La adopción de la nube nativa se demora por obstáculos de ciberseguridad
Los retos de seguridad más comunes a los que se enfrentan las organizaciones en su proceso de adopción cloud-native y su impacto en el negocio.
A pesar de que Kubernetes sigue siendo una tecnología relativamente joven, las tasas de adopción se han disparado en los últimos años, ya que la plataforma de orquestación de contenedores se ha convertido en la piedra angular de muchas iniciativas de transformación digital. Sin embargo, incluso cuando las organizaciones se asientan en el uso de la tecnología en producción, sigue habiendo preocupación en torno a las mejores formas de proteger las cargas de trabajo en contenedores. El estudio de Red Hat "El Estado de la Seguridad de Kubernetes de 2023" analiza los riesgos de seguridad específicos a los que se enfrentan las organizaciones en relación con el desarrollo cloud-native, incluidos los riesgos para su cadena de suministro de software, y cómo mitigan estos riesgos para proteger sus aplicaciones y entornos de TI.
El estudio se basa en una encuesta realizada a 600 profesionales de DevOps, ingeniería y seguridad a nivel mundial y desvela algunos de los retos de seguridad más comunes a los que se enfrentan las organizaciones en su proceso de adopción cloud-native y su impacto en el negocio. El informe también ofrece las mejores prácticas y directrices que podrían reducir sus riesgos de seguridad para los equipos de desarrollo y seguridad de aplicaciones.
Entre las conclusiones más destacadas de este año tenemos:
● El 38% de los entrevistados asegura que la inversión en seguridad en las operaciones en contenedores es inadecuada, lo que supone un aumento del 7% con respecto a 2022.
● El 67% ha tenido que ralentizar la adopción cloud-native debido a problemas de seguridad.
● Más de la mitad ha experimentado un problema en la cadena de suministro de software relacionado con el desarrollo cloud-native y en contenedores en los últimos 12 meses.
La inversión en seguridad no se corresponde con la adopción
En los últimos años, hemos observado que la seguridad sigue siendo una de las mayores preocupaciones en torno a la adopción de contenedores. El estudio de este año no ha sido diferente: el 38% de los encuestados afirma que la seguridad no se toma con suficiente seriedad o que la inversión en seguridad es inadecuada, lo que supone un aumento del 7% con respecto al año pasado. Lo curioso es que las tasas de adopción siguen creciendo, pero la inversión en seguridad no siempre sigue el mismo ritmo de aumento.
Las soluciones cloud-native requieren soluciones de seguridad cloud-native, que a menudo pueden (y deben) incluir un enfoque DevSecOps. Los equipos de TI deben centrarse en la selección e implementación de herramientas de seguridad que proporcionen información y controles en el pipeline de la aplicación CI/CD, así como en el pipeline de infraestructuras. Las organizaciones deben planificar esta transición como parte de sus iniciativas de transformación y no limitarse a confiar en las soluciones existentes, que a menudo requieren una adaptación o ajuste sustancial para cumplir los requisitos de cloud-native computing.
Una de las mejores formas de superar la brecha de inversión y adopción es invertir en herramientas cloud-native con seguridad incorporada, en lugar de que sea un complemento. Con la seguridad integrada en la solución -desde la base del sistema operativo hasta el nivel de aplicación-, las organizaciones no tienen que dedicar dinero adicional en el presupuesto para soluciones de seguridad que se alineen con sus últimas tecnologías.
La preocupación por la seguridad lastra los resultados de negocio
Una de las principales razones para adoptar tecnologías cloud-native es la agilidad que proporcionan. La rapidez de comercialización, la adaptabilidad y la fiabilidad son ventajas de las tecnologías cloud-native e impulsores clave para que las empresas transformen digitalmente su infraestructura de TI. Sin embargo, estas ventajas no siempre se materializan: según el estudio, el 67% de los entrevistados ha tenido que retrasar o ralentizar el despliegue de aplicaciones por motivos de seguridad. Esto no es demasiado sorprendente, ya que las nuevas tecnologías a menudo crean desafíos de seguridad imprevistos, pero la seguridad debe considerarse como un componente de la adopción exitosa de la tecnología, no como un obstáculo o un perjuicio para el desarrollo cloud-native.
