Um número substancial de CISOs expressou preocupações sobre a incapacidade de gerenciamento das superfícies de ataque de segurança de aplicativos (AppSec), reconhecendo a necessidade de melhorias. Relatório intitulado The State of ASPM 2024 da empresa Cycode revela que 78% dos CISOs globalmente admitem estar apreensivos com atual insuficiência de suas equipes para gerenciar AppSec.
O relatório, extraído de uma pesquisa com 500 CISOs, diretores de AppSec e membros da equipe DevSecOps, ressalta os desafios existentes na AppSec. O estudo revela um problema significativo em relação às relações tensas entre as equipes de segurança e desenvolvimento, com 90% dos entrevistados reconhecendo a necessidade de melhorias. Curiosamente, 77% dos CISOs percebem a segurança da cadeia de suprimentos de software como um ponto cego mais substancial para a AppSec do que tecnologias emergentes, como IA generativa ou código aberto.
Um desafio destacado na pesquisa é a priorização de riscos e atividades de AppSec. Um alarmante índice de 85% dos CISOs reconhecem que as equipes de desenvolvimento lidam com ruído de vulnerabilidade e fadiga de alerta, dificultando a colaboração. Essa fadiga de alerta, reconhecida por 88% dos entrevistados, também resulta em desenvolvedores negligenciando a correção de vulnerabilidades críticas, representando um risco de segurança significativo.
A fadiga de alerta, também conhecida como fadiga de alarme, é quando um número muito alto de alertas “dessensibiliza” as pessoas encarregadas de responder a elas, levando a alertas perdidos ou ignorados ou respostas atrasadas.
O relatório enfatizou também a ambiguidade em torno das responsabilidades de segurança de aplicativos dentro das organizações. Um índice 77% dos entrevistados considera difícil determinar a propriedade da segurança do aplicativo, indicando a necessidade de maior clareza nesse domínio.
Veja isso
DevSecOps acham que IA será usada em ciberataque global
Mercado de DevSecOps cresce 30,2% e atingirá US$ 15,9 bi em 2027
Ao abordar as questões multifacetadas que contribuem para relacionamentos tensos, o relatório observa que o gerenciamento de várias ferramentas de segurança representa um desafio para 75% dos profissionais de segurança devido à sua complexidade inerente.
“Grande parte das descobertas do relatório Cycode se alinham com o que estamos vendo no mercado, começando com a criticidade da segurança da cadeia de suprimentos de software”, comentou Katie Norton, analista de pesquisa sênior da IDC.
“Nossa pesquisa de adoção de técnicas e ferramentas de DevSecOps de 2023 identificou uma cadeia de suprimentos de software vulnerável como uma lacuna de segurança de aplicativos de topo. Nossa pesquisa também descobriu que as empresas lutam com o desalinhamento de desenvolvedores e segurança e priorizaram a promoção da coordenação”, completou o analista.
Para ter acesso à pesquisa completa da Cycode, em inglês, clique aqui.