Los 15 principales desafíos de seguridad en la nube y el código revelados por los CTOs

Hemos consultado con 15 CTOs de SaaS sobre sus desafíos y preocupaciones en seguridad de la nube y del código. ¿Por qué?

• Todos los CTOs de SaaS se enfrentan a desafíos al asegurar sus productos. Queríamos encontrar esas tendencias y descubrir sus necesidades y preocupaciones.
• La investigación de clientes es esencial para el éxito de cualquier startup, ¡y Aikido no es una excepción! De hecho, nos encanta saber lo que los clientes tienen que decir.
• Desde el principio, nos hemos centrado en diseñar y evolucionar nuestras herramientas de seguridad basándonos en lo que es más importante para nuestros clientes.

En Aikido, creemos en el intercambio abierto de conocimientos, por lo que ahora es el momento de compartir lo que nuestras consultas han descubierto y revelado.

Acerca de nuestra consultoría de seguridad de código y en la nube

Los CTOs que consultamos provienen de startups de software cloud-native con entre 51 y 500 empleados. Nos centramos en estos temas de seguridad en la nube y del código:

• la prioridad que puede recibir la prevención de amenazas
• obstáculos para la prevención de amenazas
• sus niveles de satisfacción con las soluciones actuales
• qué otras soluciones han utilizado y sus carencias
• desafíos a los que se enfrentan
• sus requisitos y resultados deseados
• características que valoran, y
• lo que quieren lograr en el futuro.

¿Qué importancia tiene para usted prevenir las amenazas de seguridad en la nube y el código?

Comencemos con el nivel de prioridad que los CTOs otorgan a la prevención de amenazas de seguridad. Nuestra evidencia muestra que los CTOs dan un alto nivel de prioridad a la prevención de amenazas. La calificación promedio es de 8.27 (sobre 10). El 93% de los CTOs clasificaron la importancia de la prevención de amenazas con un 7 o más. El 8 fue la respuesta más popular, y el 10 fue la segunda opción más alta.

¿Qué obstaculiza la prevención eficaz de las amenazas de seguridad en la nube y en el código?

Por mucho que a los CTO les gustaría prevenir las amenazas de seguridad en la nube y el código, algunos factores bloqueantes crean obstáculos para el éxito. Los tres principales factores bloqueantes fueron las prioridades contrapuestas, el presupuesto y la complejidad.

Prioridades contrapuestas

La respuesta principal: prioridades contrapuestas (40%). ¿Qué significa esto en relación con los desafíos de seguridad? Aunque los CTOs consideran la seguridad como una alta prioridad, existen otras preocupaciones igualmente o potencialmente más importantes dentro de una empresa. Por ejemplo, la carrera por lanzar nuevas funcionalidades frente a los problemas de seguridad asociados a ellas es el equilibrio de la ciberseguridad.

Dado que la seguridad suele ser una buena inversión a largo plazo, pero tiene menos impacto en el día a día, es fácil despriorizar el trabajo.

Restricciones presupuestarias

El segundo obstáculo fueron las restricciones presupuestarias (33%). El principal desafío reside en demostrar el ROI que las medidas de seguridad aportan al negocio. O, como lo expresa un CTO, 'Justificar la inversión en seguridad en la nube'. Esto también puede relacionarse con la despriorización diaria mencionada anteriormente.

Complejidad

La complejidad se lleva el bronce (27%). El problema aquí es la gran cantidad de amenazas potenciales. Priorizarlas se vuelve una tarea pesada y desafiante. Esto puede ser abrumador y, en consecuencia, es fácil perder de vista las mayores amenazas.

¿Qué tan satisfecho estás con tus soluciones actuales para prevenir amenazas de seguridad en el código y en la nube?

Calificación D. La calificación promedio es de 6.4 y un tercio de los CTOs calificaron su satisfacción con las soluciones actuales en 5 o menos. Solo el 20% estaba muy satisfecho con un 8 o 9, mientras que el 0% reportó un 10 perfecto. La clave aquí es comparar esto con el nivel de prioridad mucho más alto que otorgan a la prevención de amenazas. Encontramos una brecha notable y preocupante entre la importancia y la satisfacción.

¿Qué otras soluciones de seguridad utiliza y cuáles son sus deficiencias?

