Sube dificultad para mantener el software seguro

Los CISOs de las empresas tienen cada vez más complicaciones para mantener seguro el software de sus organizaciones, debido a la creciente complejidad de los entornos multicloud e híbridos. Esto también se debe, en ciertos casos, a que algunos equipos siguen dependiendo de procesos manuales, que pueden derivar en que las vulnerabilidades se cuelen en los procesos de producción. Así ha quedado reflejado en el informe CISO Report 2023 de Dynatrace, para cuya realización se han entrevistado a 1.300 CISOs de compañías con más de 1.000 empleados de varios países, entre los que está España.

En el informe queda constancia de que utilizar de forma continua herramientas aisladas para desarrollo, entrega y seguridad es un obstáculo para poder consolidar una estrategia de DevSecOps. También, que cada vez. es más necesario combinar la observabilidad con la seguridad para dar un impulso a la automatización basada en datos. Así, los equipos de operaciones, desarrollo, seguridad y TI pueden ofrecer mayor seguridad al innovar.

Un 66% de los CISO entrevistados señalan que gestionar vulnerabilidades es más complicado por el crecimiento de la complejidad de los ecosistemas multicloud y de la cadena de suministro de su software. Además, solo la mitad están convencidos de que el software que ofrecen los equipos de desarrollo se ha probado de manera exhaustiva y completa para detectar vulnerabilidades antes de pasarlo a producción.

Otro 91% de los encuestados destacan la importancia de dar prioridad al análisis de vulnerabilidades, ya que no suele haber datos suficientes sobre el riesgo que estas suponen para sus entornos. Y un 58% señala que las alertas de vulnerabilidades identificadas como críticas por los escaneados de seguridad no suelen ser importantes en producción, por lo que se gasta mucho tiempo del desarrollo con la gestión de falsos positivos. Cada miembro del equipo de desarrollo y seguridad pasa, de media, la tercera parte de su tiempo de trabajo gestionando tareas de detección de vulnerabilidades que podrían automatizarse.

De los CISOs encuestado, un 76% aseguran que el aislamiento de equipos y soluciones puntuales durante el ciclo de vide de una estrategia DevSecOps facilita que se den brechas de seguridad. Y un 77% de los CISOs de España encuestados están convencidos de que habrá más vulnerabilidades si no se eleva el nivel de efectividad del DevSecOps. De hecho, solo un 12% de los encuestados señala que tienen una cultura DevSecOps madura y consolidada.

Para un 91%, la automatización y uso de la IA son claves para que el DevSecOps tenga éxito, así como para superar los problemas de recursos, y un 87% destaca que el tiempo que pasa entre el descubrimiento de un ataque «zero-day» y su capacidad para solucionarlo es uno de los mayores retos para reducir el riesgo.

Según Bernd Greifeneder, CTO de Dynatrace, «las empresas están peleando para encontrar el equilibrio entre la necesidad de innovar cada vez más rápido y hacerlo de una manera segura para mantener sus datos y servicios a salvo. El aumento de la complejidad de las cadenas de suministro de software y de las tecnologías nativas en la nube que proporcionan los cimientos para la innovación digital hacen que cada vez sea más difícil identificar, valorar y priorizar los tiempos de respuesta cuando surgen nuevas vulnerabilidades. Estas tareas han crecido más allá de las capacidades humanas de gestión«.

Greifeneder también ha recordado que «los equipos de desarrollo, seguridad y TI están descubriendo que los controles de gestión de vulnerabilidades de los que disponen no son los adecuados para el mundo digital y dinámico actual, lo cual expone a sus empresas a riesgos que no pueden ser permitidos.Pese al amplio conocimiento de los muchos beneficios de DevSecOps, muchas compañías siguen verdes a la hora de adoptar esta práctica debido a que sus datos están aislados, carecen de contexto y se limitan al análisis. 

Para superar este punto se deben utilizar soluciones que combinen la observabilidad y la seguridad, siendo impulsadas por IA y automatización inteligente. Esto es precisamente para lo que diseñamos la plataforma de Dynatrace. Como resultado, nuestros clientes han reducido el tiempo dedicado a identificar y priorizar incidencias en un 95%, ayudándoles así a innovar de una manera más rápida y segura, lo que les permite mantenerse a la vanguardia de sus industrias«.