Los profesionales de desarrollo y seguridad gastan un tercio de su tiempo a tareas de detección que se pueden automatizar
Un estudio de Dynatrace a nivel CISO advierte sobre “el aumento de la complejidad de las cadenas de suministro de software” y en “tecnologías nativas en la nube”.
Para los directores de seguridad es cada vez más difícil proteger el software. Dos tercios de los consultados por Dynatrace en su informe CISO Report 2023 confirman que la gestión de vulnerabilidades es más difícil ya que ha aumentado la complejidad de los ecosistemas en la nube y de la cadena de suministro.
El porcentaje de directivos que está convencido de que el software ofrecido por los equipos de desarrollo ha sido sometido a pruebas exhaustivas antes de pasar a entornos de producción cae a un 55 %.
Para un 91 % de los CISO es importante priorizar el análisis de vulnerabilidades. Aquí queda trabajo por hacer. Un 58 % de los encuestados afirma que las alertas de vulnerabilidades señaladas como críticas en los scanner de seguridad no suelen ser importantes en la producción, por lo que se invierte tiempo persiguiendo falsos positivos. Cada miembro del equipo de desarrollo y seguridad termina destinando un tercio de su tiempo a gestionar tareas de detección de fallos que podrían estar automatizadas.
Hasta 3 de cada 4 responsables de seguridad creen que el aislamiento de equipos y las soluciones puntuales a lo largo del ciclo de vida de la estrategia DevSecOps provoca que haya brechas de seguridad. El caso es que solamente un 12 % cuenta con una cultura DevSecOps madura.
Para cambiar el rumbo, los expertos confían en la automatización y el uso de inteligencia artificial. “Las organizaciones están luchando para encontrar el equilibrio entre la necesidad para una innovación más rápida con los controles de seguridad y gobernanza que establecieron para mantener sus datos y servicios a salvo”, declara Bernd Greifeneder, CTO de Dynatrace.
“El aumento de la complejidad de las cadenas de suministro de software o tecnologías nativas en la nube que proporcionan los cimientos para la innovación digital hacen que sea cada vez más difícil identificar, valorar y priorizar esfuerzos de respuesta cuando surgen nuevas vulnerabilidades”, prosigue.
Los equipos de desarrollo, seguridad y TI están descubriendo que los controles de gestión de vulnerabilidades de los que disponen no son los adecuados para el mundo digital y dinámico actual”, señala, “lo cual expone a sus empresas a riesgos que no pueden ser permitidos”.