Las soluciones de seguridad actuales incluyen una amplia gama de lo que está disponible en el mercado. Los CTOs mencionaron 11 productos; SonarQube fue el más utilizado (33%). Más allá de eso, no más del 13% de los CTOs utilizaban los mismos productos en el momento de nuestra encuesta.

Precios y modelos de precios

El 40% de los CTOs indicaron que el mayor defecto se refiere a los precios elevados y los modelos de precios. Un CTO informa de un precio astronómicamente alto, 'pagando hoy por software del orden de seis cifras'. Otro cuestiona la viabilidad a largo plazo de los precios por línea: 'Los modelos de precios que siguen el número de líneas de código son motivo de preocupación para el futuro'.

Falsos positivos

El 33% marcó falsos positivos: alertas que identifican erróneamente una vulnerabilidad o actividad maliciosa. Todos podemos identificarnos con las frustraciones aquí: la fatiga de alertas y los recursos desperdiciados que resultan de los falsos positivos.

Más fallos en las soluciones actuales

Otros defectos incluyen desafíos en la evaluación de riesgos, una configuración y mantenimiento complejos, la falta de ajuste con el stack tecnológico y una protección limitada.

Un CTO señala las frustraciones en torno a la necesidad de emplear múltiples soluciones de seguridad:

No conozco ninguna solución que cubra múltiples escenarios, lo que significa que mi expectativa como CTO sería que el SaaS que usamos actualmente para escaneos de seguridad automatizados de nuestra base de código seguramente no será la misma que una solución que asegure el cumplimiento con uno de nuestros proveedores de la nube.

¿Qué aprendemos de lo que piensan los CTOs sobre los fallos actuales en el software de seguridad?

Esta es la conclusión principal. Los CTO buscan una solución integral de software de seguridad para la nube y el código, que incluya:

• Precios razonables
• una ausencia de falsos positivos
• una configuración sencilla, y
• mantenimiento sin complicaciones.

¿Cuáles son los mayores desafíos en la seguridad del código y la nube?

Los principales desafíos actuales para los CTOs de SaaS son la oposición dentro de la empresa, demasiada información que gestionar, las amenazas en evolución y la complejidad de tener una cobertura completa.

Oposición interna

El 40% afirmó que el principal desafío es interno: la falta de concienciación u otras prioridades implican recursos limitados. Esto verifica sus dos principales obstáculos para la prevención de amenazas mencionados anteriormente (prioridades y presupuesto).

El mayor desafío es cambiar la mentalidad organizacional y hacerles entender que la seguridad es una característica y que debemos invertir continuamente en ella.

La gestión del cambio es notoriamente difícil. Y concienciar para realizar cambios significativos en la actitud y la estrategia puede ser un desafío aún mayor.

Demasiado ruido

La sobrecarga de información es una realidad. El 27% de los CTOs informan que la gestión del ruido es el siguiente mayor desafío. No es fácil entender qué amenazas priorizar o explorar, ni cómo abordarlas. De nuevo, si hay falsos positivos en la mezcla, puede haber callejones sin salida, ineficiencias y trabajo mal dirigido.

Parece haber datos ilimitados en los logs, pero no hay forma de gestionar lo que todos significan y por quién y cómo deben abordarse.

Evolución, cobertura y complejidad de las amenazas

La evolución, cobertura y complejidad de las amenazas se clasificaron como desafíos de menor nivel. Sin embargo, aún confirman algunos de los bloqueadores y fallos identificados anteriormente en la encuesta.

Las amenazas de seguridad no son estáticas: evolucionan y tienden a ir un paso por delante de las soluciones de seguridad. Esto significa que tus vulnerabilidades también están evolucionando, y a veces puede parecer un juego de whack-a-mole.

‘Los atacantes son cada vez más sofisticados en sus métodos, y se descubren nuevas vulnerabilidades de forma regular.’

Los CTOs señalaron además desafíos para confirmar algunas de las fallas identificadas con sus soluciones actuales. Informan de una cobertura incompleta, lo que crea una falsa sensación de seguridad. Y en el negocio de la seguridad, ¡eso simplemente no es suficiente!

Aunque intentan proporcionar una sensación de seguridad, me preocupa que en realidad no nos estén protegiendo contra la mayoría de las amenazas.

