CA Technologies ha hecho públicos los resultados de un estudio mundial acerca del desarrollo de software seguro en el que han participado más de 1.200 responsables de TI, 466 de ellos de seis países europeos, incluido España. El informe Integrating Security into the DNA of Your Software Lifecycle, elaborado por la firma analista Freeform Dynamics, subraya la influencia de la cultura en la capacidad de las organizaciones españolas para integrar prácticas de seguridad como parte del ciclo de vida del desarrollo de software, una práctica crítica para el éxito de las empresas en la economía digital.
En el informe, el 96% de los encuestados españoles confirmaron que el desarrollo de software ayuda al crecimiento y la expansión del negocio, y el 87% considera que impulsa la transformación digital. Las conclusiones del estudio revelan que el 81% de los encuestados españoles están de acuerdo en que las amenazas de seguridad derivadas de problemas de desarrollo de software son una preocupación creciente, la cifra más alta entre los países europeos encuestados. Sin embargo, el 69% de las organizaciones españolas mencionaron la cultura existente como la principal barrera para integrar la seguridad en sus procesos, y sólo el 31% está muy de acuerdo en que la cultura y prácticas corporativas apoyan la colaboración entre desarrollo, operaciones y seguridad.
Las amenazas de seguridad derivadas de problemas de desarrollo de software son una preocupación creciente
Otro reciente informe de CA Veracode State of Software Security Report 2017 también resaltó que las vulnerabilidades continúan apareciendo a un ritmo alarmante en software que no había sido testado previamente desde el punto de vista de la seguridad y también destacó que organizaciones de todo el mundo revelan que el 77% de las aplicaciones tiene al menos una vulnerabilidad en un análisis inicial.
“La seguridad es un principio clave en la fábrica de software moderna. Si bien nuestro estudio confirma un reconocimiento general de la importancia de crear y mantener de manera segura las aplicaciones, en las organizaciones españolas debe cambiar la cultura para mejorar la colaboración entre los equipos de TI e identificar y solucionar las vulnerabilidades más rápidamente”, explica Rufino Honorato, director de preventas y CTO de CA Technologies Iberia. “Incorporar la seguridad en cada paso de la entrega de aplicaciones con DevSecOps y tecnologías avanzadas como aprendizaje automático o analítica del comportamiento permite mejorar significativamente los resultados para la empresa y modificar la manera en la que se lleva a cabo el negocio”.
La seguridad ha de ser incorporada en el desarrollo
De acuerdo con el informe Integrating Security into the DNA of Your Software Lifecycle una mayoría de las organizaciones españolas encuestadas reconocen que la rapidez de los cambios en las demandas regulatorias y de negocio hace que las organizaciones tengan que modificar la manera en la que gestionan la seguridad en sus procesos de desarrollo de software. En concreto, se indica que el enfoque tradicional de probar la seguridad al final del proceso de desarrollo ya no es suficiente: un 92% de las organizaciones españolas creen que es esencial o importante que la seguridad esté más integrada en el proceso de desarrollo de software, y no con prisas al final del mismo. El 79% de los encuestados están de acuerdo o muy de acuerdo en que es crítico integrar las prácticas de seguridad más pronto en el ciclo de desarrollo del software, en otras palabras, adoptar DevSecOps.
Sin embargo, tan solo el 29% de las organizaciones españolas encuestadas han hecho de la seguridad una parte integral de DevOps (por ejemplo, implementando DevSecOps), comparado con el 44% de las francesas. Además, el 29% ya ha implementado pruebas continuas desde etapas tempranas en las aplicaciones para detectar vulnerabilidades de seguridad.
La falta de capacidades y de tiempo obstaculizan la seguridad, pero la automatización es inminente
Además de identificar la cultura organizativa existente como un obstáculo para el desarrollo de software seguro, el 69% de las organizaciones españolas encuestadas reconocieron que la falta de las capacidades necesarias es un problema para hacer de la seguridad parte integral de su proceso de desarrollo de software, desde la evaluación de requisitos de la aplicación hasta el diseño y la entrega. Esta es la cifra más elevada en Europa que registra una media del 55%. Además, el 65% de las empresas españolas citaron la presión del tiempo como otra barrera. El gran desafío asociado con estos procesos hace esencial el uso de herramientas de automatización, ya que muy pocas cuentan con los recursos humanos cualificados o con el tiempo suficiente para abordar este tipo de desafíos urgentes y complejos.
Dos tecnologías basadas en la automatización, como son la analítica de comportamiento y el aprendizaje automático, pueden ayudar a resolver esta falta de capacidades y de tiempo a la vez que mejoran la seguridad. Según el informe, el 94% de las organizaciones españolas encuestadas creen que ambas tecnologías son clave para proteger los datos de los usuarios y ofrecerles una mejor experiencia, la cifra más alta de toda Europa. Esto es fundamental para tomar medidas preventivas que eviten una violación de datos y / o mitigar su impacto, y esencial para la autenticación de controles en función de lo que un usuario hace y lo que se sabe de él. De hecho, el 74% de las organizaciones utilizan analítica, aprendizaje automático e inteligencia artificial para un mayor conocimiento sobre las necesidades y comportamientos de los clientes, mientras que el 81% está aumentando la automatización en todo el ciclo de vida del desarrollo de software.