El 81% de los CISO dicen que verán un aumento en la explotación de vulnerabilidades si no pueden hacer que DevSecOps funcione de manera más efectiva
Dynatrace (NYSE: DT), el líder en observabilidad y seguridad unificada, anunció los resultados de una encuesta global independiente a 1,300 directores de seguridad de la información (CISO) en grandes organizaciones.
La investigación reveló que a los CISO les resulta cada vez más difícil mantener su software seguro a medida que sus entornos híbridos y multicloud se vuelven más complejos, y los equipos continúan confiando en procesos manuales lo que facilita que las vulnerabilidades se deslicen en los entornos de producción. También encontró que el uso continuo de herramientas aisladas para tareas de desarrollo, entrega y seguridad está obstaculizando la madurez de la adopción de DevSecOps. Estos hallazgos destacan la creciente necesidad de la convergencia de la observabilidad y la seguridad para impulsar la automatización basada en datos que permite a los equipos de desarrollo, seguridad y operaciones de TI ofrecer una innovación más rápida y segura.
El informe La convergencia de la observabilidad y la seguridad es fundamental para aprovechar el potencial de DevSecOps, está disponible para su descarga y donde se incluyen algunos de los resultados como:
Más de dos tercios (68%) de los CISO dicen que la gestión de vulnerabilidades es más difícil porque ha aumentado la complejidad de su cadena de suministro de software y el ecosistema de la nube.
Solo el 50% de los CISO confían plenamente en que el software entregado por los equipos de desarrollo se ha probado completamente para detectar vulnerabilidades antes de lanzarse en entornos de producción.
77% de los CISO dicen que es un desafío importante priorizar las vulnerabilidades porque carecen de información sobre el riesgo que estas vulnerabilidades representan para su entorno.
El 58% de las alertas de vulnerabilidad que los escáneres de seguridad solo marcan como “críticas” no son importantes en la producción, lo que desperdicia un valioso tiempo de desarrollo persiguiendo falsos positivos.
En promedio, cada miembro de los equipos de seguridad de aplicaciones y desarrollo dedica casi un tercio (28%) de su tiempo, u 11 horas por semana, a tareas de administración de vulnerabilidades que podrían automatizarse.
“Las organizaciones luchan por equilibrar la necesidad de una innovación más rápida con los controles de gobierno y seguridad que establecieron para mantener seguros sus servicios y datos”, dijo Bernd Greifeneder, CTO de Dynatrace. “La creciente complejidad de las cadenas de suministro de software y el stack de tecnología nativa de la nube que proporcionan la base para la innovación digital hacen que sea cada vez más difícil identificar, evaluar y priorizar rápidamente los esfuerzos de respuesta cuando surgen nuevas vulnerabilidades. Estas tareas han crecido más allá de la capacidad humana de gestionar. Los equipos de desarrollo, seguridad y TI están descubriendo que los controles de gestión de vulnerabilidades que tienen ya no son adecuados en el dinámico mundo digital actual, que expone a sus negocios a un riesgo inaceptable”.
Otros hallazgos adicionales incluyen:
75% de los CISO dicen que la prevalencia de los silos de equipo y las soluciones puntuales a lo largo del ciclo de vida de DevSecOps facilita que las vulnerabilidades entren en producción.
81% de los CISO dicen que verán más explotaciones de vulnerabilidades si no pueden hacer que DevSecOps funcione de manera más efectiva; sin embargo, solo el 12% de las organizaciones tienen una cultura DevSecOps madura.
86% de los CISO dicen que la IA y la automatización son fundamentales para el éxito de DevSecOps y para superar los desafíos de los recursos.
76% de los CISO dicen que el tiempo que transcurre entre el descubrimiento de los ataques de día cero y su capacidad para parchear cada instancia es un desafío importante para minimizar el riesgo.
“A pesar de una comprensión generalizada de los muchos beneficios de DevSecOps, la mayoría de las organizaciones permanecen en las primeras etapas de adopción de estas prácticas debido a los datos aislados que carecen de contexto y limitan el análisis”, continuó Greifeneder. “Para superar esto, deben usar soluciones que converjan la observabilidad y los datos de seguridad y que funcionen con inteligencia artificial confiable y automatización inteligente. Esto es precisamente para lo que diseñamos la plataforma Dynatrace. Como resultado, nuestros clientes han reducido el tiempo que dedican a identificar y priorizar vulnerabilidades hasta en un 95%, lo que les ayuda a ofrecer una innovación más rápida y segura que los mantiene a la vanguardia de sus industrias”.
El informe global incluye la encuesta de 1300 CISO en grandes organizaciones con más de mil empleados, fue realizado por Coleman Parkes por encargo de Dynatrace; la muestra incluyó 200 encuestados en los Estados Unidos, 100 en cada uno de los siguientes países Reino Unido, Francia, Alemania, España, Italia, los Países Nórdicos, Oriente Medio, Australia e India, y 50 en cada uno de Singapur, Malasia, Brasil y México.