Madrid, 27 de abril de 2023 – Dynatrace (NYSE: DT), empresa líder en observabilidad y seguridad unificada, ha dado a conocer los resultados de su CISO Report 2023, una encuesta global independiente a 1.300 directores de seguridad de la información (CISO) de grandes empresas a nivel mundial, entre los que se incluye España. Este estudio ha revelado que los CISO ven cada vez más difícil mantener la protección de su software ya que los entornos híbridos y multicloud son cada vez más y más complejos, y a que algunos equipos continúan dependiendo de procesos manuales que provocan que sea más fácil que las vulnerabilidades se cuelen en los sistemas de producción.

 Este informe constata que el uso continuado de herramientas aisladas para tareas de desarrollo, entrega y seguridad, obstaculiza la consolidación de una estrategia DevSecOps. Estos datos señalan la creciente necesidad de combinar la observabilidad con la seguridad para impulsar la automatización basada en datos que permite a los equipos de operaciones, de desarrollo, de seguridad y de TI ofrecer una innovación más rápida y segura. El informe (que se puede descargar en este enlace) incluye información muy reveladora sobre la gestión de vulnerabilidades; desarrollo de software; automatización y un largo etcétera y proporciona datos locales sobre cuál es la situación en España:

Complejidad de entornos y detección de vulnerabilidades

Más de dos tercios (66%) de los CISO entrevistados aseguran que la gestión de vulnerabilidades es más difícil debido a que ha aumentado la complejidad de los ecosistemas cloud y de la cadena de suministro de su software. Sólo un 55% de los CISO está convencido de que el software ofrecido por los equipos de desarrollo ha sido sometido a pruebas exhaustivas y completas para detectar vulnerabilidades antes de pasar a entornos de producción.

El 91% de los CISO encuestados hacen hincapié en la importancia de priorizar el análisis de vulnerabilidades ya que suele faltar información sobre el riesgo que suponen las mismas para sus entornos. De hecho, el 58% asegura que las alertas de vulnerabilidades señaladas como críticas por parte de los scanner de seguridad no suelen ser importantes en la producción por lo que se invierte un tiempo valioso del desarrollo persiguiendo falsos positivos. Cada miembro del equipo de desarrollo y seguridad pasa un tercio de su tiempo (de media) en la gestión de tareas de detección de vulnerabilidades que podrían estar perfectamente automatizadas.

“Las empresas están peleando para encontrar el equilibrio entre la necesidad de innovar cada vez más rápido y hacerlo de una manera segura para mantener sus datos y servicios a salvo”, afirma Bernd Greifeneder, CTO de Dynatrace. “El aumento de la complejidad de las cadenas de suministro de software y de las tecnologías nativas en la nube que proporcionan los cimientos para la innovación digital hacen que cada vez sea más difícil identificar, valorar y priorizar los tiempos de respuesta cuando surgen nuevas vulnerabilidades. Estas tareas han crecido más allá de las capacidades humanas de gestión.

“Las organizaciones están luchando para encontrar el equilibrio entre la necesidad para una innovación más rápida con los controles de seguridad y gobernanza que establecieron para mantener sus datos y servicios a salvo,” dijo Bernd Greifeneder, CTO en Dynatrace. “El aumento de la complejidad de las cadenas de suministro de software o tecnologías nativas en la nube que proporcionan los cimientos para la innovación digital hacen que sea cada vez más difícil identificar, valorar y priorizar esfuerzos de respuesta cuando surgen nuevas vulnerabilidades.”

“Estas tareas han crecido más allá de las capacidades humanas de gestión. Los equipos de desarrollo, seguridad y TI están descubriendo que los controles de gestión de vulnerabilidades de los que disponen no son los adecuados para el mundo digital y dinámico actual, lo cual expone a sus empresas a riesgos que no pueden ser permitidos”, concluye Greifeneder.

Minimizar riesgos y consolidar estrategias

El informe destaca que el 76% de los CISO afirman que el aislamiento de equipos y soluciones puntuales a lo largo del ciclo de vida de una estrategia DevSecOps facilita que haya brechas de seguridad. Por su parte, un nº similar (77%) sugiere que habrá más vulnerabilidades explotadas si no se consigue que la estrategia DevSecOps sea más efectiva. De hecho, sólo el 12% de ellos afirman tener una cultura DevSecOps madura y consolidada.

La mayoría de los entrevistados (91%) asegura que la automatización y el uso de la Inteligencia Artificial son claves para el éxito de DevSecOps y para superar los problemas de recursos. El 87% de los CISO concluye que el tiempo que transcurre entre descubrir un ataque zero-day y su capacidad para arreglarlo es uno de los mayores retos a conseguir para minimizar el riesgo”-.

“Pese al amplio conocimiento de los muchos beneficios de DevSecOps, muchas compañías siguen verdes a la hora de adoptar esta práctica debido a que sus datos están aislados, carecen de contexto y se limitan al análisis”, observa Greifeneder. “Para superar este punto se deben utilizar soluciones que combinen la observabilidad y la seguridad, siendo impulsadas por IA y automatización inteligente. Esto es precisamente para lo que diseñamos la plataforma de Dynatrace. Como resultado, nuestros clientes han reducido el tiempo dedicado a identificar y priorizar incidencias en un 95%, ayudándoles así a innovar de una manera más rápida y segura, lo que les permite mantenerse a la vanguardia de sus industrias”, finaliza el CTO.

El CISO Report 2023 se basa en una encuesta global realizada a 1.300 CISO de grandes compañías con más de 1.000 empleados, y ha sido llevada a cabo por Coleman Parkes y encargada por Dynatrace en marzo de 2023. La muestra incluye 200 encuestados en Estados Unidos, 100 en cada uno se los siguientes países: Reino Unido, Francia, Alemania, España, Italia, Paises Nordicos, el Medio Este, Australia e India. Y finalmente, 50 encuestados en cada uno de los siguientes: Singapore, Malasia, Brasil y México.