¿Sabía que el 72 % de las organizaciones de todo el mundo trasladaron el 30 % o más de sus cargas de trabajo a la nube en los últimos 12 meses? Más impresionante aún, una cuarta parte de estas organizaciones movieron más del 50 % de sus cargas de trabajo. Como muestra la encuesta de seguridad nativa de la nube de 2023 de Palo Alto Networks, la vida realmente se mueve rápido en la nube.
El cambio también tiene un ciclo rápido, particularmente con el desarrollo de aplicaciones nativas de la nube, donde todo, desde las direcciones IP hasta los contenedores, es efímero. Cada año nos lleva al borde de un nuevo horizonte, y cada año Palo Alto Networks busca líderes para preguntarles sobre sus desafíos, así como las estrategias y soluciones que emplean para lograr sus resultados de seguridad nativa de la nube.
Informe sobre el estado de la seguridad nativa en la nube de 2023
Como en años anteriores, el Informe sobre el estado de la seguridad nativa en la nube de 2023 de Palo Alto Networks explora los hallazgos de una encuesta que abarca siete países y cinco sectores de la industria para indagar sobre las prácticas que afectan el desarrollo y la seguridad nativos de la nube. De los hallazgos de 2023, surgen dos temas:
- El ciclo de vida de la aplicación se mueve más rápido de lo que hubiéramos imaginado hace 12 meses.
- La complejidad en una amalgama de desafíos es la máxima amenaza para proteger los entornos de nube.
Tendencias de migración a la nube
Como se mencionó, las cargas de trabajo se movieron rápidamente en 2023. En general, los encuestados informaron un aumento del 13 % con respecto al año pasado. Tradicionalmente, el costo y la velocidad han sido el catalizador que atrae a las organizaciones a la nube. Después de todo, el costo y la velocidad a la que una empresa puede convertir una idea en un producto son parte integral del éxito.
Sin embargo, según la encuesta de este año, el costo no figura en la lista de los principales objetivos detrás de la migración a la nube. El costo, de hecho, fue un valor atípico, con solo el 8,5 % de las organizaciones citando "reducir/optimizar costos" para continuar expandiendo su nube.
En 2023, las organizaciones están principalmente interesadas en crear productos y servicios nuevos y expandir los existentes. Le sigue de cerca el aumento de la eficiencia y la agilidad. Las razones restantes por las que las organizaciones están migrando a la nube en orden de clasificación son:
3. Crear nuevos procesos y flujos de trabajo
4. Mitigación del riesgo comercial y regulatorio
5. Expansión a nuevos mercados
En promedio, las organizaciones gastan el 24 % de su costo total de propiedad en la migración de aplicaciones. Al desglosar la metodología para la implementación de aplicaciones se evidencia que el 37% es nativo de la nube, 36% lift and shift y 27% reconstruir. Esta es la primera vez que la nube nativa está a la vanguardia del desarrollo de aplicaciones.
La plataforma como servicio (PaaS) y serverless son los entornos de ejecución de aplicaciones dominantes. También se espera que tanto PaaS como serverless experimenten un crecimiento, ya que el 70 % de los encuestados informaron aumentos de uso planificados en los próximos 24 meses.
Velocidad de las aplicaciones
La nube, sin duda, mejora el tiempo de comercialización, la innovación y la eficiencia operativa. Para los desarrolladores deseosos de adoptar DevOps, migrar a la nube es una oportunidad para acelerar el ciclo de vida del desarrollo de aplicaciones. La encuesta de este año revela cuán ágiles y operativamente eficientes pueden ser las aplicaciones nativas de la nube.
El setenta y siete por ciento de las organizaciones encuestadas están implementando código nuevo o actualizándolo en producción semanalmente. Así de rápido, el 38 % de las empresas envía código nuevo a diario y el 17 % implementa código varias veces al día.
Pero el despliegue frecuente requiere tiempos de respuesta rápidos. Un tercio de las empresas informan que operan con objetivos de nivel de servicio interno de menos de un día de anticipación para los cambios. El treinta y ocho por ciento de las organizaciones esperan la restauración del servicio en un día. Sin embargo, aquí está la trampa. El sesenta y ocho por ciento de los encuestados informa una mayor frecuencia de implementación, mientras que el 64 % también informa un mayor tiempo de preparación para los cambios.
Debido a que la frecuencia de implementación y el tiempo de espera para los cambios miden la velocidad, nos quedan dos preguntas para considerar:
- Si las organizaciones no logran o mantienen los objetivos de rendimiento de velocidad, ¿indica esto una ineficiencia en los procesos de DevOps?
