Solo el 30% de las organizaciones implementan DevSecOps por completo
- Gestión de apps
Con la presión de lanzar más rápidamente, la seguridad se está moviendo hacia la izquierda dentro de la línea de desarrollo continuo en la mayoría de las organizaciones.
Este imperativo está aumentando con el aumento de los ciberataques. Sin embargo, tanto la falta de capacitación como la escasa visibilidad están estancando muchas implementaciones de DevSecOps, según un estudio reciente de CSA.
DevSecOps es todavía una práctica relativamente nueva y aún no ha alcanzado la madurez en la mayoría de las organizaciones. Aunque casi todas las empresas están en camino, solo el 30% de los profesionales de seguridad dicen que implementan completamente DevSecOps en la práctica hoy. Eso deja a la mayoría de las organizaciones en algún estado de ideación y planificación de DevSecOps.
CSA publicó recientemente su informe Secure DevOps and Misconfigurations 2021. El informe encontró que las configuraciones incorrectas comúnmente surgen de la configuración de seguridad predeterminada. La falta de orientación interna y la accesibilidad de los recursos de seguridad también dificultan la madurez de DevSecOps.
DevSecOps se trata de aumentar la seguridad en torno a una implementación rápida. Literalmente, coloca la seguridad en DevOps al cambiar la automatización de la seguridad a la izquierda y eliminar el límite entre DevOps y los equipos de seguridad de TI.
Si bien la mayoría de los ingenieros se dan cuenta de los beneficios de DevSecOps, el estado del recorrido de DevSecOps de cada organización es muy diferente. Si bien un impresionante 90% de las organizaciones se encuentra en alguna fase del viaje hacia DevSecOps, solo el 30% está implementando DevSecOps mientras que el 24% está en la fase de planificación, el 18% está diseñando y el 18% todavía está refinando su estrategia DevSecOps. Un poco más de uno de cada diez profesionales de la seguridad dice que su equipo no tiene planes de invertir en DevSecOps.
Mirando hacia el futuro, el 42% dice que implementará DevSecOps completo en los próximos 12 meses. Pero debido a su estado incipiente actual, las configuraciones incorrectas todavía se están logrando. La razón principal citada para estas configuraciones erróneas fue defectuosa o falta de orientación interna (33%).
Muchos profesionales dicen que simplemente no hay suficiente capacitación, soporte o conocimiento interno sobre vulnerabilidades y configuraciones incorrectas. Otras razones principales de las configuraciones incorrectas incluyen configuraciones predeterminadas inseguras (18%) y negligencia (16%).
Fuera de las configuraciones incorrectas, los grupos también informan problemas con la identidad, la autorización y el acceso. Asegurar los privilegios correctos es vital para evitar ataques de escalada, que son un problema frecuente. Entre 2019 y 2020, el 80% de las empresas experimentaron una violación de datos de algún tipo, muchas de las cuales se debieron a controles de acceso mal configurados. OWASP también informó que la autorización rota es una de las principales vulnerabilidades para los puntos finales de API web de alto tráfico.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.