CiscoCloud Security

Un approccio di tipo DevSecOps è il più efficace per garantire la sicurezza informatica

di pubblicata il , alle 13:01 nel canale Security Un approccio di tipo DevSecOps è il più efficace per garantire la sicurezza informatica

La superfice di attacco aumenta con l'introduzione di cloud multiplo e ibrido e della diffusione dello smart working, ma le aziende non sono pronte a proteggersi. I team IT e di sicurezza sono mondi separati che non collaborano come dovrebbero. La soluzione, secondo Cisco, è adottare l'approccio DevSecOps

 

Secondo un rapporto elaborato da Cisco AppDynamics, le soluzioni per la sicurezza informatica tendono a funzionare bene quando prese singolarmente, quando quindi proteggono specifici silos informativi, mentre non funzionano bene quando combinate. Lo sostengono i due terzi del campione usato per la ricerca, basato su 1.150 professionisti IT che lavorano in aziende con un fatturato superiore ai 500 milioni di dollari in 13 Paesi: Australia, Brasile, Canada, Colombia, Francia, Germania, India, Giappone, Messico, Emirati Arabi, Regno Unito e USA. 

Cisco DevSecOps

Il timore principale, condiviso dal 78% dei rispondenti, è che la propria azienda sia vulnerabile a un attacco che potrebbe coinvolgere l’intero stack di applicazioni nei prossimi 12 mesi.

La collaborazione è il grande assente quando si parla di sicurezza informatica

Il principale problema evidenziato dalla ricerca di Cisco è la mancata collaborazione fra i team che si occupano di sicurezza cyber e chi invece sviluppa le applicazioni aziendali. Due mondi separati, che si parlano solamente quando emerge un problema di sicurezza ed è necessario collaborare per risolverlo. 

Un approccio che però è ben poco efficace, tanto che sempre più aziende stanno cambiando passo e guardando alle modalità di sviluppo DevSecOps, considerato dal 76% degli intervistati fondamentale per garantire una maggior sicurezza. Questo approccio, già adottato dal 43% dei rispondenti, implica che la sicurezza delle applicazioni e i test di conformità siano integrati nel ciclo di sviluppo. In pratica, i team di sviluppo e quelli di sicurezza dovrebbero lavorare congiuntamente allo sviluppo, e non come due entità separate come spesso accade.

Cisco DevSecOps

Solo in questa maniera, secondo la ricerca, è possibile avere visibilità in tempo reale su tutto l'ambiente IT e quindi proteggere al meglio le applicazioni. La mancanza di visibilità, infatti, è uno dei principali problemi segnalati dai team IT: senza di questa, è impossibile capire quali risorse sono presenti e, soprattutto, quali di queste sono vulnerabili e richiedono l'applicazione di patch correttive. Non è però l'unico problema: i team di sicurezza faticano anche a dare la giusta priorità ai problemi da risolvere, complice anche il crescente volume di avvisi che ricevono dalle soluzioni per la cybersecurity. 

Adottando un approccio di tipo DevSecOps allo sviluppo, è possibile non sono rendere più sicure le applicazioni, ma anche accelerare e lo sviluppo delle applicazioni e, di conseguenza, dare una spinta all'innovazione in azienda. 

Cisco DevSecOps

Un altro aspetto interessante che è emerso dall'analisi di Cisco è relativo alle competenze che dovrebbero avere i professionisti: da un lato chi si occupa di IT dovrebbe migliorare le proprio conoscenze sulla sicurezza cyber e dall'altro gli specialisti in cybersecurity dovrebbero maturare migliori conoscenze sullo sviluppo applicativo e sui fattori chiave che influenzano la realizzazione di applicazioni. 

Ripensare la propria organizzazione e puntare su DevSecOps non è però immediato né banale: ci sono infatti preoccupazioni relative ai costi e ai tempi necessari per passare a questo modello, anche se il vero scoglio è rappresentato dalla carenza di competenze. Un terzo degli intervistati indica che questo cambiamento è ostacolato dalla mancanza di budget o dall'assenza di supporto interno. Un quarto del campione, invece, ritiene che passare al DevSecOps rischi di rallentare i cicli di sviluppo del software. 

1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
WarSide22 Febbraio 2023, 18:00 #1
Ci sono una marea di dev che non sanno neanche cosa sia DevOps (e molti si rifiutano categoricamente di voler imparare qualcosa per gestire la parte di deploy), figuriamoci pensare anche alla security.
In italia poi è pieno di realtà che sono rimaste a 20 anni fa e ne sono fiere

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^