Un approccio di tipo DevSecOps è il più efficace per garantire la sicurezza informatica
di Alberto Falchi pubblicata il 22 Febbraio 2023, alle 13:01 nel canale SecurityLa superfice di attacco aumenta con l'introduzione di cloud multiplo e ibrido e della diffusione dello smart working, ma le aziende non sono pronte a proteggersi. I team IT e di sicurezza sono mondi separati che non collaborano come dovrebbero. La soluzione, secondo Cisco, è adottare l'approccio DevSecOps
Secondo un rapporto elaborato da Cisco AppDynamics, le soluzioni per la sicurezza informatica tendono a funzionare bene quando prese singolarmente, quando quindi proteggono specifici silos informativi, mentre non funzionano bene quando combinate. Lo sostengono i due terzi del campione usato per la ricerca, basato su 1.150 professionisti IT che lavorano in aziende con un fatturato superiore ai 500 milioni di dollari in 13 Paesi: Australia, Brasile, Canada, Colombia, Francia, Germania, India, Giappone, Messico, Emirati Arabi, Regno Unito e USA.
Il timore principale, condiviso dal 78% dei rispondenti, è che la propria azienda sia vulnerabile a un attacco che potrebbe coinvolgere l’intero stack di applicazioni nei prossimi 12 mesi.
La collaborazione è il grande assente quando si parla di sicurezza informatica
Il principale problema evidenziato dalla ricerca di Cisco è la mancata collaborazione fra i team che si occupano di sicurezza cyber e chi invece sviluppa le applicazioni aziendali. Due mondi separati, che si parlano solamente quando emerge un problema di sicurezza ed è necessario collaborare per risolverlo.
Un approccio che però è ben poco efficace, tanto che sempre più aziende stanno cambiando passo e guardando alle modalità di sviluppo DevSecOps, considerato dal 76% degli intervistati fondamentale per garantire una maggior sicurezza. Questo approccio, già adottato dal 43% dei rispondenti, implica che la sicurezza delle applicazioni e i test di conformità siano integrati nel ciclo di sviluppo. In pratica, i team di sviluppo e quelli di sicurezza dovrebbero lavorare congiuntamente allo sviluppo, e non come due entità separate come spesso accade.
Solo in questa maniera, secondo la ricerca, è possibile avere visibilità in tempo reale su tutto l'ambiente IT e quindi proteggere al meglio le applicazioni. La mancanza di visibilità, infatti, è uno dei principali problemi segnalati dai team IT: senza di questa, è impossibile capire quali risorse sono presenti e, soprattutto, quali di queste sono vulnerabili e richiedono l'applicazione di patch correttive. Non è però l'unico problema: i team di sicurezza faticano anche a dare la giusta priorità ai problemi da risolvere, complice anche il crescente volume di avvisi che ricevono dalle soluzioni per la cybersecurity.
Adottando un approccio di tipo DevSecOps allo sviluppo, è possibile non sono rendere più sicure le applicazioni, ma anche accelerare e lo sviluppo delle applicazioni e, di conseguenza, dare una spinta all'innovazione in azienda.
Un altro aspetto interessante che è emerso dall'analisi di Cisco è relativo alle competenze che dovrebbero avere i professionisti: da un lato chi si occupa di IT dovrebbe migliorare le proprio conoscenze sulla sicurezza cyber e dall'altro gli specialisti in cybersecurity dovrebbero maturare migliori conoscenze sullo sviluppo applicativo e sui fattori chiave che influenzano la realizzazione di applicazioni.
Ripensare la propria organizzazione e puntare su DevSecOps non è però immediato né banale: ci sono infatti preoccupazioni relative ai costi e ai tempi necessari per passare a questo modello, anche se il vero scoglio è rappresentato dalla carenza di competenze. Un terzo degli intervistati indica che questo cambiamento è ostacolato dalla mancanza di budget o dall'assenza di supporto interno. Un quarto del campione, invece, ritiene che passare al DevSecOps rischi di rallentare i cicli di sviluppo del software.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoIn italia poi è pieno di realtà che sono rimaste a 20 anni fa e ne sono fiere
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".