Softwaresupplychain en cloud-ecosysteem frustreren security

Dit zijn enkele van de bevindingen uit onderzoek onder CISO's, uitgevoerd in opdracht van leverancier Dynatrace. Wereldwijd zijn in maart dit jaar 1300 CISO's van organisaties met meer dan duizend werknemers bevraagd. Van deze respondenten bevinden zo'n 600 zich in Europa. Naast toenemende IT-complexiteit speelt ook handwerk een rol.

Handwerk en testen

Europese CISO’s vinden het steeds moeilijker om hun software veilig te houden, naarmate hun hybride en multicloud-omgevingen complexer worden en teams blijven vertrouwen op handmatige processen, meldt Dynatrace nu. Dit geldt voor Ruim twee derde (68%) van de CISO's in Europa. Door de combinatie van grotere complexiteit en hardnekkig handwerk is er groter risico dat kwetsbaarheden doorkomen tot in productie-omgevingen.

Dit is één van de belangrijkste bevindingen in het onderzoeksrapport dat deze middag (20 april) wordt vrijgegeven. Verder is minder dan de helft (47%) van de CISO's er volledig van overtuigd dat de software die hun ontwikkelteams afleveren volledig is getest op kwetsbaarheden voordat het live gaat in productieomgevingen. Bovendien spelen er ook problemen bij het testen op kwetsbaarheden.

Informatiegebrek

Zo geeft het merendeel (79%) van de CISO's aan dat het heel moeilijk is om prioriteiten te stellen voor kwetsbaarheden. De securitytopmanagers missen namelijk informatie over het risico dat kwetsbaarheden kunnen vormen voor hun omgevingen. Zo zou bijna twee derde (61%) van de waarschuwingen die securityscanners geven voor kritieke kwetsbaarheden in de praktijk (van de productie-omgeving) eigenlijk helemaal niet zo kritiek zijn. Het nagaan van deze 'false positives' kost veel kostbare ontwikkeltijd, stelt DynaTrace die DevSecOps aanprijst.