Los directores de tecnología revelan los 15 principales retos de la seguridad del código y la nube

Hemos consultado a 15 directores de tecnología de SaaS sobre sus retos y preocupaciones en materia de seguridad del código y de la nube. ¿Por qué?

• Todos los CTO de SaaS se enfrentan a retos a la hora de asegurar su producto. Queríamos encontrar esas tendencias y descubrir sus necesidades y preocupaciones.
• La investigación de clientes es esencial para el éxito de cualquier startup, ¡y Aikido no es diferente! De hecho, nos encanta conocer la opinión de nuestros clientes.
• Desde el principio, nos hemos centrado en diseñar y hacer evolucionar nuestras herramientas de seguridad basándonos en lo que es más importante para nuestros clientes.

En Aikido creemos en el intercambio abierto de conocimientos, así que ha llegado el momento de transmitir lo que nuestras consultas han descubierto y puesto al descubierto.

Acerca de nuestra consulta sobre seguridad de la nube y del código

Los directores técnicos a los que consultamos pertenecen a startups de software nativo en la nube con entre 51 y 500 empleados. Nos centramos en estos temas de la nube y la seguridad del código:

• la prioridad que puede recibir la prevención de amenazas
• bloqueadores para prevenir amenazas
• su grado de satisfacción con las soluciones actuales
• qué otras soluciones han utilizado y sus defectos
• retos a los que se enfrentan
• sus necesidades y resultados deseados
• características que valoran, y
• lo que quieren conseguir en el futuro.

¿Qué importancia tiene para ti prevenir las amenazas a la seguridad de la nube y del código?

Empecemos por el nivel de prioridad que los CTO conceden a la prevención de las amenazas a la seguridad. Nuestros datos muestran que los CTO conceden un alto nivel de prioridad a la prevención de amenazas. La valoración media es de 8,27 (sobre 10). El 93% de los CTO calificaron la importancia de la prevención de amenazas con un 7 o más. 8 fue la respuesta más popular, y 10 la segunda opción más votada.

¿Qué impide prevenir eficazmente las amenazas a la seguridad de la nube y del código?

Por mucho que a los directores de tecnología les gustaría prevenir las amenazas a la seguridad de la nube y del código, algunos bloqueos crean obstáculos para el éxito. Los tres principales fueron la competencia de prioridades, el presupuesto y la complejidad.

Prioridades contrapuestas

La principal respuesta: prioridades contrapuestas (40%). ¿Qué significa esto en relación con los retos de seguridad? Aunque los directores de tecnología consideran que la seguridad es una gran prioridad, existen otras preocupaciones igual o potencialmente más importantes dentro de una empresa. Por ejemplo, la carrera por sacar nuevas funciones frente a los problemas de seguridad que las rodean es el acto de equilibrio de la ciberseguridad.

Como la seguridad suele ser una buena inversión a largo plazo pero tiene menos impacto en el día a día, es fácil quitarle prioridad".

Limitaciones presupuestarias

El segundo obstáculo son las limitaciones presupuestarias (33%). El principal reto consiste en demostrar la rentabilidad de las medidas de seguridad para la empresa. O, como dice un director de tecnología, "justificar la inversión en seguridad en la nube". Esto también puede estar relacionado con la falta de prioridad diaria mencionada anteriormente.

Complejidad

La complejidad se lleva el bronce (27%). La cuestión aquí es que hay muchas amenazas potenciales. Priorizarlas se convierte en una carga y un reto. Esto puede resultar abrumador y, en consecuencia, es fácil perder de vista las mayores amenazas.

¿Hasta qué punto está satisfecho con sus soluciones actuales para prevenir las amenazas a la seguridad del código y la nube?

Grado D. La valoración media es de 6,4 y un tercio de los directores de tecnología calificaron su satisfacción con las soluciones actuales con un 5 o menos. Sólo el 20% se mostró muy satisfecho, con un 8 o 9, mientras que el 0% obtuvo un 10 perfecto. La clave aquí es comparar esto con el nivel mucho más alto de prioridad que dan a la prevención de amenazas. Encontramos una diferencia notable y preocupante entre importancia y satisfacción.

¿Qué otras soluciones de seguridad utiliza y cuáles son sus defectos?

