Un total del 79 % de los CISO dicen que la gestión continua de vulnerabilidades en tiempo de ejecución es una capacidad esencial para mantenerse al día con la creciente complejidad de los entornos modernos de varias nubes.
STANDFIRST
Un total del 79 % de los CISO dicen que la gestión continua de vulnerabilidades en tiempo de ejecución es una capacidad esencial para mantenerse al día con la creciente complejidad de los entornos modernos de varias nubes.
Dynatrace, una empresa de inteligencia de software, ha anunciado los resultados de una encuesta global independiente de 1300 directores de seguridad de la información (CISO) en organizaciones de gran tamaño.
La investigación revela que la velocidad y la complejidad creadas por el uso de entornos de múltiples nubes, múltiples lenguajes de codificación y bibliotecas de software de código abierto están dificultando la gestión de vulnerabilidades.
Un total del 75 % de los CISO dicen que, a pesar de tener una postura de seguridad de varias capas, las brechas de cobertura persistentes permiten que las vulnerabilidades entren en producción. Esto destaca la creciente necesidad de que la observabilidad y la seguridad converjan, allanando el camino hacia las prácticas de AISecDevOps. Esto empoderará a las organizaciones con una forma más efectiva de administrar vulnerabilidades en tiempo de ejecución y la capacidad de detectar y bloquear ataques en tiempo real.
Los hallazgos de la investigación incluyen:
El 69% de los CISO dicen que la gestión de vulnerabilidades se ha vuelto más difícil a medida que aumenta la necesidad de acelerar la transformación digital.
Más de las tres cuartas partes (79 %) de los CISO dicen que la gestión automática y continua de vulnerabilidades en tiempo de ejecución es clave para llenar el vacío en las capacidades de las soluciones de seguridad existentes. Sin embargo, solo el 4% de las organizaciones tienen visibilidad en tiempo real de las vulnerabilidades de tiempo de ejecución en entornos de producción en contenedores.
Solo el 25 % de los equipos de seguridad pueden acceder a un informe totalmente preciso y actualizado continuamente de cada aplicación y biblioteca de códigos que se ejecutan en producción en tiempo real.
Bernd Greifeneder, director de tecnología de Dynatrace, dijo: “Estos hallazgos subrayan que siempre hay oportunidades para que las vulnerabilidades pasen por alto a los equipos de seguridad, independientemente de cuán sólidas puedan ser sus defensas. Tanto las aplicaciones nuevas como el software heredado estable son propensos a vulnerabilidades que se detectan de manera más confiable en producción. Log4Shell fue el ejemplo de este problema y, sin duda, habrá otros escenarios como este en el futuro.
“También está claro que la mayoría de las organizaciones todavía carecen de visibilidad en tiempo real de las vulnerabilidades en tiempo de ejecución. El problema surge del uso creciente de prácticas de entrega nativas de la nube, que permiten una mayor agilidad empresarial, pero también introducen una nueva complejidad para la gestión de vulnerabilidades, la detección y el bloqueo de ataques.
“El rápido ritmo de la Transformación Digital significa que los equipos ya sobrecargados son bombardeados por miles de alertas de seguridad que hacen que sea imposible ver a través del ruido y concentrarse en lo que importa. A los equipos les resulta imposible responder manualmente a cada alerta, y las organizaciones están expuestas a riesgos innecesarios al permitir que las vulnerabilidades escapen a la producción”.
Hallazgos adicionales:
- En promedio, las organizaciones reciben 2027 alertas de posibles vulnerabilidades de seguridad de aplicaciones cada mes.
- Menos de un tercio (32 %) de las alertas de vulnerabilidad de seguridad de aplicaciones que reciben las organizaciones cada día requieren acción, en comparación con el 42 % del año pasado.
- Los equipos de seguridad de aplicaciones pierden, en promedio, el 28 % de su tiempo en tareas de gestión de vulnerabilidades que podrían automatizarse
“Las organizaciones se dan cuenta de que para administrar las vulnerabilidades en la era nativa de la nube de manera efectiva, la seguridad debe convertirse en una responsabilidad compartida. La convergencia de la observabilidad y la seguridad es fundamental para proporcionar a los equipos de desarrollo, operaciones y seguridad el contexto necesario para comprender cómo se conectan sus aplicaciones, dónde se encuentran las vulnerabilidades y cuáles deben priorizarse. Esto acelera la gestión de riesgos y la respuesta a incidentes”, continuó Greifeneder.
“Para ser realmente efectivas, las organizaciones deben buscar soluciones que tengan capacidades de inteligencia artificial y automatización en su núcleo, lo que permite AISecDevOps. Estas soluciones permiten a sus equipos identificar y priorizar rápidamente las vulnerabilidades en tiempo de ejecución, bloquear ataques en tiempo real y corregir fallas de software antes de que puedan ser explotadas. Esto significa que los equipos pueden dejar de perder el tiempo en salas de guerra o perseguir falsos positivos y posibles vulnerabilidades que nunca llegarán a producción. En su lugar, entregan con confianza un software mejor y más seguro más rápido”.
El informe se basa en una encuesta global de 1300 CISO en organizaciones de gran tamaño con más de 1000 empleados, realizada por Coleman Parkes y encargada por Dynatrace en abril de 2022. La muestra incluyó 200 encuestados en los EE. UU., 100 cada uno en el Reino Unido, Francia , Alemania, España, Italia, los países nórdicos, Oriente Medio, Australia e India, y 50 cada uno en Singapur, Malasia, Brasil y México.
BOX OUT
Acerca de Dynatrace
Dynatrace existe para hacer que el software del mundo funcione a la perfección. Su plataforma de inteligencia de software unificada combina una observabilidad amplia y profunda y seguridad de aplicaciones de tiempo de ejecución continuo con los AIOps más avanzados para proporcionar respuestas y automatización inteligente a partir de datos a gran escala. Esto permite a los innovadores modernizar y automatizar las operaciones en la nube, entregar software de manera más rápida y segura y garantizar experiencias digitales impecables.