La sicurezza prima di tutto. È un’affermazione che diventa la regola per le aziende, ma non sempre è facile garantirla, soprattutto in presenza di ecosistemi cloud sempre più complessi.
Dynatrace, realtà specializzata nell’osservabilità e nella sicurezza unificate, ha annunciato i risultati di un’indagine globale indipendente condotta su 1.300 Chief Information Security Officer (CISO) di grandi organizzazioni. La ricerca “The convergence of observability and security is critical to realizing DevSecOps potential” rivela che per i CISO è sempre più difficile garantire la sicurezza del proprio software, dato che gli ambienti ibridi e multicloud diventano sempre più complessi e i team continuano a fare affidamento su processi manuali che rendono più facile la penetrazione di vulnerabilità negli ambienti di produzione. Il rapporto rileva inoltre che il continuo utilizzo di strumenti non integrati per le attività di sviluppo, delivery e sicurezza ostacola la maturità dell’adozione di DevSecOps. Questi dati evidenziano la crescente necessità di far convergere osservabilità e sicurezza per alimentare l’automazione guidata dai dati che consente ai team di sviluppo, sicurezza e operazioni IT di fornire innovazioni più rapide e sicure.
Ecosistemi cloud: i risultati della ricerca in Italia
L’80% dei CISO italiani (contro una media globale del 68%) afferma che la gestione delle vulnerabilità è più difficile a causa dell’aumento della complessità della filiera del software e degli ecosistemi cloud:
- Solo il 34% dei CISO italiani (rispetto al 50% a livello globale) è pienamente convinto che il software fornito dai team di sviluppo sia stato completamente testato per le vulnerabilità prima di essere messo in produzione.
- Il 75% dei CISO italiani (77% a livello globale) dichiara che è una sfida significativa stabilire le priorità delle vulnerabilità perché non dispone di informazioni sul rischio che queste rappresentano per il proprio ambiente.
- Il 54% degli avvisi di vulnerabilità (58% a livello globale) che gli scanner di sicurezza segnalano come “critici” non sono importanti in produzione, sprecando tempo prezioso per lo sviluppo alla ricerca di falsi positivi.
- In media in Italia, ogni membro dei team di sviluppo e sicurezza delle applicazioni spende un quarto del proprio tempo (25%), ovvero 10 ore alla settimana, per attività di gestione delle vulnerabilità che potrebbero essere automatizzate.
“Le organizzazioni hanno difficoltà a bilanciare l’esigenza di un’innovazione più rapida con la governance e i controlli di sicurezza stabiliti per mantenere al sicuro i propri servizi e dati”, ha dichiarato Bernd Greifeneder, Chief Technology Officer di Dynatrace. “La crescente complessità della filiera del software e degli stack tecnologici cloud-native che costituiscono la base dell’innovazione digitale rendono sempre più difficile identificare, valutare e dare priorità agli sforzi di risposta quando emergono nuove vulnerabilità. Questi compiti sono cresciuti oltre le capacità umane di gestione. I team di sviluppo, sicurezza e IT stanno scoprendo che i controlli per la gestione delle vulnerabilità non sono più adeguati al mondo digitale dinamico di oggi, il che espone le loro aziende a rischi inaccettabili”.
Ulteriori risultati a livello italiano
- Il 73% dei CISO italiani afferma che la prevalenza di silos di team e di soluzioni specifiche in tutto il ciclo di vita DevSecOps rende più facile l’infiltrazione di vulnerabilità nella produzione.
- Il 67% dei CISO italiani (contro una media globale dell’81%) dichiara che ci saranno un crescente numero di exploit di vulnerabilità se non riusciranno a far funzionare DevSecOps in modo più efficace; tuttavia, solo il 14% delle organizzazioni italiane (il 12% a livello globale) ha una cultura DevSecOps matura.
- L’89% dei CISO italiani (86% nella media globale) afferma che l’IA e l’automazione sono fondamentali per il successo di DevSecOps e per superare le sfide legate alle risorse.
- Il 65% dei CISO italiani (contro il 76% a livello globale) indica che il tempo che intercorre tra la scoperta di attacchi zero-day e la capacità di applicare patch a ogni istanza rappresenta una sfida significativa per ridurre al minimo il rischio.