Las soluciones de seguridad actuales incluyen una amplia gama de lo que hay disponible en el mercado. Los CTO mencionaron 11 productos; SonarQube fue el más utilizado (33%). Más allá de eso, no más del 13% de los CTO utilizaban los mismos productos en el momento de nuestra encuesta.

Precios y modelos de fijación de precios

El 40% de los CTO indicaron que el mayor defecto tiene que ver con los elevados precios y los modelos de fijación de precios. Un director de tecnología señala que los precios son astronómicamente altos: "Hoy en día se pagan por el software cifras del orden de seis dígitos". Otro cuestiona la viabilidad a largo plazo de los precios por línea: "Los modelos de precios que siguen el número de líneas de código son motivo de preocupación para el futuro".

Falsos positivos

El 33% señaló falsos positivos, es decir, alertas que identifican erróneamente una vulnerabilidad o actividad maliciosa. Todos podemos identificarnos con las frustraciones en este caso: la fatiga de las alertas y el despilfarro de recursos que suponen los falsos positivos.

Otros fallos de las soluciones actuales

Otros defectos son las dificultades para evaluar el riesgo, la complejidad de la configuración y el mantenimiento, la falta de adaptación de la pila tecnológica y la protección limitada.

Un director de tecnología señala las frustraciones en torno a la necesidad de emplear múltiples soluciones de seguridad:

'No conozco ninguna solución que cubra múltiples escenarios, lo que significa que mi expectativa como CTO sería que el SaaS que usamos actualmente para escaneos de seguridad automatizados de nuestra base de código seguramente no va a ser lo mismo que una solución que asegure el cumplimiento con uno de nuestros proveedores de nube'.

¿Qué aprendemos de lo que piensan los directores de tecnología sobre los fallos actuales del software de seguridad?

Esta es la principal conclusión. Los directores de tecnología buscan una ventanilla única de software de seguridad del código y de la nube:

• precios razonables
• ausencia de falsos positivos
• una configuración sencilla, y
• mantenimiento sin complicaciones.

¿Cuáles son los mayores retos a la hora de proteger el código y la nube?

Los principales retos actuales para los CTO de SaaS son la oposición dentro de la empresa, demasiada información con la que lidiar, la evolución de las amenazas y la complejidad de tener una cobertura total.

Oposición interna

El 40% afirma que el principal reto es interno: la falta de concienciación u otras prioridades se traducen en recursos limitados. Esto confirma los dos principales obstáculos a la prevención de amenazas mencionados anteriormente (prioridades y presupuesto).

El mayor reto es cambiar la mentalidad de la organización y hacerles comprender que la seguridad es una característica y que debemos invertir continuamente en ella".

La gestión del cambio es notoriamente difícil. Y sensibilizar a los ciudadanos para que introduzcan cambios significativos en su actitud y estrategia puede ser un reto aún más arduo.

Demasiado ruido

La sobrecarga de información es real. El 27% de los directores de tecnología afirman que el mayor reto es clasificar entre el ruido. No es fácil entender qué amenazas priorizar o explorar, ni cómo tratarlas. De nuevo, si hay falsos positivos en la mezcla, puede haber callejones sin salida, ineficiencias y trabajo mal orientado.

Parece que hay datos ilimitados en los registros, pero no hay forma de gestionar lo que significan todos ellos y quién y cómo debe abordarlos".

Evolución, cobertura y complejidad de las amenazas

La evolución de las amenazas, la cobertura y la complejidad se clasificaron como retos de menor nivel. Sin embargo, siguen confirmando algunos de los bloqueos y defectos identificados anteriormente en la encuesta.

Las amenazas a la seguridad no se estancan: evolucionan y tienden a ir un paso por delante de las soluciones de seguridad. Esto significa que sus vulnerabilidades también están evolucionando, y a veces puede parecer que está jugando a la ruleta.

'Los atacantes son cada vez más sofisticados en sus métodos, y se descubren nuevas vulnerabilidades con regularidad.'

Los directores de tecnología señalaron además problemas que confirman algunos de los fallos detectados en sus soluciones actuales. Informan de que reciben una cobertura incompleta, lo que crea una falsa sensación de seguridad. Y en el negocio de la seguridad, ¡eso no es suficiente!

Aunque intentan dar una sensación de seguridad, me preocupa que en realidad no nos protejan contra la mayoría de las amenazas".

