El CISO Report 2023 de Dynatrace revela que los CISO ven cada vez más difícil mantener la protección de su software.
Dynatrace ha dado a conocer los resultados de su CISO Report 2023, una encuesta global a 1.300 directores de seguridad de la información (CISO) de grandes empresas a nivel mundial, entre los que se incluye España. Este estudio ha revelado que los CISO ven cada vez más difícil mantener la protección de su software ya que los entornos híbridos y multicloud son cada vez más y más complejos, y a que algunos equipos continúan dependiendo de procesos manuales que provocan que sea más fácil que las vulnerabilidades se cuelen en los sistemas de producción.
Este informe constata que el uso continuado de herramientas aisladas para tareas de desarrollo, entrega y seguridad obstaculiza la consolidación de una estrategia DevSecOps. Estos datos señalan la creciente necesidad de combinar la observabilidad con la seguridad para impulsar la automatización basada en datos que permite a los equipos de operaciones, de desarrollo, de seguridad y de TI ofrecer una innovación más rápida y segura. El informe incluye información muy reveladora sobre la gestión de vulnerabilidades; desarrollo de software; automatización y un largo etcétera y proporciona datos locales sobre cuál es la situación en España:
Más de dos tercios (66%) de los CISO entrevistados aseguran que la gestión de vulnerabilidades es más difícil debido a que ha aumentado la complejidad de los ecosistemas cloud y de la cadena de suministro de su software. Solo un 55% de los CISO está convencido de que el software ofrecido por los equipos de desarrollo ha sido sometido a pruebas exhaustivas y completas para detectar vulnerabilidades antes de pasar a entornos de producción.
Más de dos tercios (66%) de los CISO entrevistados aseguran que la gestión de vulnerabilidades es más difícil debido a que ha aumentado la complejidad de los ecosistemas cloud
El 91% de los CISO encuestados hacen hincapié en la importancia de priorizar el análisis de vulnerabilidades ya que suele faltar información sobre el riesgo que suponen las mismas para sus entornos. De hecho, el 58% asegura que las alertas de vulnerabilidades señaladas como críticas por parte de los scanner de seguridad no suelen ser importantes en la producción por lo que se invierte un tiempo valioso del desarrollo persiguiendo falsos positivos. Cada miembro del equipo de desarrollo y seguridad pasa un tercio de su tiempo (de media) en la gestión de tareas de detección de vulnerabilidades que podrían estar perfectamente automatizadas.
“Las empresas están peleando para encontrar el equilibrio entre la necesidad de innovar cada vez más rápido y hacerlo de una manera segura para mantener sus datos y servicios a salvo”, afirma Bernd Greifeneder, CTO de Dynatrace. “El aumento de la complejidad de las cadenas de suministro de software y de las tecnologías nativas en la nube que proporcionan los cimientos para la innovación digital hacen que cada vez sea más difícil identificar, valorar y priorizar los tiempos de respuesta cuando surgen nuevas vulnerabilidades. Estas tareas han crecido más allá de las capacidades humanas de gestión».
El informe destaca que el 76% de los CISO afirman que el aislamiento de equipos y soluciones puntuales a lo largo del ciclo de vida de una estrategia DevSecOps facilita que haya brechas de seguridad. Por su parte, un número similar (77%) sugiere que habrá más vulnerabilidades explotadas si no se consigue que la estrategia DevSecOps sea más efectiva. De hecho, sólo el 12% de ellos afirman tener una cultura DevSecOps madura y consolidada.
La mayoría de los entrevistados (91%) asegura que la automatización y el uso de la Inteligencia Artificial son claves para el éxito de DevSecOps y para superar los problemas de recursos. El 87% de los CISO concluye que el tiempo que transcurre entre descubrir un ataque zero-day y su capacidad para arreglarlo es uno de los mayores retos a conseguir para minimizar el riesgo”-.
El 77% de los CISO aseguran que habrá más vulnerabilidades si no logran un DevSecOps más efectivo
“Pese al amplio conocimiento de los muchos beneficios de DevSecOps, muchas compañías siguen verdes a la hora de adoptar esta práctica debido a que sus datos están aislados, carecen de contexto y se limitan al análisis”, observa Greifeneder. “Para superar este punto se deben utilizar soluciones que combinen la observabilidad y la seguridad, siendo impulsadas por IA y automatización inteligente”.
El CISO Report 2023 se basa en una encuesta global realizada a 1.300 CISO de grandes compañías con más de 1.000 empleados, y ha sido llevada a cabo por Coleman Parkes y encargada por Dynatrace en marzo de 2023. La muestra incluye 200 encuestados en Estados Unidos, 100 en cada uno se los siguientes países: Reino Unido, Francia, Alemania, España, Italia, Paises Nordicos, el Medio Este, Australia e India. Y finalmente, 50 encuestados en cada uno de los siguientes: Singapore, Malasia, Brasil y México.
