A Dynatrace anunciou os resultados de uma pesquisa global independente realizada com cerca de 1.300 diretores de segurança da informação (CISOs) de grandes organizações. A pesquisa mostra que os CISOs acreditam ser cada vez mais difícil manter seus softwares seguros à medida que seus ambientes híbridos e multicloud se tornam mais complexos, e as equipes continuam dependendo de processos manuais que facilitam a entrada de vulnerabilidades em ambientes de produção.
O uso contínuo de ferramentas isoladas para tarefas de desenvolvimento, entrega e segurança também dificulta a adoção madura do DevSecOps. Esses insights destacam a crescente necessidade de convergência entre observabilidade e segurança para impulsionar a automação orientada por dados, permitindo que as equipes de desenvolvimento, segurança e operações de TI entreguem inovações mais rapidamente e com mais segurança.
O relatório “A convergência de observabilidade e segurança é fundamental para se alcançar o potencial do DevSecOps”, está disponível para download em: https://www.dynatrace.com/info/ciso-report-devsecops-potential/
A pesquisa revela pontos importantes como:
– Mais que dois terços dos CISOs (68%) dizem que o gerenciamento de vulnerabilidades é mais difícil porque a complexidade em sua cadeia de suprimentos de software e ecossistema de nuvem aumentou. No Brasil, 64% dos CISOs comentam o mesmo.
– Apenas 50% dos CISOs estão totalmente confiantes de que o software entregue pelas equipes de desenvolvimento foi totalmente testado quanto a vulnerabilidades antes de entrar em operação nos ambientes de produção. A porcentagem cresce no Brasil, chegando a 56%.
– 77% dos CISOs (76% no Brasil) dizem que é um desafio significativo priorizar vulnerabilidades, pois não possuem informações a respeito dos riscos que elas representam para seu ambiente.
– 58% dos alertas de vulnerabilidade que os scanners de segurança sinalizam como “críticos” não são importantes no processo de produção, o que significa a perda de tempo valioso de desenvolvimento enquanto se analisa os falsos positivos. O índice é de 57% no Brasil.
– Em média, cada membro das equipes de desenvolvimento e segurança de aplicações gasta 28% de seu tempo – 11 horas por semana – em tarefas de gerenciamento de vulnerabilidades que poderiam ser automatizadas. No Brasil, cada membro das equipes de desenvolvimento e segurança de aplicações gasta 30% de seu tempo nas mesmas tarefas.
“As organizações estão lutando para equilibrar a necessidade de inovação mais rápida com os controles de governança e segurança que estabeleceram para manter seus serviços e dados seguros”, diz Bernd Greifeneder, Fundador e Diretor de Tecnologia da Dynatrace. “A crescente complexidade das cadeias de suprimento de software e as pilhas tecnológicas nativas em nuvem, que fornecem a base para a inovação digital, tornam cada vez mais difícil identificar, avaliar e priorizar rapidamente os esforços de resposta quando surgem novas vulnerabilidades. Essas tarefas cresceram além da capacidade humana de gerenciamento. Assim, as equipes de desenvolvimento, segurança e TI estão descobrindo que os controles de gerenciamento de vulnerabilidades que eles têm não são mais adequados no mundo digital dinâmico de hoje, tendo como resultado a exposição de seus negócios a riscos inaceitáveis”.
O relatório ainda inclui descobertas como:
75% dos CISOs dizem que a prevalência de equipes em silos e soluções pontuais em todo o ciclo de vida do DevSecOps facilita a entrada de vulnerabilidades na produção. No Brasil, a porcentagem sobe para 90%.
81% (78% no Brasil) dos CISOs dizem que verão mais exploração de vulnerabilidades se não conseguirem fazer o DevSecOps funcionar com mais eficiência. No entanto, apenas 12% (10% no Brasil) das organizações têm uma cultura DevSecOps madura.
86% dos CISOs dizem que a Inteligência Artificial e a automação são essenciais para o sucesso do DevSecOps e para superar os desafios de recursos. No Brasil, 80% dos CISOs dizem o mesmo.
76% (72% no Brasil) dos CISOs dizem que o tempo entre a descoberta de zero-day atacks (que ocorre quando os hackers exploram a falha antes de os desenvolvedores terem a chance de corrigi-la) e sua capacidade de corrigir todas as instâncias é um desafio significativo para minimizar os riscos.
“Apesar de uma ampla compreensão dos muitos benefícios do DevSecOps, a maioria das organizações permanece nos estágios iniciais de adoção dessas práticas devido a dados isolados que carecem de contexto e limitam a análise”, afirma Greifeneder. “Para superar isso, eles devem usar soluções que convergem dados de observabilidade e segurança, e que são alimentadas por Inteligência Artificial confiável e automação inteligente. Foi exatamente para isso que projetamos a plataforma Dynatrace. Como resultado, nossos clientes reduziram o tempo gasto identificando e priorizando vulnerabilidades em até 95%, ajudando-os a oferecer inovações mais rápidas e seguras, que os mantêm na vanguarda de seus setores”.
O relatório é baseado em uma pesquisa global feita com cerca de 1.300 CISOs de grandes organizações com mais de 1.000 funcionários, conduzida pela Coleman Parkes e encomendada pela Dynatrace em março de 2023. A amostra incluiu 200 entrevistados nos Estados Unidos, 100 líderes em cada país como Reino Unido, França, Alemanha, Espanha, Itália, Austrália e Índia, além de países nórdicos e Oriente Médio. Também participaram 50 diretores em cada país considerando Cingapura, Malásia, Brasil e México.