Los CISO ven cada vez más difícil mantener la protección de su software ya que los entornos híbridos y multicloud son cada vez más y más complejos, y a que algunos equipos continúan dependiendo de procesos manuales que provocan que sea más fácil que las vulnerabilidades se cuelen en los sistemas de producción. Estas son las principales conclusiones de un estudio elaborado por Dynatrace en el que dan a conocer los resultados de su CISO Report 2023, una encuesta global a 1.300 directores de Seguridad de la Información (CISO).
Este informe constata que el uso continuado de herramientas aisladas para tareas de desarrollo, entrega y seguridad, obstaculiza la consolidación de una estrategia DevSecOps. Estos datos señalan la creciente necesidad de combinar la observabilidad con la seguridad para impulsar la automatización basada en datos que permite a los equipos de operaciones, de desarrollo, de seguridad y de TI ofrecer una innovación más rápida y segura. El informe incluye información muy reveladora sobre la gestión de vulnerabilidades; desarrollo de software; automatización y proporciona datos locales sobre cuál es la situación en España.
Complejidad de entornos y detección de vulnerabilidades
Más de dos tercios (66%) de los CISO entrevistados aseguran que la gestión de vulnerabilidades es más difícil debido a que ha aumentado la complejidad de los ecosistemas cloud y de la cadena de suministro de su software. Sólo un 55% de los CISO está convencido de que el software ofrecido por los equipos de desarrollo ha sido sometido a pruebas exhaustivas y completas para detectar vulnerabilidades antes de pasar a entornos de producción.
El 91% de los CISO encuestados hacen hincapié en la importancia de priorizar el análisis de vulnerabilidades ya que suele faltar información sobre el riesgo que suponen las mismas para sus entornos. De hecho, el 58% asegura que las alertas de vulnerabilidades señaladas como críticas por parte de los scanner de seguridad no suelen ser importantes en la producción por lo que se invierte un tiempo valioso del desarrollo persiguiendo falsos positivos. Cada miembro del equipo de desarrollo y seguridad pasa un tercio de su tiempo (de media) en la gestión de tareas de detección de vulnerabilidades que podrían estar perfectamente automatizadas.
Minimizar riesgos y consolidar estrategias
El informe destaca que el 76% de los CISO afirman que el aislamiento de equipos y soluciones puntuales a lo largo del ciclo de vida de una estrategia DevSecOps facilita que haya brechas de seguridad. Por su parte, un nº similar (77%) sugiere que habrá más vulnerabilidades explotadas si no se consigue que la estrategia DevSecOps sea más efectiva. De hecho, sólo el 12% de ellos afirman tener una cultura DevSecOps madura y consolidada.
La mayoría de los entrevistados (91%) asegura que la automatización y el uso de la Inteligencia Artificial son claves para el éxito de DevSecOps y para superar los problemas de recursos. El 87% de los CISO concluye que el tiempo que transcurre entre descubrir un ataque zero-day y su capacidad para arreglarlo es uno de los mayores retos a conseguir para minimizar el riesgo.