Implementar prácticas de DevSecOps es clave para converger con la observabilidad, porque entrega a los equipos de operaciones y seguridad el contexto para entender cómo sus aplicaciones se conectan y dónde están las vulnerabilidades.
75% de las organizaciones financieras indican que la gestión de vulnerabilidades se ha tornado más difícil a medida que crece la necesidad de acelerar la transformación digital, indica una encuesta global a Directores de Seguridad de la Información (CISOs), de Dynatrace.
Los resultados del “Reporte de Investigación de CISO de 2022: Servicios Financieros”, destaca que se ha adoptado por entornos multinube, arquitecturas nativas de la nube y bibliotecas de código fuente abierto para respaldar los esfuerzos para ofrecer nuevas soluciones digitales a los clientes. Sin embargo, esto ha generado desafíos significativo para los servicios financieros en administrar y reducir el riesgo empresarial a medida que llevan a cabo la innovación.
El alza de entornos modernos de nubes representa un reto para los departamentos de TI, Desarrollo y Seguridad en el sector de servicios financieros; porque mientras los microservicios, Kubernetes y “cómputo sin servidores” entregan beneficios notables para la innovación digital bancaria, estas arquitecturas hacen más compleja la seguridad.
El estudio señala que 58% de las organizaciones financieras tienen una postura de ciberseguridad por capas, respaldada por cinco o más tipos de soluciones de seguridad.
Sin embargo, más del 75% de los CISOs consideran que su actual postura no es lo suficientemente fuerte para evitar que las vulnerabilidades se hagan presentes en la producción.
49% de los entrevistados indica que la velocidad que entrega el software facilita que las vulnerabilidades vuelvan a ingresar a la producción. Sólo 6% de las instituciones de servicios financieros tienen visibilidad en tiempo real de los tiempos de ejecución.
El estudio reveló que muchas organizaciones de servicios financieros usan otros métodos, como el código de fuente abierta para poder agilizar o asistir los esfuerzos de transformación; que también pueden producir problemas de seguridad y que las vulnerabilidades emerjan regularmente en las bibliotecas de software de terceros.
Otros datos relevados por el estudio de Dynatrace son:
- Sólo 31% de los equipos de seguridad puede acceder en tiempo real a un informe absolutamente preciso y continuamente actualizado de cada aplicación y biblioteca de códigos que funcione durante el proceso de producción.
- 29% indica que no siempre saben cuál biblioteca de códigos de terceros tienen en producción en cualquier momento determinado.
- Vulnerabilidades como Log4Shell y Spring4Shell han destacado el impacto que tiene la susceptibilidad de códigos de terceros. 96% de las organizaciones enfrentaron riesgo de exposición Log4Shell, y un tercio estableció que el riesgo fue “alto” o “severo”.
- En muchos casos, las soluciones de seguridad que detectan vulnerabilidades no tienen el contexto de tiempo de ejecución necesario para permitir que los equipos puedan diferenciar una falla pequeña de un riesgo severo.
- Muchas de las alertas que reciben son de bajo riesgo y el alto volumen dificulta distinguir los problemas más serios de los que son relativamente inofensivos.
- Una vez analizados los datos, Dynatrace señala que las organizaciones de servicios financieros deben considerar la seguridad como un tema compartido en todo el negocio, el cual requiere convergencia con la observabilidad.
- El establecer una cultura de desarrollo, seguridad y fusión de operaciones (DevSecOps) es un paso relevante para poder conseguir esto. Se estima que solo 37% de las organizaciones de servicios financieros tienen una cultura de DevSecOps madura, en donde la mayoría de los equipos han integrado prácticas de seguridad a lo largo del ciclo de vida del desarrollo de software.
- 82% de los CISOs del sector de servicios financieros están de acuerdo en que la seguridad debe ser una responsabilidad compartida a lo largo del ciclo de entrega del software, desde el Desarrollo a la producción.
- Implementar prácticas de DevSecOps es clave para converger con la observabilidad, ya que entrega a los equipos de operaciones y seguridad el contexto que necesitan para poder entender cómo sus aplicaciones se conectan y dónde están las vulnerabilidades.