Seguridad y compliance dificultan la innovación empresarial, según tres de cada cuatro directivos

  • Actualidad

Los retos de seguridad y compliance son un importante obstáculo para las estrategias de innovación de la mayoría de las empresas, según un informe de CloudBees. Así lo afirman tres cuartas partes de los directivos encuestados por esta firma, que lo achaca en parte al excesivo tiempo que conllevan las auditorías de conformidad, los riesgos y los defectos.

Tres cuartas partes de los altos ejecutivos a nivel global afirman que los problemas de compliance (76%) y de seguridad (75%) limitan la capacidad de innovación de su empresa. Esto se debe, en parte, al excesivo tiempo que conllevan las auditorías de compliance, los riesgos y los defectos. De hecho, los altos ejecutivos de empresas españolas afirman que sus equipos invierten de media casi dos meses (49 días al año) en auditorias de compliance.

Preocupados por los ataques a la cadena de suministro de software
Los resultados también muestran un descenso en la confianza que los ejecutivos tienen en la seguridad de cadena de suministro y el compliance, así como una mayor atención a este punto. En 2022, el 88% de los directivos afirma que su cadena de suministro de software es segura o muy segura, frente al 95% que lo hacía en 2021. Además, el 33% asegura que su cadena de suministro de software cumple de forma íntegra con las normativas, lo que supone un 19% menos que el año anterior.

Casi todos los directivos españoles encuestados (97%) dicen estar preocupados por los ataques a la cadena de suministro de software, y dos tercios (67%) dicen estar muy preocupados. A pesar de ello, tres de cada cinco directivos aseguran que preferirían enfrentarse a un desastre natural que a un problema de seguridad en su cadena de suministro de software.

En España, los directivos que aseguran que su cadena de suministro de software es segura ascienden al 90% de los entrevistados, pero solo 1 de cada 5 (20%) afirma que su cadena de suministro es muy segura. En cuanto al cumplimiento normativo y frente al 33% global, solo el 16% de los ejecutivos españoles considera que su cadena de suministro cumple de forma íntegra con las normativas, aunque más de la mitad de los españoles encuestados (52%) afirma que es casi completamente conforme con las normativas.

En esta línea, el 86% de los altos directivos asegura centrarse más ahora en el cumplimiento normativo que hace dos años, y el 82% expresa una mayor preocupación por los ataques. Por otra parte, en el caso de España, el 81% de los directivos están ahora mismo más preocupados por los ataques a su cadena de suministro de lo que lo estaban dos años atrás, con casi la mitad mucho más preocupada y más de un tercio algo más preoc

Estrategias de seguridad "shift-left", ¿sí o no?
Los directivos encuestados por CloudBees afirman estar abrumadoramente a favor de un enfoque "shift left", estrategia que consiste en trasladar las pruebas y la evaluación del software a las primeras fases del ciclo de vida del desarrollo de software, depositando en los desarrolladores la carga que supone el aspecto del cumplimiento normativo. De hecho, el 83% de los ejecutivos asegura que este enfoque es importante para ellos como empresa, y el 77% afirman estar implementando un enfoque de seguridad "shift left" y compliance. Esto es a pesar de que el 58% de los encuestados reconocen supone una carga para sus desarrolladores.

En el caso de España, el enfoque "shift left" genera opiniones divididas. Un 47% de los directivos españoles considera que este enfoque es importante para ellos como empresa, mientras que otro 47% asegura que supone una carga para sus equipos de desarrolladores. A pesar de ello, el 80% declara estar implementando una estrategia de seguridad "shift left" y compliance en su empresa.

Para CloudBees, plataforma de entrega de software para empresas, los datos del informe evidencian "la necesidad urgente de transformar el panorama del compliance y la seguridad del software. A medida que DevOps madura, la seguridad y el cumplimiento de la normativa han ganado protagonismo como una fuente de fricción importante", dice su CISO Prakash Sethuraman, CISO. Al respecto de las estrategias "shift left", indica que son un tema de debate muy popular, pero no está dando los resultados deseados. "Al contrario, está sobrecargando aún más a los equipos de desarrollo y desviando su atención de trabajos que aportan valor añadido. Lo que se necesita es una nueva mentalidad y un nuevo enfoque, uno en el que la seguridad y el compliance sean continuos y realmente aceleren la innovación", subraya.

Otras conclusiones destacadas

--  Existen diferencias entre países en relación con la confianza que los directivos tienen respecto a la seguridad y el compliance. La encuesta revela que los ejecutivos estadounidenses son los que más piensan en la seguridad y el cumplimiento de la normativa, mientras que los de España y Reino Unido son los que más tiempo dedican a aplicar las políticas de compliance. Los directores alemanes demuestran el nivel más bajo de confianza entre todos los encuestados, con un 23% afirmando que su cadena de suministro de software no es segura.

-- Cuando es posible elegir entre velocidad y seguridad, gana la seguridad. Más de tres cuartas partes de los directivos (76%) aseguran que para ellos es más importante garantizar la seguridad y el cumplimiento de la normativa que contar con velocidad y cumplimiento (24%). En el caso de las empresas españolas, sus directivos apuestan por la seguridad y el compliance de forma más mayoritaria, con un 84% apostando por la seguridad frente al 16% que valoran más la velocidad.

-- Los equipos directivos confían en sus equipos. Nueve de cada diez encuestados aseguran que su equipo de gestión de riesgos tiene las herramientas, el conocimiento y la experiencia para construir y/o mantener una cadena de suministro de software segura.

-- La automatización es útil, pero no está al alcance de todos. Solo un 22%afirma que su cadena de suministro de software está completamente automatizada y el 37% dice que está cerca de conseguirlo. Del mismo modo, un 22% de ellos asegura que sus procesos de compliance están totalmente automatizados y el 35% afirma estar cerca de conseguirlo.

-- Las herramientas que se usan son una mezcla. Tres de cada cinco (59%) directores dicen que tienen todas, o casi todas, las herramientas externas que necesitan para gestionar la seguridad y el compliance, frente al 29% que declara usar una mezcla de herramientas internas y externas. Solo el 11% utiliza principalmente herramientas internas.

En la encuesta de CloudBees han participado 600 directivos y responsables de empresas con al menos 250 empleados en Estados Unidos, Australia, Francia, Alemania, España y Reino Unido entre el 27 de junio y el 11 de julio de 2022.