Un approccio di tipo DevSecOps è il più efficace per garantire la sicurezza informatica

Secondo un rapporto elaborato da Cisco AppDynamics, le soluzioni per la sicurezza informatica tendono a funzionare bene quando prese singolarmente, quando quindi proteggono specifici silos informativi, mentre non funzionano bene quando combinate. Lo sostengono i due terzi del campione usato per la ricerca, basato su 1.150 professionisti IT che lavorano in aziende con un fatturato superiore ai 500 milioni di dollari in 13 Paesi: Australia, Brasile, Canada, Colombia, Francia, Germania, India, Giappone, Messico, Emirati Arabi, Regno Unito e USA. 

Il timore principale, condiviso dal 78% dei rispondenti, è che la propria azienda sia vulnerabile a un attacco che potrebbe coinvolgere l’intero stack di applicazioni nei prossimi 12 mesi.

La collaborazione è il grande assente quando si parla di sicurezza informatica

Il principale problema evidenziato dalla ricerca di Cisco è la mancata collaborazione fra i team che si occupano di sicurezza cyber e chi invece sviluppa le applicazioni aziendali. Due mondi separati, che si parlano solamente quando emerge un problema di sicurezza ed è necessario collaborare per risolverlo. 

Un approccio che però è ben poco efficace, tanto che sempre più aziende stanno cambiando passo e guardando alle modalità di sviluppo DevSecOps, considerato dal 76% degli intervistati fondamentale per garantire una maggior sicurezza. Questo approccio, già adottato dal 43% dei rispondenti, implica che la sicurezza delle applicazioni e i test di conformità siano integrati nel ciclo di sviluppo. In pratica, i team di sviluppo e quelli di sicurezza dovrebbero lavorare congiuntamente allo sviluppo, e non come due entità separate come spesso accade.

Solo in questa maniera, secondo la ricerca, è possibile avere visibilità in tempo reale su tutto l'ambiente IT e quindi proteggere al meglio le applicazioni. La mancanza di visibilità, infatti, è uno dei principali problemi segnalati dai team IT: senza di questa, è impossibile capire quali risorse sono presenti e, soprattutto, quali di queste sono vulnerabili e richiedono l'applicazione di patch correttive. Non è però l'unico problema: i team di sicurezza faticano anche a dare la giusta priorità ai problemi da risolvere, complice anche il crescente volume di avvisi che ricevono dalle soluzioni per la cybersecurity. 

Adottando un approccio di tipo DevSecOps allo sviluppo, è possibile non sono rendere più sicure le applicazioni, ma anche accelerare e lo sviluppo delle applicazioni e, di conseguenza, dare una spinta all'innovazione in azienda. 

Un altro aspetto interessante che è emerso dall'analisi di Cisco è relativo alle competenze che dovrebbero avere i professionisti: da un lato chi si occupa di IT dovrebbe migliorare le proprio conoscenze sulla sicurezza cyber e dall'altro gli specialisti in cybersecurity dovrebbero maturare migliori conoscenze sullo sviluppo applicativo e sui fattori chiave che influenzano la realizzazione di applicazioni. 

Ripensare la propria organizzazione e puntare su DevSecOps non è però immediato né banale: ci sono infatti preoccupazioni relative ai costi e ai tempi necessari per passare a questo modello, anche se il vero scoglio è rappresentato dalla carenza di competenze. Un terzo degli intervistati indica che questo cambiamento è ostacolato dalla mancanza di budget o dall'assenza di supporto interno. Un quarto del campione, invece, ritiene che passare al DevSecOps rischi di rallentare i cicli di sviluppo del software.