Solo el 22% de las organizaciones tienen una estrategia formal de DevSecOps

  • Actualidad

DevSecOps

Solo un 22% de las organizaciones encuestadas por Mezmo y Enterprise Strategy Group (ESG) cuentan a día de hoy con una estrategia formal de DevSecOps para integrar la seguridad en los procesos del cicl de vida del desarrollo del software. Las que la tienen, reconocen sus beneficios a la hora de detectar y responder incidentes.

Las empresas que han adoptado una estrategia DevOpsSec perciben claramente sus beneficios en términos de detección de amenazas (95%) y respuesta ante incidentes (96%). Sin embargo, actualmente solo un 22% de las compañías cuentan con ella. Es decir, pese a su impacto positivo, su adopción sigue siendo baja.

Esto puede estar a punto de cambiar porque este informe, en el que han participado 200 profesionales de las áreas DevOps y TI/ seguridad, porque el 62% de las compañías encuestadas están evaluando activamente los casos de uso o tienen planes para implementar DevSecOps. En este sentido, Melinda Marks, analista senior de ESG, explica que, "a medida que las organizaciones adoptan procesos de desarrollo de software que aprovechan las plataformas cloud, buscan incorporar procesos de seguridad y controles en los flujos de trabajo de los desarrolladores".

Según la investigación, existen claras diferencias entre los desafíos percibidos y reales de la implementación. Las empresas creen que establecer una cultura de colaboración y alentar a los desarrolladores a aprovechar las mejores prácticas de seguridad tiene casi la misma importancia que la adopción de herramientas DevSecOps. Sin embargo, aunque es común anticipar que la transformación cultural será un obstáculo antes de la adopción, quienes practican DevSecOps informan que las limitaciones técnicas, como la captura y el análisis de datos, son las principales barreras.

De hecho, el 84% de los encuestados cree que hacer llegar los datos y las herramientas correctos a los desarrolladores es clave para lograr el éxito. No obstante, a medida que las organizaciones aumentan la velocidad y el volumen de versiones para atender a más clientes, recopilan grandes volúmenes de datos. Las organizaciones encuestadas capturan varios (54%) o incluso cientos (32%) de terabytes por mes, y el 6% captura un petabyte o más por mes.

Esta cantidad de datos es costosa de recopilar y almacenar, y analizarlos para clasificar y responder a los incidentes lleva mucho tiempo. De hecho, 17,5 horas-persona es el tiempo medio que se tarda en clasificar y comprender los incidentes de seguridad, una cantidad que al 82% de las empresas les gustaría reducir. El 69% de las organizaciones no captura algunas fuentes de datos debido al alto coste de almacenamiento/retención, lo cual es problemático si hay un incidente, ya que no tiene todos los datos para realizar un análisis exhaustivo y, por tanto, una respuesta oportuna.

El estudio muestra que el 91% de las organizaciones utilizan diversas herramientas para extraer el valor de sus datos, lo que dificulta que los diferentes grupos tengan acceso a los datos que necesitan. Es decir, no tienen una única fuente, y se convierte en un reto. Este se puede resolver con una solución de observabilidad gestionada. En este sentido, el 98% de los participantes en el estudio, estudiarán su uso durante los próximos doce meses.