La adopción de DevSecOps es baja pero tiene un gran impacto en las organizaciones de usuarios


Las limitaciones técnicas son barreras para el éxito, pero un nuevo informe encuentra que DevSecOps podría cambiar las reglas del juego y verá una tracción creciente en el mercado.

Concepto de programación del ciclo de desarrollo de software DevSecOps.  Empresario presionando el botón.
Imagen: Adobe Stock

Solo el 22% de las organizaciones encuestadas han desarrollado una estrategia formal de DevSecOps que integra la seguridad en los procesos del ciclo de vida del desarrollo de application, un Informe recientemente publicado encuentra. Pero de ellos, un porcentaje abrumador informó un impacto positivo en la aceleración de los esfuerzos de detección de incidentes (95 %) y respuesta (96 %), según el proveedor de la plataforma de datos de observabilidad Mezmo.

Aunque la adopción es baja por ahora, el estudio también confirma el crecimiento potencial en la industria con el 62% de los encuestados diciendo que su organización está evaluando activamente los casos de uso o tiene planes para implementar DevSecOps.

«DevSecOps ha sido un desafío porque, con el desarrollo nativo de la nube, los desarrolladores pueden aprovisionar e implementar sus propias aplicaciones en la nube sin la ayuda de otros equipos», explicó Melinda Marks, analista sénior de ESG, que realizó la encuesta en nombre de Mezmó. “Es difícil para los equipos de seguridad incorporar pruebas o procesos de seguridad en el desarrollo porque, si es disruptivo, los desarrolladores pueden omitir ciertos procesos de seguridad si les parece que lleva demasiado tiempo o si generará demasiadas alertas para que las arreglen”.

El otro problema es que los desarrolladores pueden estar usando herramientas de prueba para probar y solucionar problemas en su código, pero los equipos de seguridad no tienen visibilidad de lo que están haciendo, agregó Marks. Los productos de seguridad que tienen muchas organizaciones monitorean las aplicaciones cuando se ejecutan en la nube en busca de errores de configuración, pero en ese punto, los problemas son mucho más difíciles de solucionar y están expuestos a clientes y piratas informáticos porque las aplicaciones están activas, según Marks. .

De las 200 organizaciones profesionales de DevOps y TI/seguridad de la información que respondieron, el estudio encontró que más de la mitad que usaba herramientas y procesos DevSecOps experimentó una reducción significativa en los incidentes que ocurren en la producción. El mayor impacto informado fue en la aceleración de los esfuerzos de detección de incidentes, y casi la mitad informó mejoras significativas en los tiempos de respuesta y remediación de incidentes.

VER: Kit de contratación: desarrollador Python (Quality de TechRepublic)

Factores que limitan la adopción y el éxito de DevSecOps

Según la investigación, existen claras diferencias entre los desafíos de implementación percibidos y reales. Las empresas creen que establecer una cultura de colaboración y alentar a los desarrolladores a aprovechar las mejores prácticas de seguridad tiene casi la misma importancia que adoptar las herramientas DevSecOps, dijo Mezmo. Si bien es común esperar que la transformación cultural sea un obstáculo antes de la adopción, quienes practican DevSecOps informan que las limitaciones técnicas, como la captura y el análisis de datos, son en realidad barreras mayores para el éxito.

El ochenta y cuatro por ciento de los encuestados cree que hacer llegar los datos y las herramientas correctos a los desarrolladores es clave para lograr el éxito. Pero, a medida que las organizaciones aumentan la velocidad y el volumen de los lanzamientos para atender a más clientes, recopilan grandes volúmenes de datos. Las organizaciones encuestadas capturan varios (54 %) o incluso cientos (32 %) de terabytes por mes, y el 6 % captura un petabyte o más por mes.

Esta cantidad de datos es costosa de recopilar y almacenar, y analizarlos para clasificar los incidentes y responder requiere mucho tiempo. De hecho, 17,5 horas-persona es el tiempo promedio que se tarda en clasificar y comprender los incidentes de seguridad, una cantidad que al 82 % de las empresas les gustaría reducir. La mayoría de las organizaciones (69 %) no capturan ciertas fuentes de datos debido al alto costo de almacenamiento/retención, lo cual es problemático si hay un incidente y la organización tiene datos incompletos para un análisis exhaustivo y/o una respuesta oportuna.

VER: Package de contratación: Desarrollador Back again-finish (Premium de TechRepublic)

Cómo aprovechar al máximo los datos con observabilidad

El estudio muestra que el 91% de las organizaciones utilizan múltiples herramientas para obtener el máximo valor de sus datos, lo que dificulta que varios grupos tengan acceso a los datos que necesitan para hacer su trabajo. No tener una «única fuente de verdad» se informa como el mayor desafío que frena a los equipos.

El desarrollo de software moderno tiene que ver con la velocidad y la eficiencia, dijo Marks. “DevSecOps ha sido un desafío porque los métodos de seguridad tradicionales son demasiado perjudiciales para los procesos las organizaciones necesitan soluciones que funcionen dentro de los flujos de trabajo y las herramientas de los desarrolladores junto con su pila de tecnología nativa de la nube”.

Cuando se utilizan datos de observabilidad, pueden ayudar a impulsar la eficiencia porque brindan información para mejores procesos de seguridad, políticas y una respuesta más rápida a incidentes, dijo.

“Para moverse rápido y crear aplicaciones seguras, las empresas necesitan soluciones que les ayuden a aprovechar al máximo el valor de sus datos para generar mejores resultados”, dijo Tucker Callaway, CEO de Mezmo, en un comunicado. “Para lograr esto, los equipos buscan soluciones de observabilidad que sean flexibles y escalables, con funciones de automatización para ayudar a mejorar la recopilación y el análisis de datos”.

En este momento, la mayoría de las empresas (87 %) utilizan herramientas de código abierto como parte o la totalidad de su pila de observabilidad porque son más personalizables. Pero el 84 % cree que será un desafío administrar, adoptar y escalar con estas herramientas.

Casi todos los encuestados (98%), con títulos que van desde desarrolladores de aplicaciones hasta profesionales de TI y seguridad, dijeron que probablemente investigarán una solución de observabilidad administrada durante los próximos 12 meses, según Mezmo.



Enlace a la noticia original