuando surgen nuevas vulnerabilidades. Los equipos de desarrollo, seguridad y TI están descubriendo que los controles de gestión de vulnerabilidades que tienen ya no son adecuados en el dinámico mundo digital actual, que expone a sus negocios a un riesgo inaceptable”, dice Bernd Greifeneder, CTO de Dynatrace.
Otros hallazgos de la investigación incluyen:
- El 75 por ciento de los CISO dice que la prevalencia de los silos de equipo y las soluciones puntuales a lo largo del ciclo de vida de DevSecOps facilita que las vulnerabilidades entren en producción.
- El 81 por ciento de los CISO asegura que verán más explotaciones de vulnerabilidades si no pueden hacer que DevSecOps funcione de manera más efectiva; sin embargo, solo el 12% de las organizaciones tienen una cultura DevSecOps madura.
- El 86 por ciento de los CISO afirma que la IA y la automatización son fundamentales para el éxito de DevSecOps y para superar los desafíos de los recursos.
- El 76 por ciento de los CISO revela que el tiempo que transcurre entre el descubrimiento de los ataques de día cero y su capacidad para parchear cada instancia es un desafío importante para minimizar el riesgo.
“A pesar de una comprensión generalizada de los muchos beneficios de DevSecOps, la mayoría de las organizaciones permanece en las primeras etapas de adopción de estas prácticas. Para superar esto, deben usar soluciones que reúnan la observabilidad y los datos de seguridad, y que funcionen con Inteligencia Artificial confiable y automatización inteligente. Esto es precisamente para lo que diseñamos la plataforma Dynatrace”, concluye Greifeneder. .
