Según una encuesta de 1.300 CISO, el 75 por ciento dice: Demasiadas vulnerabilidades de aplicaciones entran en operaciones. Para el 79 por ciento de los CISO, la gestión continua de vulnerabilidades en tiempo de ejecución es fundamental para mantenerse al día con la creciente complejidad de los entornos modernos de múltiples nubes.
Dynatrace, la empresa de inteligencia de software (NYSE: DT), ha publicado un estudio global de 1.300 directores de seguridad de la información (CISO) en grandes organizaciones. Un hallazgo clave: la velocidad y la complejidad introducidas por el uso de entornos de múltiples nubes, múltiples lenguajes de programación y bibliotecas de software de código abierto dificultan la gestión de vulnerabilidades. El 75 por ciento de los CISO afirman que, a pesar de las precauciones de seguridad de varios niveles, existen brechas que pueden generar vulnerabilidades en las operaciones productivas. Esto subraya la creciente necesidad de combinar observabilidad y seguridad. Esto brinda a las organizaciones una forma más efectiva de administrar las vulnerabilidades del tiempo de ejecución y detectar y mitigar los ataques en tiempo real. El estudio se puede descargar aquí de forma gratuita.
Principales resultados del estudio
- El 69 por ciento de los CISO dicen que la gestión de vulnerabilidades se ha vuelto más difícil debido a una mayor necesidad de acelerar la transformación digital.
- Más de las tres cuartas partes (79 %) de los CISO creen que la gestión de vulnerabilidades en tiempo de ejecución continua y automatizada es clave para cerrar la brecha de capacidad en las soluciones de seguridad existentes. Sin embargo, solo el 4 por ciento de las organizaciones tienen visibilidad en tiempo real de las vulnerabilidades de tiempo de ejecución en entornos de producción en contenedores.
- Solo el 25 por ciento de los equipos de seguridad tienen acceso en tiempo real a un informe preciso y constantemente actualizado de cada aplicación y biblioteca de códigos que se ejecutan en producción.
"Estos resultados subrayan el hecho de que los equipos de seguridad continúan pasando por alto las vulnerabilidades, independientemente de cuán sólidas sean sus defensas", dijo Bernd Greifeneder, director de tecnología de Dynatrace. “Tanto las aplicaciones nuevas como el software heredado estable son susceptibles a vulnerabilidades que se detectan de manera más confiable en producción. Log4Shell ha sido el niño del cartel de este problema y, sin duda, habrá más escenarios de este tipo en el futuro. Obviamente, la mayoría de las empresas todavía carecen de visibilidad en tiempo real de las vulnerabilidades del tiempo de ejecución.
Procesos de implementación nativos de la nube amenazantes
El problema surge del uso cada vez mayor de procesos de entrega nativos de la nube. Si bien permiten una mayor agilidad empresarial, también aportan una nueva complejidad a la gestión de vulnerabilidades, detección y mitigación de ataques. El rápido ritmo de la transformación digital significa que los equipos ya sobrecargados son bombardeados con miles de alertas de seguridad, lo que hace imposible concentrarse en lo que más importa. Los equipos no pueden responder manualmente a todas las alertas y las empresas se exponen a riesgos innecesarios al permitir que las vulnerabilidades entren en producción”.
Otros resultados del estudio
- En promedio, las organizaciones reciben 2.027 alertas cada mes sobre posibles vulnerabilidades de seguridad de las aplicaciones.
Menos de un tercio (32 %) de las alertas diarias de vulnerabilidad de aplicaciones reciben acción; en comparación con el 42 por ciento del año pasado. - En promedio, los equipos de seguridad de aplicaciones pierden el 28 por ciento de su tiempo en tareas de gestión de vulnerabilidades que podrían automatizarse.
“Las empresas han reconocido que para administrar de manera efectiva las vulnerabilidades en la era nativa de la nube, la seguridad debe convertirse en una preocupación compartida. La convergencia de la observabilidad y la seguridad es fundamental para proporcionar a los equipos de desarrollo, operaciones y seguridad el contexto que necesitan para comprender cómo se conectan sus aplicaciones, dónde se encuentran las vulnerabilidades y cuáles priorizar. Esto acelera la gestión de riesgos y la reacción a los incidentes”, continúa Greifeneder. “Para ser verdaderamente efectivas, las organizaciones deben buscar soluciones que tengan capacidades de inteligencia artificial y automatización en su núcleo y habiliten AISecDevOps. Con él, sus equipos pueden identificar y priorizar rápidamente las vulnerabilidades en tiempo de ejecución, bloquear ataques en tiempo real y corregir errores antes de que sean explotados. No pierda más tiempo rastreando falsos positivos y vulnerabilidades potenciales que nunca llegan a producción. En su lugar, pueden ofrecer un software mejor y más seguro más rápido”.
los antecedentes del estudio
El estudio se basa en una encuesta global de 1.300 CISO en grandes empresas con más de 1.000 empleados. Fue realizado en abril de 2022 por Coleman Parkes en nombre de Dynatrace con participantes de Alemania, Francia, Reino Unido, España, Italia, Escandinavia, EE. UU., Medio Oriente, Australia, India, Singapur, Malasia, Brasil y México.
Más en dynatrace.com
Acerca de Dynatrace
Dynatrace garantiza que el software funcione perfectamente en todo el mundo. Nuestra plataforma de inteligencia de software unificada combina una observabilidad amplia y profunda y seguridad de aplicaciones en tiempo de ejecución continuo con los AIOps más avanzados para brindar respuestas y automatización inteligente a partir de datos a una escala notable. Esto permite a las organizaciones modernizar y automatizar las operaciones en la nube, entregar software de manera más rápida y segura y garantizar experiencias digitales impecables.