Dynatrace ha dado a conocer los resultados de su CISO Report 2023, una encuesta global a 1.300 directores de seguridad de la información (CISO) de grandes empresas a nivel mundial, entre los que se incluye España. Este estudio ha revelado que los CISO ven cada vez más difícil mantener la protección de su software ya que los entornos híbridos y multicloud son cada vez más y más complejos, y a que algunos equipos continúan dependiendo de procesos manuales que provocan que sea más fácil que las vulnerabilidades se cuelen en los sistemas de producción.
Este informe constata que el uso continuado de herramientas aisladas para tareas de desarrollo, entrega y seguridad obstaculiza la consolidación de una estrategia DevSecOps. Estos datos señalan la creciente necesidad de combinar la observabilidad con la seguridad para impulsar la automatización basada en datos que permite a los equipos de operaciones, de desarrollo, de seguridad y de TI ofrecer una innovación más rápida y segura. El informe incluye información muy reveladora sobre la gestión de vulnerabilidades; desarrollo de software; automatización y un largo etcétera y proporciona datos locales sobre cuál es la situación en España:
Índice de temas
Complejidad de entornos y detección de vulnerabilidades
Más de dos tercios (66%) de los CISO entrevistados aseguran que la gestión de vulnerabilidades es más difícil debido a que ha aumentado la complejidad de los ecosistemas cloud y de la cadena de suministro de su software. Solo un 55% de los CISO está convencido de que el software ofrecido por los equipos de desarrollo ha sido sometido a pruebas exhaustivas y completas para detectar vulnerabilidades antes de pasar a entornos de producción.
Más de dos tercios (66%) de los CISO entrevistados aseguran que la gestión de vulnerabilidades es más difícil debido a que ha aumentado la complejidad de los ecosistemas cloud
El 91% de los CISO encuestados hacen hincapié en la importancia de priorizar el análisis de vulnerabilidades ya que suele faltar información sobre el riesgo que suponen las mismas para sus entornos. De hecho, el 58% asegura que las alertas de vulnerabilidades señaladas como críticas por parte de los scanner de seguridad no suelen ser importantes en la producción por lo que se invierte un tiempo valioso del desarrollo persiguiendo falsos positivos. Cada miembro del equipo de desarrollo y seguridad pasa un tercio de su tiempo (de media) en la gestión de tareas de detección de vulnerabilidades que podrían estar perfectamente automatizadas.
“Las empresas están peleando para encontrar el equilibrio entre la necesidad de innovar cada vez más rápido y hacerlo de una manera segura para mantener sus datos y servicios a salvo”, afirma Bernd Greifeneder, CTO de Dynatrace. “El aumento de la complejidad de las cadenas de suministro de software y de las tecnologías nativas en la nube que proporcionan los cimientos para la innovación digital hacen que cada vez sea más difícil identificar, valorar y priorizar los tiempos de respuesta cuando surgen nuevas vulnerabilidades. Estas tareas han crecido más allá de las capacidades humanas de gestión”.
Minimizar riesgos y consolidar estrategias
El informe destaca que el 76% de los CISO afirman que el aislamiento de equipos y soluciones puntuales a lo largo del ciclo de vida de una estrategia DevSecOps facilita que haya brechas de seguridad. Por su parte, un número similar (77%) sugiere que habrá más vulnerabilidades explotadas si no se consigue que la estrategia DevSecOps sea más efectiva. De hecho, sólo el 12% de ellos afirman tener una cultura DevSecOps madura y consolidada.
La mayoría de los entrevistados (91%) asegura que la automatización y el uso de la Inteligencia Artificial son claves para el éxito de DevSecOps y para superar los problemas de recursos. El 87% de los CISO concluye que el tiempo que transcurre entre descubrir un ataque zero-day y su capacidad para arreglarlo es uno de los mayores retos a conseguir para minimizar el riesgo”-.
El 77% de los CISO aseguran que habrá más vulnerabilidades si no logran un DevSecOps más efectivo
“Pese al amplio conocimiento de los muchos beneficios de DevSecOps, muchas compañías siguen verdes a la hora de adoptar esta práctica debido a que sus datos están aislados, carecen de contexto y se limitan al análisis”, observa Greifeneder. “Para superar este punto se deben utilizar soluciones que combinen la observabilidad y la seguridad, siendo impulsadas por IA y automatización inteligente”.
El CISO Report 2023 se basa en una encuesta global realizada a 1.300 CISO de grandes compañías con más de 1.000 empleados, y ha sido llevada a cabo por Coleman Parkes y encargada por Dynatrace en marzo de 2023. La muestra incluye 200 encuestados en Estados Unidos, 100 en cada uno se los siguientes países: Reino Unido, Francia, Alemania, España, Italia, Paises Nordicos, el Medio Este, Australia e India. Y finalmente, 50 encuestados en cada uno de los siguientes: Singapore, Malasia, Brasil y México.