Prácticas comunes de mitigación de amenazas en DevSecOps

CSA publicó su informe Secure DevOps and Misconfigurations 2021. Por un lado, el 60% de los profesionales de seguridad dicen que su principal desafío es la visibilidad insuficiente de la seguridad o las brechas de cumplimiento (este es, con mucho, el desafío más común) y el 11% también menciona la incorporación inconsistente de cuentas en la nube. Finalmente, el 10% dice que la arquitectura lenta, lenta y / o insuficiente los detiene.

Una forma de mitigar las amenazas es introducir revisiones de seguridad de rutina con más frecuencia. Sin embargo, es difícil establecer un punto de referencia definido aquí, ya que la frecuencia con la que las organizaciones revisan su infraestructura de nube en busca de vulnerabilidades o configuraciones incorrectas varía ampliamente. Actualmente, el 22% realiza dichas revisiones de seguridad diariamente, el 22% mensualmente, el 18% semanalmente y el 23% trimestralmente, según la encuesta. Es probable que esta tasa aumente a medida que DevSecOps se vuelva más común y automatizado dentro del ciclo de vida del desarrollo.

Mantenerse actualizado con los marcos de seguridad modernos es otra faceta que afecta la adopción de DevSecOps; y las organizaciones tienden a seguir múltiples marcos para informar su estrategia de seguridad. Más de las tres cuartas partes (78%) siguen las pautas del Instituto Nacional de Estándares y Tecnología (NIST), el 67% sigue los puntos de referencia del Centro para la Seguridad de Internet (CIS), el 66% sigue la Alianza de Seguridad en la Nube (CSA), el 54% sigue la Organización Internacional para la estandarización (ISO).

Por ejemplo, NIST, el organismo de establecimiento de estándares operado por el gobierno, estableció pautas de seguridad cibernética que recomendaban el uso de una malla de servicio y confianza cero en todos los departamentos. Estas pautas de seguridad se pueden considerar como puntos de referencia arquitectónicos, especialmente para industrias grandes y altamente reguladas.

Tipos de formación de DevSecOps

Finalmente, invertir en recursos y capacitación comunitarios es otra forma de aumentar la conciencia de DevSecOps. Solo la mitad de los encuestados informaron que sus recursos de mejores prácticas de DevSecOps eran moderadamente accesibles; por lo tanto, los líderes tienen la responsabilidad de democratizar dicho conocimiento dentro de su organización.

La mayoría (81%) de los encuestados citó los artículos y la capacitación en línea como su forma principal de aprender sobre las herramientas y los proveedores de seguridad en la nube. Los talleres, conferencias y seminarios web siguen de cerca. Las organizaciones también adoptan muchos métodos internos de intercambio de conocimientos en respuesta a incidentes. Un 85% dijo que lleva a cabo un entrenamiento de concientización seguido de ejercicios de mesa (52%), simulaciones de ataque (45%) y entrenamiento de protocolo o marco de respuesta (37%).

Descubre la innovación

Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.