0
0
Wabbi publicou uma nova pesquisa com o IDG que constata que as empresas que utilizam segurança contínua diminuíram as vulnerabilidades em 50%.
O estudo concentrou-se na integração do desenvolvimento e da segurança, bem como nos benefícios da segurança contínua. Os participantes incluíram líderes de TI e segurança, gerentes de desenvolvimento de software/aplicativos e diretores em todos os setores e tamanhos da empresa. Os dados exploraram prioridades e tendências em torno da integração da segurança ao longo do ciclo de vida de desenvolvimento de software (SDLC). As principais descobertas seguem.
Os líderes de TI/segurança reconhecem o valor da segurança integrada
Com a variedade e o número de ataques aumentando a cada dia, pode parecer uma tarefa insuperável construir defesas que respondam a todos os riscos potenciais. Além disso, o sucesso pode ser medido de forma diferente dependendo das prioridades de cada empresa. No entanto, a importância da integração de segurança dentro do SDLC é clara: 98% dos entrevistados dão alta importância à integração da segurança durante todo o ciclo de vida do desenvolvimento, mas apenas 15% relatam que a segurança está sempre integrada desde o início do ciclo de vida do desenvolvimento.
A falta de integração de segurança dentro do SDLC resultou em atrasos no projeto (72%), perda financeira (63%) e/ou reputação comprometida da marca (57%). No entanto, as organizações entendem que os benefícios da integração da segurança vão além da redução das violações: 70% dos entrevistados citam o aumento da produtividade como o principal benefício da integração da segurança, com redução de custos e redução de falhas de segurança empatadas em segundo lugar, cada um citado por 67% dos entrevistados.
“Para superar a desconexão entre desenvolvimento e segurança, a segurança deve ser integrada durante todo o ciclo de vida do desenvolvimento”, disse Brittany Greenfield, CEO da Wabbi. “Este relatório mostra claramente que as equipes superaram os desafios culturais na compreensão da importância da integração da segurança, no entanto, ainda há um trabalho estrutural a ser feito para implementar uma abordagem de segurança contínua para fornecer um código mais seguro, menos violações, menos perdas econômicas, redução de atrasos na entrega e menos interrupções nos negócios.”
Organizações que adotam a automação evitam gargalos
Os processos atuais de segurança de aplicativos estão criando gargalos para todos os entrevistados: 53% dos entrevistados citaram gargalos acontecendo “até certo ponto”, enquanto 47% relataram os gargalos em “grande medida”. O principal motivo citado para os gargalos foi a má colaboração entre devOps e equipes de segurança (72%), seguida pela dificuldade em identificar os requisitos corretos de segurança do projeto e do nível de recursos devido à documentação complexa (71%), e falta de orquestração de processos de segurança como parte do SDLC/ CI/CD (68%).
Apenas 30% dos entrevistados citaram os processos manuais como um gargalo no processo de desenvolvimento, o que mostra uma divisão entre processos manuais e todas as coisas que resultam deles. Embora os processos de DevOps sejam tipicamente altamente automatizados, 55% relatam automação moderada ou baixa de processos de segurança. Além disso, em 61% das organizações, o processo de compartilhamento de feedback entre equipes de desenvolvimento e segurança não é totalmente automatizado. Mesmo assim, a maioria dos entrevistados (79%) relata que suas equipes de segurança reconhecem e respondem aos feedbacks das equipes de desenvolvimento.
Implementar segurança contínua para capacitar equipes de desenvolvimento
Embora apenas 31% dos entrevistados tenham capacitado equipes de desenvolvimento para possuir segurança de aplicativos, essas organizações são menos propensas a relatar que suas organizações lançaram aplicativos com vulnerabilidades de segurança no último ano (50% versus 73% entre outros), e são mais propensas a receber requisitos de segurança e oportunidades de feedback na fase de planejamento do SDLC (48% vs. 16% entre outras).
Além disso, os entrevistados relatam mais frequentemente que os processos de compartilhamento de feedback entre equipes de desenvolvimento e segurança são totalmente automatizados (49% vs. 25% entre outros). Além disso, eles têm quase o dobro de chances de já terem adotado uma abordagem contínua de segurança (17% vs. 9%),
Os entrevistados citam o empoderamento das equipes de desenvolvimento (73%), a habilitação da colaboração em tempo real (72%) e a redução do risco de segurança (70%) como principais benefícios potenciais da estratégia de segurança contínua.
22% dizem que estão pilotando uma estratégia de segurança contínua, com 46% planejando adotar uma no próximo ano. Aqueles que adotaram totalmente a segurança contínua são capazes de aproveitar os loops de integração, automação e feedback para enviar menos vulnerabilidades. Para aqueles que ainda não estão lá, não precisa ser uma implementação complexa — enquanto houver um processo em andamento, as organizações podem implementar segurança contínua para capacitar equipes de desenvolvimento, permitir a colaboração em tempo real e reduzir o risco de segurança.
FONTE: HELPNET SECURITY