Cookie | Duración | Descripción |
---|---|---|
__cf_bm | 1 hour | This cookie, set by Cloudflare, is used to support Cloudflare Bot Management. |
_GRECAPTCHA | 6 months | Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks. |
cookielawinfo-checkbox-advertisement | 1 year | Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category. |
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
CookieLawInfoConsent | 1 year | CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie. |
csrftoken | 1 year | This cookie is associated with Django web development platform for python. Used to help protect the website against Cross-Site Request Forgery attacks |
opt_out | 1 year | This cookie is used for preventing the installation of third party advertiser or other cookies on the browser. |
PHPSESSID | 24 minutes | This cookie is native to PHP applications. The cookie stores and identifies a user's unique session ID to manage user sessions on the website. The cookie is a session cookie and will be deleted when all the browser windows are closed. |
rc::a | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::b | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::c | session | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
rc::f | never | This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks. |
ts | 1 year 1 month | PayPal sets this cookie to enable secure transactions through PayPal. |
usprivacy | 1 year 1 month | This is a consent cookie set by Dailymotion to store the CCPA consent string (mandatory information about an end-user being or not being a California consumer and exercising or not exercising its statutory right). |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |
wordpress_test_cookie | session | WordPress sets this cookie to determine whether cookies are enabled on the users' browsers. |
Cookie | Duración | Descripción |
---|---|---|
cX_G | 1 year 1 month | Cxense sets this cookie for storing the global ID, mapping different ids together into one ID. |
v1st | 1 year 1 month | The v1st cookie is set by TripAdvisor to collect details about how visitors use the website, by displaying user reviews, awards and information received on the TripAdvisor community. |
yt-player-headers-readable | never | The yt-player-headers-readable cookie is used by YouTube to store user preferences related to video playback and interface, enhancing the user's viewing experience. |
yt-remote-cast-available | session | The yt-remote-cast-available cookie is used to store the user's preferences regarding whether casting is available on their YouTube video player. |
yt-remote-cast-installed | session | The yt-remote-cast-installed cookie is used to store the user's video player preferences using embedded YouTube video. |
yt-remote-connected-devices | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-device-id | never | YouTube sets this cookie to store the user's video preferences using embedded YouTube videos. |
yt-remote-fast-check-period | session | The yt-remote-fast-check-period cookie is used by YouTube to store the user's video player preferences for embedded YouTube videos. |
yt-remote-session-app | session | The yt-remote-session-app cookie is used by YouTube to store user preferences and information about the interface of the embedded YouTube video player. |
yt-remote-session-name | session | The yt-remote-session-name cookie is used by YouTube to store the user's video player preferences using embedded YouTube video. |
ytidb::LAST_RESULT_ENTRY_KEY | never | The cookie ytidb::LAST_RESULT_ENTRY_KEY is used by YouTube to store the last search result entry that was clicked by the user. This information is used to improve the user experience by providing more relevant search results in the future. |
Cookie | Duración | Descripción |
---|---|---|
_gat | 1 minute | Google Universal Analytics sets this cookie to restrain request rate and thus limit data collection on high-traffic sites. |
dmvk | session | The dmvk cookie is set by Dailymotion to record data of visitor behaviour on the website. |
Cookie | Duración | Descripción |
---|---|---|
_fbp | 3 months | Facebook sets this cookie to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising after visiting the website. |
_ga | 1 year 1 month 4 days | Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors. |
_gid | 1 day | Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously. |
cX_P | 1 year 1 month | Cxense sets this cookie for site-specific user sessions - across sessions. |
Cookie | Duración | Descripción |
---|---|---|
guest_id | 1 year 1 month | Twitter sets this cookie to identify and track the website visitor. It registers if a user is signed in to the Twitter platform and collects information about ad preferences. |
test_cookie | 15 minutes | doubleclick.net sets this cookie to determine if the user's browser supports cookies. |
VISITOR_INFO1_LIVE | 6 months | YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface. |
VISITOR_PRIVACY_METADATA | 6 months | YouTube sets this cookie to store the user's cookie consent state for the current domain. |
YSC | session | Youtube sets this cookie to track the views of embedded videos on Youtube pages. |
yt.innertube::nextId | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
yt.innertube::requests | never | YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen. |
Cookie | Duración | Descripción |
---|---|---|
__cflb | 1 day | This cookie is used by Cloudflare for load balancing. |
_awl | 1 year 1 month | No description available. |
_pcid | 1 year 1 month | Description is currently not available. |
_pctx | 1 year 1 month | Description is currently not available. |
gckp | 1 year | This cookie is set by the provider Cxense. This cookie is used for building user profile information across all sites in the Cxense network. |
itsec-hb-login-27e4caa2b0fb20a2dee118de04e9de77 | 1 hour | Description is currently not available. |
ntvSession | session | Description is currently not available. |