Estudio: Solo el 3% de las organizaciones tienen visibilidad en tiempo real de las vulnerabilidades

Las arquitecturas nativas multicloud, Kubernetes y DevSecOps impulsan la transformación digital.

La empresa de inteligencia de software Dynatrace, ha anunciado hoy los resultados de una encuesta global independiente realizada a 700 CISO, que revela que la creciente adopci√≥n de arquitecturas nativas de la nube, DevOps y metodolog√≠as √°giles ha roto los enfoques tradicionales de la seguridad de las aplicaciones. A medida que las organizaciones trasladan m√°s responsabilidad “a un lado” a los desarrolladores para acelerar la innovaci√≥n, los ecosistemas de TI cada vez m√°s complejos y las herramientas de seguridad anticuadas pueden ralentizar los lanzamientos al dejar puntos ciegos y obligar a los equipos a triar manualmente innumerables alertas, muchas de las cuales son falsos positivos que reflejan vulnerabilidades en bibliotecas que no se utilizan en producci√≥n. Las organizaciones reclaman un nuevo enfoque optimizado para entornos multicloud, Kubernetes y DevSecOps.

Esta investigación revela que:

  • El 89% de los CISOs dicen que los microservicios, contenedores y Kubernetes han creado puntos ciegos en la seguridad de las aplicaciones.
  • El 74% de los CISOs dicen que los controles de seguridad tradicionales, como los esc√°neres de vulnerabilidad, ya no se adaptan al mundo nativo de la nube de hoy en d√≠a. 
  • El 97% de las organizaciones no tienen visibilidad en tiempo real de las vulnerabilidades en tiempo de ejecuci√≥n en entornos de producci√≥n en contenedores. 
  • Casi dos tercios (63%) de los CISOs dicen que DevOps y el desarrollo √°gil han hecho m√°s dif√≠cil detectar y gestionar las vulnerabilidades del software.
  • El 71% de los CISOs admiten que no est√°n totalmente seguros de que el c√≥digo est√© libre de vulnerabilidades antes de entrar en producci√≥n.

“El creciente uso de arquitecturas nativas de la nube ha roto fundamentalmente los enfoques tradicionales de la seguridad de las aplicaciones”, dijo Bernd Greifeneder, fundador y director de tecnolog√≠a de Dynatrace. “Esta investigaci√≥n confirma lo que hemos anticipado durante mucho tiempo: los an√°lisis manuales de vulnerabilidad y las evaluaciones de impacto ya no son capaces de mantener el ritmo de cambio en los entornos din√°micos de la nube y los r√°pidos ciclos de innovaci√≥n de hoy en d√≠a. La evaluaci√≥n de riesgos se ha vuelto casi imposible debido al creciente n√ļmero de dependencias de servicios internos y externos, la din√°mica del tiempo de ejecuci√≥n, la entrega continua y el desarrollo de software pol√≠glota que utiliza un n√ļmero cada vez mayor de tecnolog√≠as de terceros. Los equipos, que ya est√°n al l√≠mite, se ven obligados a elegir entre velocidad y seguridad, exponiendo a sus organizaciones a riesgos innecesarios.” 

Otras conclusiones son:

  • En promedio, las organizaciones necesitan reaccionar a 2,169 nuevas alertas de potenciales vulnerabilidades de seguridad de aplicaciones cada mes.
  • El 77% de los CISOs dicen que la mayor√≠a de las alertas y vulnerabilidades de seguridad son falsos positivos que no requieren acci√≥n ya que no son exposiciones reales.
  • El 68% de los CISOs dicen que el volumen de alertas hace muy dif√≠cil priorizar las vulnerabilidades en base al riesgo y al impacto.
  • El 64% de los CISOs dicen que los desarrolladores no siempre tienen tiempo para resolver las vulnerabilidades antes de que el c√≥digo pase a producci√≥n.
  • El 77% de los CISOs dicen que la √ļnica manera de que la seguridad se mantenga al d√≠a con los entornos modernos de aplicaciones nativas de la nube es reemplazar el despliegue manual, la configuraci√≥n y la gesti√≥n con enfoques automatizados.
  • El 28% de los CISOs dicen que los equipos de aplicaciones a veces pasan por alto los escaneos de vulnerabilidad para acelerar la entrega de software.

“A medida que las organizaciones adoptan DevSecOps, tambi√©n necesitan dar a sus equipos soluciones que ofrezcan un an√°lisis de riesgo e impacto autom√°tico, continuo y en tiempo real para cada vulnerabilidad, tanto en entornos de preproducci√≥n como de producci√≥n, y no basado en “instant√°neas” puntuales”, continu√≥ Greifeneder. “Con el M√≥dulo de Seguridad de Aplicaciones en la Plataforma de Inteligencia de Software de Dynatrace, las organizaciones pueden aprovechar la automatizaci√≥n, la IA, la escalabilidad y la solidez de grado empresarial de Dynatrace, y ampliar esto para ofrecer ciclos de lanzamiento m√°s seguros con la confianza de que sus aplicaciones nativas de la nube est√°n libres de exposiciones.”

El informe se basa en una encuesta global de 700 CISOs en grandes empresas con m√°s de 1.000 empleados, realizada por Coleman Parkes y encargada por Dynatrace en 2021.

La muestra incluy√≥ 200 encuestados en Estados Unidos, 100 en el Reino Unido, Francia, Alemania y Espa√Īa, y 50 en Brasil y M√©xico, respectivamente.

El informe (documento PDF de 30 p√°ginas) “Precise, automatic risk and impact assessment is key for DevSecOps”, est√° disponible para su descarga aqu√≠ (no requiere registro).




Contacto | Diario TI es una publicación de MPA Publishing International Ltd.