- ¿Los aumentos en la frecuencia de implementación y el tiempo de espera para los cambios sugieren que los profesionales de seguridad están luchando para mantener el ritmo y la presión está cobrando su precio?
La velocidad y la escala impulsan la complejidad. Cuando superponemos la proporción de 10 desarrolladores por un profesional de seguridad, además de las tasas de implementación de código, podemos medir el potencial de descuidos y complicaciones.
Principales desafíos con la expansión de la nube
Si bien el 60 % de las empresas ha estado operando en un entorno de nube durante tres años o más, la complejidad sigue siendo un problema. La mayoría de las organizaciones atribuyen la complejidad técnica al impedimento de su capacidad para aprovechar todas las ventajas de la nube. Probablemente no ayude que la infraestructura de la nube siga evolucionando para el 80 % de los encuestados.
Cuando se les preguntó acerca de sus principales desafíos de migración a la nube, el 42 % de las organizaciones mencionaron la complejidad técnica (definida en la encuesta como limitaciones de infraestructura, dependencias del sistema, etc.).
Curiosamente, los siguientes cuatro desafíos, según la clasificación de los encuestados, se derivan de la complejidad técnica.
2. Falta de talento o servicios de consultoría: los entornos complejos requieren altos niveles de talento y capacidad de adaptación a la tecnología cambiante.
3. Mantenimiento de la seguridad integral: los entornos complejos son difíciles de proteger.
4. Falta de visibilidad entre servicios y proveedores: la visibilidad completa en todo el ciclo de vida de la aplicación es difícil en entornos complejos.
5. Satisfacción de los requisitos de cumplimiento: los entornos complejos plantean mayores desafíos tanto para mantener el cumplimiento como para informar sobre él.
Implicaciones para los equipos de seguridad
La aceleración de la velocidad de las aplicaciones tiene a los equipos de seguridad atrapados entre seguir respondiendo a los equipos de aplicaciones y proteger un entorno de nube cada vez más complejo en varias capas de la pila de la nube, incluida la infraestructura, las redes, las máquinas virtuales, los contenedores, las funciones serverless, los datos, las API, las aplicaciones web, el código y las librerías de código abierto. Sin programas óptimos en su lugar, la hazaña es considerable.
A medida que evolucionan las tecnologías nativas de la nube y los componentes de las aplicaciones, los equipos de seguridad deben implementar tecnologías y procesos que les permitan mitigar los riesgos y seguir el ritmo de los ciclos de desarrollo de aplicaciones más rápidos. Sin embargo, a menudo, la seguridad no está adecuadamente integrada en los flujos de trabajo de DevOps, ni los desarrolladores y profesionales de la seguridad están necesariamente equipados con herramientas óptimas.
A medida que teorizamos sobre los posibles niveles de estrés experimentados por los profesionales de la seguridad, nuestra encuesta confirma la rotación de talentos, con el 72% de las organizaciones reportando una tasa de rotación más alta de lo habitual en los roles de seguridad en la nube. Esta estadística está respaldada por un estudio de Gartner publicado días antes al reporte de Palo Alto.
Desafíos con la seguridad integral
Al observar los cinco principales desafíos involucrados en brindar seguridad integral, según lo identificado por los encuestados, comenzamos a ver detalles que se unen para brindar definición tanto a los desafíos como a las áreas que hemos discutido.
Equipos y ciclos de desarrollo
Dada la difícil situación de los profesionales de la seguridad de hoy en día, los 2 principales desafíos (administrar la seguridad holística en todos los equipos e incorporar la seguridad en todo el ciclo de vida del desarrollo nativo de la nube) no sorprenden.
En ausencia de las herramientas adecuadas, los ciclos de lanzamiento rápido dejan poco espacio para las revisiones de seguridad y obligan a las organizaciones a asumir riesgos evitables. Teóricamente, las organizaciones entienden que la prevención de vulnerabilidades (en el origen, antes del deployment) requiere equipos alineados, además de productos de seguridad que brinden valor a todos los que contribuyen al ciclo de vida del desarrollo de aplicaciones. Sin embargo, la realidad de integrar la seguridad en DevOps sigue siendo un cambio cultural desafiante
Capacitación en seguridad
El setenta y ocho por ciento de los encuestados dicen que sus equipos individuales son responsables de diseñar e implementar políticas y procedimientos de seguridad en la nube. Para ser justos, el 81% dice que entiende su responsabilidad de brindar seguridad a lo largo del ciclo de vida del desarrollo.
