El 72% de las organizaciones ha experimentado un incidente de seguridad de aplicaciones en los últimos dos años.

El 72% de las organizaciones ha experimentado un incidente de seguridad de aplicaciones en los últimos dos años.
El 72% de las organizaciones ha experimentado un incidente de seguridad de aplicaciones en los últimos dos años.
-

Más allá de los riesgos para los usuarios y el cumplimiento normativo, la seguridad de las aplicaciones se ve amenazada por vulnerabilidades, inyección de código, mala gestión de identificadores y accesos, falta de cifrado o fallos en bibliotecas de terceros. La solución implica, en particular, Automatización DevSecOps.

Con demasiada frecuencia limitada a cuestiones de cumplimiento normativo y riesgos centrados en el usuario, la seguridad del software implica amenazas más técnicas. Por ejemplo, las vulnerabilidades de seguridad permiten a los piratas informáticos acceder a datos confidenciales o ejecutar código malicioso y surgen de errores de desarrollo o configuración.

La inyección SQL en sitios web permite el acceso a la base de datos del sitio para tomar el control del sistema. Una mala gestión de credenciales y accesos puede provocar fugas de datos o accesos no autorizados. Las contraseñas a menudo carecen de seguridad y los privilegios de acceso suelen ser demasiado altos. Además, la falta de actualizaciones de seguridad expone las aplicaciones a ataques.

Dynatrace ha publicado un informe basado en una encuesta internacional a 1.300 CISO y 10 entrevistas con directores ejecutivos y directores financieros de organizaciones con más de 1.000 empleados. Como era de esperar, Dynatrace aboga por el uso de herramientas de observabilidad unificadas que comercializa para facilitar la colaboración entre equipos. Este informe muestra la falta de alineación entre los líderes y los equipos de ciberseguridad. Tenga en cuenta que el 87% de los CISO dicen que el director ejecutivo y los miembros de la junta descuidan la seguridad de las aplicaciones.

Otro punto destacado es que los equipos de seguridad se comunican de forma demasiado técnica. Para 7 de cada 10 altos directivos, el uso de términos demasiado técnicos dificulta la comprensión de los problemas. La IA ahora es capaz de crear amenazas cibernéticas más sofisticadas, pero hasta la fecha no hay información seria que confirme la existencia de malware totalmente autónomo generado por la IA.

En Francia, una brecha entre la posición de los CISO y los ejecutivos de alto rango

Aunque el tamaño de la muestra de la encuesta es pequeño (100 encuestados), es posible identificar algunas tendencias. Un indicador explícito: casi tres cuartas partes de los RRSI lamentan la escasa capacidad de las herramientas de seguridad para producir información útil y clara para los directivos. Más de 7 de cada 10 empresas han experimentado algún incidente de seguridad en sus aplicaciones en los últimos dos años.

Por el lado de DevSecOps (Desarrollo, Seguridad y Operaciones), que consiste en integrar continuamente la seguridad a lo largo de todo el ciclo de vida de desarrollo de aplicaciones, el 71% de los CISO dice que la automatización de DevSecOps es esencial para garantizar que se han tomado medidas razonables para minimizar los riesgos de seguridad de las aplicaciones.

No es sorprendente que el 68 % de los CISO diga que existe una necesidad regular de informar al CEO y a la junta directiva y el 77 % diga que la automatización de DevSecOps es cada vez más importante para gestionar el riesgo de vulnerabilidades introducidas por la IA..

La automatización de las prácticas DevSecOps se utiliza poco

Una proporción abrumadora de líderes de seguridad, el 89%, dice que la automatización de DevSecOps será esencial para permitirles mantenerse actualizados con regulaciones como las reglas de ciberseguridad de ANSSI y las regulaciones europeas NIS2 y DORA. Cifra explícita y preocupante, sólo el 11% de los CISO considera que su organización aplica prácticas maduras de automatización DevSecOps.

En el orden de prioridades de los CISO se encuentra la gestión de vulnerabilidades, seguida de las respuestas a las crisis (violación de datos y problemas relacionados con la imagen) y, finalmente, la gestión de riesgos internos con, en particular, el uso de dispositivos móviles.

-

PREV ¿Realidad o mito a deconstruir?
NEXT Tras una semana de gira europea, el mensaje de Xi Jinping es claro: Francia ya no es un socio importante de China