En un contexto en el que se está avanzando hacia la madurez de DevSecOps, CyberArk aborda cuál debe ser el enfoque correcto de la gestión centralizada de secretos en el que no se sacrifique ni la velocidad ni la seguridad. Dos métricas fundamentales.
Según datos de CyberArk, el 87 % de los CMOs sostiene que sus organizaciones están implementando DevOps, una tarea que se ve dificultada porque las identidades y los secretos de las máquinas continúan acumulándose en las aplicaciones. Por lo que para CyberArk es fundamental, si queremos reducir las vulnerabilidades de seguridad, proteger las identidades de las máquinas y los secretos de las aplicaciones dondequiera que existan, minimizando la superficie de ataque y optimizando las operaciones.
En este marco complejo, CyberArk ha analizado las nueve razones por las que los desarrolladores necesitan un enfoque simplificado para la gestión de secretos, con el objetivo de seguir avanzando y brindar a los equipos mayor facilidad para cumplir las políticas de seguridad.
Las primeras tres razones que plantea CyberArk subrayan el trabajo de los equipos de mayor rendimiento de DevOps, que realizan múltiples actualizaciones por día; además, tienen 973 veces más implementaciones de código y un tiempo de entrega 6.570 veces más rápido desde la confirmación hasta la implementación. Y, en tercer lugar, la automatización de pipelines de CI/CD permite a estos equipos de DevOps crear e implementar aplicaciones a una velocidad y a una escala sin precedentes.
Las siguientes tres claves que apuntan desde CyberArk hacen referencia al peso que tiene la velocidad frente a la seguridad. En el 50 % de las organizaciones, la tarea de proteger los secretos de las aplicaciones se deja en manos de los desarrolladores, quienes priorizan la velocidad frente a las prácticas de seguridad. De hecho, el 36 % de los desarrolladores dice que cumplir con los plazos es la razón principal por la que su codificación aún posee vulnerabilidades. Por lo que es los equipos de seguridad se enfrentan a un equilibrio entre la velocidad de desarrollo y hacer cumplir políticas fundamentales de ciberseguridad.
Y lo que está claro es que no hay que dejar de lado la seguridad, las tres últimas cuestiones que aborda CyberArk lo ejemplifican a la perfección. Aunque muchas organizaciones confían en las capacidades nativas de gestión de secretos en su nube y en las herramientas DevOps para simplificar el desarrollo y las operaciones, el 87 % de las organizaciones admite que la «expansión de secretos» puede causar conflictos con los objetivos de seguridad centralizados. Además, en los últimos 12 meses, el 71 % de las organizaciones sufrió un ataque relacionado con la cadena de suministro de software con pérdida de datos. Por todo ello, desde CyberArk se aboga por la optimización y la automatización de los procesos de gestión de secretos, integrando las prácticas de seguridad durante el proceso de desarrollo.
