La empresa de inteligencia de software Dynatrace ha hecho públicos los resultados de un estudio global entre más de 700 responsables de seguridad de empresa (CISO), que revela que la creciente adopción de arquitecturas nativas de la nube, de DevOps y las metodologías ágiles han roto los enfoques tradicionales para garantizar la seguridad de las aplicaciones.
La investigación explica que las empresas reciben un promedio mensual de 2169 nuevas alertas de posibles vulnerabilidades de seguridad de las aplicaciones, aunque el 77% de ellas, según afirman los encuestados son falsos positivos que no requieren acción, ya que no son exposiciones reales. Este hecho provoca que el 68% de los responsables de seguridad afirmen que resulta difícil priorizar las debilidades en función del riesgo y el impacto.
Según el estudio, el 97% de las organizaciones no tiene visibilidad en tiempo real de las vulnerabilidades del periodo de ejecución en entornos de producción en contenedores y el 64% asegura que los desarrolladores no siempre tienen tiempo para resolverlas antes de que el código llegue a la producción. Por otro lado, un 77% afirma que la única forma de que la seguridad se mantenga al día, con los entornos de aplicaciones nativos de la nube, es reemplazar la implementación, la configuración y la administración manual por enfoques automatizados y el 28% expone que los equipos de aplicaciones a veces pasan por alto los análisis de vulnerabilidades para acelerar la entrega de software.
El 63% declara que DevOps y el desarrollo ágil han dificultado la detección y gestión de brechas de software
El mismo estudio evidencia que el 89% de los CISO afirma que los microservicios, los contenedores y Kubernetes han creado puntos ciegos en la seguridad de las aplicaciones y el 66% asegura que los controles de seguridad tradicionales, como los escáneres de vulnerabilidades, ya no se ajustan al mundo nativo de la nube de hoy. Por su parte, el 63% declara que DevOps y el desarrollo ágil han dificultado la detección y gestión de brechas de software y, por último, el 71% de ellos admite que no están completamente seguros de que el código esté libre de puntos débiles antes de comenzar a producir.
Según las conclusiones del estudio, a medida que las organizaciones dan mayor responsabilidad a los desarrolladores para acelerar la innovación, los ecosistemas de TI son cada vez más complejos y las herramientas de seguridad obsoletas, se pueden ralentizar los lanzamientos al dejar puntos ciegos y obligar a los equipos a clasificar manualmente innumerables alertas, muchas de las cuales son falsos positivos que reflejan vulnerabilidades en bibliotecas que son no utilizadas en producción. Según el estudio, las organizaciones piden un nuevo enfoque optimizado para entornos multinube, Kubernetes y DevSecOps.
El informe está basado en una encuesta global realizada a 700 CISO de empresas con más de 1.000 empleados, realizada por Coleman Parkes y encargada por Dynatrace en 2021. La muestra incluye a 200 encuestados en EEUU, 100 en Reino Unido, Francia, Alemania y España y 50 en Brasil y México, respectivamente.