La cobertura incompleta está ligada a la necesidad, o percepción de necesidad, de un mosaico de soluciones diversas:

Hay demasiados elementos en movimiento. Desde los sistemas y software de desarrollo iniciales, el proceso CICD hasta la infraestructura de la aplicación y los repositorios de datos, … no encajan en un enfoque de solución de postura de seguridad holística.

¿Cuáles son los resultados de negocio deseados por los CTOs? ¿Qué es lo más importante para los CTOs en relación con la seguridad del código y la nube?

Hicimos estas dos preguntas para averiguar cuáles eran sus objetivos estratégicos y qué es lo más importante para lograrlos.

Resultados deseados

Los CTOs clasificaron los tres principales resultados estratégicos de la siguiente manera:

1. Protegiendo la reputación de la marca y la confianza del cliente (47%)
2. Los datos sensibles están protegidos, lo que significa que no hay filtraciones de datos (33%)
3. Estar cubierto para el cumplimiento normativo (20%)

¿Qué es lo más importante?

Y, para implementar estos resultados deseados, lo que más importaba a los CTOs era lo siguiente (se permitía elegir más de una opción para esta pregunta):

1. Bajo mantenimiento (53%)
2. Fiabilidad / Sin falsos positivos (40%)
3. Informes claros y efectivos (33%)

¿Nota lo que nosotros notamos? Estas son conclusiones similares a las que obtuvimos de la pregunta sobre las fallas de las soluciones de seguridad actuales.

¿Pero qué hay del precio?

Sin embargo, la elaboración de informes claros y eficaces reemplaza la importancia de un precio razonable en la lista anterior, en contraste con las lecciones aprendidas sobre los fallos. Así, contradiciendo los comentarios y las elecciones sobre precio y presupuesto anteriores en la encuesta, solo el 7% priorizó el precio en esta pregunta. ¿Qué podría significar esto?

Desgranemos la complejidad de los precios. Interpretamos que esto significa que el precio es un desafío y un obstáculo cuando el software de seguridad no cumple con las expectativas. Pero, si la solución de seguridad es precisa, fácil de mantener, desmitifica la complejidad con informes claros y, a su vez, ayuda a lograr los objetivos superiores de proteger la reputación de la marca, generar confianza en el cliente y mantener los datos seguros mientras se cumplen los estándares de cumplimiento, el precio se convierte en un obstáculo menor y más fácil de justificar.

Las características más importantes al elegir software de seguridad para la nube y el código

También preguntamos a los CTOs de SaaS qué características técnicas eran las más importantes para ellos. Clasificaron cinco afirmaciones de la siguiente manera (puntuaciones sobre 4):

1. Detección de configuraciones incorrectas en la nube - 3.67 (33% lo clasificó en primer lugar)
2. Escaneo de vulnerabilidades de código abierto - 3.53 (el 33% lo clasificó en primer lugar)
3. Detección de secretos (claves API, contraseñas, certificados, etc.) - 3.53 (más del 53% lo clasificó en segundo lugar)
4. Análisis estático de código a través de plataformas CI/CD - 2.93
5. Escaneo de licencias de código abierto - 1.33 (el 80% lo clasificó en último lugar)

¿Cuáles de estas características de seguridad son las más importantes para usted? ¿Hay otras que le gustaría ver en su solución de seguridad?

¿Quieres un producto que resuelva tus desafíos de seguridad en la nube y el código?

Sobre todo, cuando se les preguntó qué les gustaría lograr en el futuro, los CTOs clasificaron la siguiente afirmación como la más alta:

Quiero sentirme completamente seguro frente a las amenazas de seguridad en la nube y en el código.

Esto es música para nuestros oídos. Willem, nuestro CTO, se enfrentó precisamente a eso en sus empresas anteriores. Ese problema le impulsó a crear la solución adecuada. Y eso es precisamente lo que estamos construyendo con Aikido.

Nuestra solución reúne las mejores herramientas de seguridad de software de código abierto. Esto le permite cubrir todas las áreas relevantes. Aikido también le muestra qué problemas y vulnerabilidades son realmente importantes y cuáles debería resolver. ¡Aquí no hay falsos positivos!

Comprueba por ti mismo cómo Aikido puede aliviar los desafíos de seguridad en la nube y el código de un CTO. Realiza una prueba gratuita de Aikido o ponte en contacto con nosotros.