Pero, si bien las organizaciones han distribuido la responsabilidad de las políticas de seguridad en la nube entre los equipos, el 47 % de los encuestados dice que la mayoría de su fuerza laboral no comprende sus responsabilidades de seguridad.
No podemos subestimar una curva de aprendizaje en constante cambio. El desarrollo de aplicaciones nativas de la nube ha creado la necesidad de proteger exponencialmente más activos de la nube en código, cargas de trabajo, identidades, datos, etc., así como en distintos entornos de ejecución. El uso de herramientas de múltiples puntos para abordar cada entorno presenta el desafío de garantizar que el personal sea competente con las herramientas.
Visibilidad de las vulnerabilidades de seguridad
El uso excesivo de herramientas conduce a un entorno de nube demasiado complejo, y no siempre es una forma efectiva de garantizar resultados de seguridad sólidos. El setenta y seis por ciento de las organizaciones informan que la cantidad de herramientas puntuales que utilizan crea puntos ciegos.
Los datos también muestran que los equipos de seguridad buscan una plataforma integrada que brinde visibilidad casi en tiempo real en todo su ecosistema. Específicamente, el 81 % de los encuestados dice que se beneficiaría de una solución de seguridad centralizada que se asiente en todas sus cuentas y servicios en la nube. Además, el 78 % de los encuestados cree que la seguridad en la nube necesita una mayor visibilidad inmediata y un filtrado de priorización de riesgos con un aprendizaje mínimo.
Identificación de las herramientas de seguridad adecuadas
Sabemos que surgen complicaciones cuando las organizaciones adoptan herramientas según el caso de uso, pero para muchas organizaciones, así es como siempre se ha hecho. El statu quo puede explicar la insatisfacción general con las herramientas actuales, como se ve en varios puntos de datos. Más interesante aún, podría explicar por qué el 77% de las organizaciones dicen que tienen dificultades para identificar qué herramientas de seguridad se necesitan para lograr sus objetivos.
En última instancia, las soluciones de seguridad en la nube deben cumplir con las organizaciones en el lugar en el que se encuentran en su viaje a la nube. Para ser eficaces, las soluciones de seguridad deben satisfacer las necesidades y prioridades únicas de cada organización.
Principales incidentes en seguridad en la nube
De los incidentes de seguridad más generalizados en los últimos 12 meses, más encuestados informaron haber experimentado un riesgo introducido al principio del desarrollo de la aplicación que cualquier otro evento. Las imágenes de cargas de trabajo con vulnerabilidades siguieron de cerca, al igual que las aplicaciones web y las API vulnerables.
El treinta y dos por ciento de los encuestados informa que la falta de visibilidad de las vulnerabilidades en los recursos de la nube condujo a un incidente de seguridad. Debido a que las vulnerabilidades no abordadas pueden explotarse en producción, es imperativo detectarlas y remediarlas al principio del ciclo de vida de desarrollo de la aplicación. Desafortunadamente, el 90 % de las organizaciones nos dicen que no pueden detectar, contener y resolver una ciberamenaza en una hora.
Cualquier retraso en la detección de actividad maliciosa es costoso, como saben la mayoría de las organizaciones. Una hora puede ser todo lo que un mal actor necesita para infiltrarse en una red, explorar el entorno y obtener acceso a recursos valiosos. Quizás el atacante aumente sus privilegios y progrese a diferentes sistemas para alterar, extraer o destruir datos. Bajo el manto de la oscuridad, cualquier cantidad de tiempo es demasiado tiempo.
Aún así, mientras que el 39% de las organizaciones informan un aumento en la cantidad de infracciones, el 68% dice que no pueden detectar un incidente de seguridad en menos de una hora. La visibilidad es clave para la seguridad.
Pasos hacia adelante
Crear, implementar y ejecutar aplicaciones en la nube es una tarea compleja, especialmente con la mayor agilidad y eficiencia que ofrece DevOps. A medida que las organizaciones miran hacia el futuro, los datos nos alientan a romper nuestros silos y crear procesos a los que los equipos puedan adherirse. Los equipos de desarrollo, operaciones, seguridad y todas las partes interesadas a lo largo del ciclo de vida del desarrollo de aplicaciones deben compartir la responsabilidad de proporcionar una seguridad eficaz y completa.