Um número significativo de CISOs manifestou preocupações sobre a incapacidade de gerenciar as superfícies de ataque de segurança de aplicativos (AppSec), reconhecendo a necessidade de melhorias.
O relatório intitulado The State of ASPM 2024 da empresa Cycode revela que 78% dos CISOs em todo o mundo admitem estar apreensivos com a atual insuficiência de suas equipes para gerenciar AppSec.
O relatório, derivado de uma pesquisa com 500 CISOs, diretores de AppSec e membros da equipe DevSecOps, destaca os desafios existentes em AppSec.
O estudo revela um problema significativo quanto aos relacionamentos tensos entre as equipes de segurança e desenvolvimento, com 90% dos entrevistados reconhecendo a necessidade de melhorias.
Curiosamente, 77% dos CISOs enxergam a segurança da cadeia de suprimentos de software como um ponto cego mais substancial para o AppSec do que tecnologias emergentes, como IA generativa ou código aberto.
Um desafio salientado na pesquisa é a priorização de riscos e atividades de AppSec.
Um preocupante índice de 85% dos CISOs admite que as equipes de desenvolvimento lidam com ruído de vulnerabilidade e fadiga de alerta, dificultando a colaboração.
Essa fadiga de alerta, reconhecida por 88% dos entrevistados, também resulta em desenvolvedores negligenciando a correção de vulnerabilidades críticas, representando um significativo risco de segurança.
A fadiga de alerta, também conhecida como fadiga de alarme, ocorre quando um número muito alto de alertas "dessensibiliza" as pessoas encarregadas de respondê-los, levando a alertas perdidos ou ignorados ou respostas atrasadas.
O relatório também destacou a ambiguidade em relação às responsabilidades de segurança de aplicativos dentro das organizações.
Um índice de 77% dos entrevistados considera difícil determinar a propriedade da segurança do aplicativo, indicando a necessidade de maior clareza nessa área.
Ao tratar das questões multifacetadas que contribuem para relacionamentos tensos, o relatório observa que o gerenciamento de várias ferramentas de segurança representa um desafio para 75% dos profissionais de segurança devido à sua complexidade inerente.
“Muitas das descobertas do relatório Cycode se alinham com o que estamos vendo no mercado, começando pela criticidade da segurança da cadeia de suprimentos de software”, comentou Katie Norton, analista sênior de pesquisa da IDC.
“Nossa pesquisa sobre adoção de técnicas e ferramentas de DevSecOps de 2023 identificou uma cadeia de suprimentos de software vulnerável como uma das principais lacunas de segurança de aplicativos.
Nossa pesquisa também descobriu que as empresas têm dificuldades com o desalinhamento de desenvolvedores e segurança e priorizaram a promoção da coordenação”, completou o analista.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...