Sin embargo, los retrasos menores son a menudo la menor de las preocupaciones de una organización cuando se trata de incidentes de seguridad nativa en la nube, ya que el estudio indica que también hay posibilidad de impactos en el negocio aún más graves. El 21% de los entrevistados afirmó que un incidente de seguridad provocó el despido de un empleado, y el 25% dijo que la organización fue multada. Más allá del obvio impacto asociado, esto podría resultar en una pérdida de talento, conocimiento y experiencia valiosa para para la organización de TI en general. Además, las empresas que deben hacer frente a multas por infracciones de la normativa o filtraciones de datos se enfrentan a una importante carga financiera, por no hablar de la publicidad negativa.
El 37% de los entrevistados identificó pérdidas de ingresos/clientes como resultado de un incidente de seguridad de contenedores y Kubernetes. Estos incidentes podrían provocar el retraso de proyectos o lanzamientos de productos críticos, ya que las empresas deben priorizar los esfuerzos de seguridad para abordar las vulnerabilidades que se pasaron por alto en la fase de desarrollo. Este retraso podría tener un efecto dominó en el negocio, lo que resultaría en una mayor pérdida de ingresos, insatisfacción del cliente o incluso pérdida de cuota de mercado frente a los competidores. Este tipo de incidentes también puede erosionar la confianza de los clientes en la capacidad de una empresa para proteger los datos sensibles, lo que puede conducir a la pérdida de clientes.
Al dar prioridad a la seguridad desde el principio en una estrategia cloud-native, las organizaciones están invirtiendo en la protección de los activos empresariales, como los datos confidenciales, la propiedad intelectual y la información de los clientes. También pueden cumplir mejor los requisitos normativos, impulsar la continuidad del negocio, mantener la confianza de los clientes y reducir el coste de solucionar problemas de seguridad más adelante.
Preocupación por la seguridad de la cadena de suministro de software
La atención en torno a la seguridad de la cadena de suministro de software está en su punto más alto, y por una buena razón. Sonatype informó que se ha producido un asombroso aumento anual medio del 742% en los ataques a la cadena de suministro de software en los últimos 3 años. Para identificar la preocupación relacionada con la cadena de suministro que mantiene en vilo a los profesionales de TI, preguntamos a los participantes del estudio sobre la seguridad de la cadena de suministro de software en Kubernetes, incluyendo qué incidentes son los más preocupantes y si han experimentado alguno en el último año.
Los resultados están en consonancia con lo que cabría esperar de las cadenas de suministro de software en expansión que son emblemáticas de un entorno en contenedores. Las tres principales preocupaciones son los componentes vulnerables de las aplicaciones (32%), los controles de acceso insuficientes (30%) y la falta de una lista de materiales de software (SBOM) o procedencia (29%).
Sin embargo, lo alarmante es que más de la mitad de los entrevistados han experimentado prácticamente todos los problemas que señalamos en nuestra pregunta, siendo los componentes vulnerables de las aplicaciones y la debilidad de la integración continua y entrega continua del pipeline (CI/CD) como los dos problemas más citados.
La buena noticia es que muchas organizaciones están dando pasos para ayudar a proteger mejor sus cadenas de suministro de software. Aunque la seguridad de la cadena de suministro de software es un campo complejo y polifacético, contar con un enfoque integral de DevSecOps es una estrategia eficaz. Casi la mitad de los encuestados tienen una iniciativa DevSecOps en etapas avanzadas. Otro 39% comprende el valor de DevSecOps y se encuentra en la fase inicial de adopción.
Además, al centrarse en la seguridad de los componentes y dependencias de software en las primeras fases del ciclo de vida de desarrollo de software y utilizar prácticas DevSecOps para automatizar la integración de la seguridad en cada fase, las organizaciones pueden pasar de procesos manuales incoherentes a operaciones coherentes, repetibles y automatizadas.