News

DevSecOps: approccio necessario, ma serve maturità

Secondo il report globale di Dynatrace, lo sviluppo cloud-native complica i processi di governance e controllo per garantire la sicurezza delle applicazioni. Il DevSecOps può essere una soluzione, ma occorrono strumenti per automatizzare le attività e maggiore consapevolezza da parte delle aziende

Pubblicato il 16 Mag 2023

devsecops cyber security

Garantire la sicurezza delle applicazioni sta diventando un’impresa sempre più difficile, data la crescente complessità degli ecosistemi multicloud e il ricorso a processi manuali che inevitabilmente permettono alle vulnerabilità di propagarsi negli ambienti di produzione. Così può essere sintetizzato il messaggio generale che emerge dalla ricerca Dynatrace, condotta su un campione globale di 1.300 Chief Information Security Officer (CISO), all’’interno di organizzazioni con oltre mille dipendenti.

Il DevSecOps, ovvero l’approccio che prevede l’integrazione della sicurezza dall’inizio dello sviluppo e per tutto il ciclo di vita dell’applicazione, stenta a decollare. Come evidenzia il rapporto, tra le cause ci sarebbero sia una mancanza di cultura all’interno delle organizzazioni sia l’utilizzo di strumenti non integrati per le attività di development, delivery e security, che vanifica lo sforzo di collaborazione tra i diversi team.

Le nuove sfide nella gestione delle vulnerabilità

Scendendo nel dettaglio dei risultati e ristringendo il campo alla sola Italia, l’80% dei CISO (contro la media internazionale del 68%) ritiene più difficile gestire le vulnerabilità, visto il proliferare di ambienti cloud complessi e pipeline applicative più sofisticate.

Come dichiara il 73% degli intervistati italiani, la prevalenza di silos, sia nell’organizzazione dei team sia per la mancata integrazione delle tecnologie, aumenta il rischio che le vulnerabilità arrivino in produzione.

Solo il 34% del campione nazionale ritiene che il software fornito dai team di sviluppo sia stato completamente testato per le vulnerabilità prima della messa in produzione. Le statistiche su scala globale invece si attestano al 50%.

Un aspetto rilevante riguarda le criticità riscontrate nel classificare correttamente le vulnerabilità: secondo il 75% dei CISO italiani (il dato internazionale corrisponde al 77%), identificare le priorità di intervento è difficile perché mancano le informazioni sul rischio che un bug comporta per il proprio ambiente. Ad esempio, le vulnerabilità che gli scanner segnalano come “critiche” in fase di sviluppo si rivelano trascurabili in produzione: ciò avviene nel 54% dei casi in Italia e nel 58% secondo le statistiche globali.

Concentrarsi su vulnerabilità non rilevanti è una perdita di tempo, che sottrae ore preziose agli interventi più urgenti, aumentando i rischi. Ciò risulta ancora più grave se guardato alla luce di un altro dato statistico: in Italia, le attività di vulnerability management impegnano i team di sviluppo e sicurezza per un quarto del tempo (circa 10 ore a settimana per ogni membro).

Il DevSecOps come chiave di volta

Gli stack tecnologici cloud-native rappresentano la chiave dell’innovazione aziendale, tuttavia complicano i processi di governance e i controlli di sicurezza, che diventano impossibili senza adeguati strumenti di automazione.

Implementare un approccio DevSecOps è la chiave di volta per uscire dall’impasse, ma le prospettive non sono rosee. I CISO, soprattutto all’estero, sono consapevoli della necessità di cambiare approccio: il 67% del campione nazionale e l’81% a livello globale ritengono che exploit di vulnerabilità aumenteranno in assenza di una metodologia DevSecOps radicata nell’organizzazione. Eppure soltanto il 14% delle organizzazioni italiane e il 12% su scala internazionale ha una cultura DevSecOps sufficientemente matura per affrontare la sfida.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Round table
Keynote
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4