Fastly, Inc., proveedor global de una plataforma cloud, ha publicado hoy un nuevo estudio en colaboración con Enterprise Strategy Group (ESG) que revela la necesidad de un enfoque unificado, moderno y simplificado de la seguridad. El estudio, basado en las opiniones de profesionales de la seguridad de la información y de las TI que representan a cientos de organizaciones de todo el mundo, ha revelado la preocupación por proteger adecuadamente el creciente número de servicios de misión crítica en la nube y de aplicaciones API-Centric. Ofertas obsoletas, falsos positivos o sistemas ineficaces de bloqueo son algunas de las principales causas que impulsan esta preocupación global.
A medida que las organizaciones de todo el mundo se enfrentan a la tarea de transformarse digitalmente, muchas de las herramientas y servicios tradicionales dejan de ser compatibles con las necesidades y arquitecturas modernas del mundo digitalizado. La mayor necesidad de flexibilidad, agilidad y velocidad sigue impulsando la evolución del desarrollo de aplicaciones y un mayor despliegue de arquitecturas basadas en microservicios. Sin embargo, muchas organizaciones no han actualizado sus herramientas de seguridad y siguen confiando en las herramientas tradicionales de aplicaciones web y APIs para proteger su negocio.
«Uno de los mayores retos de seguridad que vemos hoy en día es que las tecnologías están evolucionando rápidamente para servir mejor a la creciente demanda de experiencias digitales, pero las ofertas de seguridad que protegen esas tecnologías no están experimentando el mismo nivel de transformación – y a menudo erosionan los beneficios los modernos stacks tecnológicos», explica Kelly Shortridge, Senior Principal Technologist de Fastly. «Las herramientas de seguridad deberían impulsar la innovación, apoyar activamente la resiliencia de los servicios y minimizar la interrupción de los flujos de trabajo de entrega de software, en lugar de ralentizar los ciclos de desarrollo y producir datos inconexos, inoperantes o irrelevantes.»
La investigación del estudio concluye:
- Por término medio, las organizaciones utilizan 11 herramientas de seguridad para aplicaciones web y API y gastan cerca de 3 millones de dólares al año. La seguridad es cada vez más compleja y costosa, ya que las organizaciones deben proteger las arquitecturas tradicionales, además de las nuevas y los entornos en la nube.
- Las herramientas de seguridad tradicionales son ineficaces e impiden el crecimiento del negocio. Las herramientas de seguridad actuales suelen bloquear el tráfico inofensivo, lo que repercute en los resultados de la organización. Como resultado, el 91% de las organizaciones ejecutan las herramientas en modo de registro o monitorización, o las apagan por completo.
- Casi la mitad de las alertas de seguridad son falsos positivos. Los falsos positivos suelen causar un tiempo de inactividad similar al de los ataques reales, lo que sugiere que las herramientas de seguridad actuales están causando más problemas de los que resuelven.
- Más de la mitad de las organizaciones creen que la mayoría o todas sus aplicaciones utilizarán APIs en los próximos dos años. A pesar del aumento previsto en la implementación de las API, la mitad de las organizaciones declararon que la seguridad de las aplicaciones web y de las APIs es más difícil que hace dos años e indicaron que tienen dificultades para mantener una seguridad adecuada en las nuevas arquitecturas de aplicaciones. La causa de estas dificultades es el cambio a la nube pública y a las aplicaciones API-Centric, sin una solución de seguridad moderna que soporte estas innovaciones.
- «La responsabilidad de proteger los activos, los datos y los usuarios de la empresa frente a las ciberamenazas ya no recae únicamente en la organización de seguridad, aunque el panorama de las amenazas sea cada vez más complejo. La seguridad de las aplicaciones, en particular, es un deporte de equipo que requiere la aportación y la colaboración interfuncional de muchas partes de una organización», afirma John Grady, analista principal de ESG. “Como resultado, los profesionales de la seguridad se han frustrado con la naturaleza compleja y aislada de las soluciones tradicionales de seguridad de aplicaciones que no logran abordar estos problemas. Las empresas modernas requieren herramientas y enfoques uniformes que puedan minimizar las vulnerabilidades entre su infraestructura de nube pública, la arquitectura basada en microservicios y las aplicaciones heredadas, al tiempo que soportan una variedad de personas.”
Metodología
Para realizar este informe, ESG llevó a cabo una exhaustiva encuesta en línea a profesionales de seguridad de la información y de TI con conocimiento de las prácticas de desarrollo de aplicaciones de su organización e involucrados en los procesos de compra de seguridad (61%). La encuesta también incluyó a desarrolladores, ingenieros y líderes de DevOps que construyen y entregan aplicaciones para su organización (39%). Los encuestados se distribuyeron en Norteamérica (41%), Europa (30%) y Asia Pacífico y Japón (29%). Los encuestados trabajaban en organizaciones con 10 o más empleados.
En concreto, el 10% trabajaba en organizaciones pequeñas (es decir, con 10 a 499 empleados), el 15% en organizaciones medianas (es decir, con 500 a 999 empleados) y el 75% en empresas (es decir, organizaciones con 1.000 o más empleados). Los encuestados representaban numerosos segmentos de la industria y de la administración, y la mayor participación procedía de la industria manufacturera (23%), los servicios financieros (14%), el comercio minorista/mayorista (14%), la tecnología (11%), la sanidad (8%) y las comunicaciones (8%). La encuesta se realizó entre el 17 de marzo de 2021 y el 31 de marzo de 2021.