La cobertura incompleta está relacionada con la necesidad, o la percepción de la necesidad, de un mosaico de diversas soluciones:

Hay demasiadas partes móviles. Desde los sistemas y el software de desarrollo inicial reales, pasando por el proceso CICD, hasta la infraestructura de aplicaciones y los repositorios de datos, ... no encajan en un planteamiento de solución holística de la postura de seguridad.'

¿Cuáles son los resultados empresariales deseados por los directores de tecnología? Qué es lo que más importa a los CTO sobre la nube y la seguridad del código?

Hicimos estas dos preguntas para averiguar cuáles eran sus objetivos estratégicos y qué era lo más importante para alcanzarlos.

Resultados deseados

Los directores de tecnología clasificaron así los tres principales resultados estratégicos:

1. Proteger la reputación de la marca y la confianza de los clientes (47%)
2. Los datos sensibles están protegidos, lo que significa que no hay filtraciones (33%).
3. Estar cubierto para cumplir la normativa (20%)

¿Qué es lo más importante?

Y, para poner en práctica estos resultados deseados, lo que más importaba a los CTO eran estos (se permite elegir más de uno para esta pregunta):

1. Bajo mantenimiento (53%)
2. Fiabilidad / Ausencia de falsos positivos (40%)
3. Informes claros y eficaces (33%)

¿Notas lo mismo que nosotros? Son conclusiones similares a lo que aprendimos de la pregunta sobre los fallos actuales de las soluciones de seguridad.

¿Y los precios?

Sin embargo, la información clara y eficaz sustituye a los precios razonables en la lista anterior en comparación con los defectos aprendidos. Así, contradiciendo los comentarios y opciones sobre precio y presupuesto anteriores en la encuesta, sólo el 7% dio prioridad al precio en esta pregunta. ¿Qué puede significar esto?

Desentrañemos la perplejidad de los precios. Interpretamos que el precio es un reto y un obstáculo cuando el software de seguridad no cumple las expectativas. Pero, si la solución de seguridad es precisa, fácil de mantener, desmitifica la complejidad con informes sencillos y, a su vez, ayuda a alcanzar los objetivos superiores de proteger la reputación de la marca, generar confianza en los clientes y mantener los datos seguros al tiempo que se cumplen las normas de conformidad, el precio se convierte en un obstáculo menor y más fácil de justificar.

Las características más importantes a la hora de elegir un software de seguridad para la nube y el código

También preguntamos a los directores de tecnología de SaaS qué características técnicas son más importantes para ellos. Clasificaron cinco afirmaciones de la siguiente manera (puntuaciones sobre 4):

1. Detección de errores de configuración en la nube - 3,67 (el 33% lo clasificó en primer lugar)
2. Exploración de vulnerabilidades de código abierto - 3,53 (33% en primer lugar)
3. Detección de secretos (claves API, contraseñas, certificados, etc.) - 3,53 (más del 53% lo clasificó en segundo lugar)
4. Análisis estático de código mediante plataformas CI/CD - 2.93
5. Escaneado de licencias de código abierto - 1,33 (80% en último lugar)

¿Cuáles de estas funciones de seguridad son las más importantes para usted? ¿Hay otras que le gustaría ver en su solución de seguridad?

¿Quiere un producto que resuelva sus retos de seguridad en la nube y del código?

Por encima de todo, cuando se les preguntó qué les gustaría conseguir en el futuro, los directores de tecnología dieron la máxima puntuación a la siguiente afirmación:

'Quiero sentirme completamente a salvo de las amenazas a la seguridad de la nube y del código'.

Esto es música para nuestros oídos. Willem, nuestro director de tecnología, tenía exactamente ese problema en sus anteriores empresas. Ese problema le impulsó a crear la solución adecuada. Así que eso es precisamente lo que estamos construyendo con Aikido.

Nuestra solución reúne las mejores herramientas de seguridad de software de código abierto. Esto le permite cubrir todas las áreas relevantes. Aikido también le muestra qué problemas y vulnerabilidades son realmente importantes y cuáles debe resolver. Nada de falsos positivos.

Compruebe usted mismo cómo Aikido puede aliviar los retos de seguridad de la nube y del código de un CTO. Pruebe Aikido de forma gratuita o póngase en contacto con nosotros.