Las arquitecturas nativas de la nube acaban con los enfoques tradicionales de seguridad de las aplicaciones, según un nuevo estudio

Madrid, 21 de junio de 2021 – La empresa de inteligencia de software Dynatrace (NYSE: DT) ha hecho públicos los resultados de una encuesta global independiente, realizada a 700 CISO, que revelan que la creciente adopción de arquitecturas nativas de la nube, DevOps y metodologías ágiles ha roto los enfoques tradicionales para garantizar la seguridad de las aplicaciones.

A medida que las organizaciones otorgan más responsabilidad a los desarrolladores para acelerar la innovación, los ecosistemas de TI cada vez más complejos y las herramientas de seguridad obsoletas pueden ralentizar los lanzamientos al dejar puntos ciegos y obligar a los equipos a clasificar manualmente innumerables alertas, muchas de las cuales son falsos positivos que reflejan vulnerabilidades en bibliotecas que son no utilizadas en producción. Según las conclusiones del estudio, las organizaciones piden un nuevo enfoque optimizado para entornos multinube, Kubernetes y DevSecOps. El informe complementario, “La evaluación precisa y automática de riesgos e impactos es clave para DevSecOps”, está disponible para descargar aquí.

La investigación revela:

• El 89% de los CISO aseguran que los microservicios, los contenedores y Kubernetes han creado puntos ciegos en la seguridad de las aplicaciones.
• El 97% de las organizaciones no tiene visibilidad en tiempo real de las vulnerabilidades del proceso de ejecución en entornos de producción en contenedores.
• Casi dos tercios (63%) de los CISO afirman que DevOps y el desarrollo ágil han dificultado la detección y gestión de vulnerabilidades de software.
• El 74% de los CISO dicen que los controles de seguridad tradicionales, como los escáneres de vulnerabilidades, ya no se ajustan al mundo nativo de la nube de hoy.
• El 71% de los CISO admiten que no están completamente seguros de que el código esté libre de vulnerabilidades antes de comenzar a producir.

Según Bernd Greifeneder, fundador y director de tecnología de Dynatrace, “El incremento del uso de arquitecturas nativas de la nube ha roto fundamentalmente los enfoques tradicionales de seguridad de aplicaciones” -y añade- “Esta investigación confirma lo que habíamos anticipado durante mucho tiempo: los análisis manuales de vulnerabilidades y las evaluaciones de impacto ya no pueden seguir el ritmo del cambio en los entornos dinámicos de la nube y la velocidad de los ciclos de innovación de hoy en día. La evaluación de riesgos se ha vuelto casi imposible debido al creciente número de dependencias de servicios internos y externos, la dinámica del tiempo de ejecución, la entrega continua de actualizaciones y el desarrollo de software políglota que utiliza un número cada vez mayor de tecnologías de terceros. Los equipos ya se han visto obligados a elegir entre velocidad y seguridad y exponen a sus organizaciones a riesgos innecesarios “.

Del informe también se desprende los siguientes datos:

• Las organizaciones deben reaccionar a 2169 nuevas alertas de posibles vulnerabilidades de seguridad de las aplicaciones cada mes como promedio.
• El 77% de los CISO dice que la mayoría de las alertas de seguridad y vulnerabilidades son falsos positivos que no requieren acción, ya que no son exposiciones reales.
• El 68% de los CISO afirma que el alto volumen de alertas hace que sea muy difícil priorizar las vulnerabilidades en función del riesgo y el impacto.
• El 64% de los CISO asegura que los desarrolladores no siempre tienen tiempo para resolver las vulnerabilidades antes de que el código llegue a la producción.
• El 77% de los CISO indica que la única forma de que la seguridad se mantenga al día, con los entornos de aplicaciones nativos de la nube, es reemplazar la implementación, la configuración y la administración manual por enfoques automatizados.
• El 28% de los CISO explica que los equipos de aplicaciones a veces pasan, por alto los análisis de vulnerabilidades para acelerar la entrega de software.

Según Bernd Greifeneder, fundador y director de tecnología de Dynatrace “A medida que las organizaciones adoptan DevSecOps, necesitan dotar a sus equipos soluciones que ofrezcan análisis de riesgo e impacto automático, continuo y en tiempo real para cada vulnerabilidad, tanto en entornos de preproducción como de producción, y no basados en un momento en el tiempo ” – y añade- “Con el módulo de seguridad de aplicaciones en la plataforma de inteligencia de software Dynatrace, las organizaciones pueden aprovechar la automatización, la inteligencia artificial, la escalabilidad y la solidez de nivel empresarial de Dynatrace y extenderlo para ofrecer ciclos de lanzamiento de aplicaciones nativas de la nube más seguras con total fiabilidad”.

El informe está basado en una encuesta global realizada a 700 CISO en grandes empresas con más de 1.000 empleados, realizada por Coleman Parkes y encargada por Dynatrace en 2021.

La muestra incluye a 200 encuestados en los EE. UU., 100 en el Reino Unido, Francia, Alemania y España, además de 50 en Brasil y México, respectivamente.