DevOps: quando la velocità va a scapito della sicurezza

Secondo una nuova ricerca di Palo Alto Networks, sono poche le aziende che ritengono di poter rilevare rischi e vulnerabilità in ambienti public cloud operati tramite DevOps.

DevSecOps

Una nuova ricerca sul cloud commissionata da Palo Alto Networks, che ha coinvolto 500 decisori IT con responsabilità in cybersecurity in aziende da 500 a 5.00 impiegati, evidenzia come la maggior parte dei professionisti di cybersicurezza di Europa e Medio Oriente che fa uso di DevOps nel cloud pubblico ritenga che la propria azienda stia privilegiando la velocità a scapito della sicurezza. Per il 72% la velocità dell’adozione del cloud pubblico sta infatti introducendo prevenibili rischi di sicurezza negli aggiornamenti software.

Il modello DevOps migliora la collaborazione tra i team di sviluppo e operations, con un approccio rapido alla creazione e valorizzazione delle applicazioni. Le aziende hanno adottato questo modello per ottenere una fornitura delle applicazioni più veloce, maggiore innovazione, ambienti operativi più stabili e team focalizzati sulle performance. Nonostante il modello DevOps sia molto apprezzato, la ricerca mostra come la cybersicurezza venga trascurata e le aziende rischiano di diventare più vulnerabili.

C’è infatti preoccupazione tra i professionisti sul modo in cui la sicurezza possa raggiungere la stessa velocità e frequenza di aggiornamento di app e servizi di DevOps nel cloud pubblico. Solo il 47% è fiducioso nel corretto funzionamento della sicurezza per i team DevOps che operano nel cloud pubblico e solo il 22% degli intervistati ha confermato di avere una adeguata conoscenza dei rischi e delle necessità che possono incorrere quando si proteggono ambienti DevOps operativi nel cloud.

Il 73% ha affermato che la propria organizzazione ha adottato in modo completo o parziale DevOps in ambienti di cloud pubblico e implementato e modificato software in modo regolare; 1 su 5 effettua numerosi aggiornamenti su base settimanale.

“DevOps garantisce risultati significativi. La fornitura rapida di codici, infrastruttura e dati permette alle aziende di rispondere alle esigenze dei propri clienti in modo più rapido e di anticipare la concorrenza. Tuttavia, troppo spesso la velocità e la complessità di delivery ha portato al fallimento dei processi di sicurezza, non così veloci a realizzare controlli e limitati a verifiche rudimentali, comportando rischi non necessari. La ricerca sottolinea che più della metà non è in grado di rispettare le policy di base di gestione delle password. Le aziende non possono aspettare la reazione dei team di sicurezza, e per questo devono poter sfruttare sistemi integrati e automatizzare le proprie funzionalità di protezione per ottenere visibilità e governance continue e in tempo reale, necessarie per tenere il passo con i processi DevOps” ha dichiarato Greg Day, vice president e CSO EMEA di Palo Alto Networks.