CA Technologies (NASDAQ:CA) ha diffuso i risultati di una ricerca internazionale realizzata intervistando oltre 1.200 responsabili IT (dei quali 466 in Europa) sul tema della sicurezza nello sviluppo del software. Condotto da Freeform Dynamics, società di analisi specializzata nel settore IT, il nuovo studio intitolato “Integrating Security into the DNA of Your Software Lifecycle” sottolinea l’influenza della cultura aziendale sulla capacità delle organizzazioni italiane di integrare pratiche di security all’interno del ciclo di sviluppo del software – prassi cruciale per il successo di qualsiasi azienda nell’economia digitale.
Il 92% dei manager italiani intervistati concorda nell’affermare che lo sviluppo del software supporta la crescita e l’espansione dell’azienda, e il 91% lo considera anche un fattore di accelerazione della trasformazione digitale.
I risultati evidenziano, inoltre, che il 65% degli intervistati ritiene che le minacce alla sicurezza derivanti da problemi rilevati durante lo sviluppo del software siano una preoccupazione crescente. Eppure, secondo il 71% delle organizzazioni italiane la “cultura esistente in azienda” rappresenta ancora la principale barriera all’integrazione della sicurezza nei processi, mentre il 24% è assolutamente certo che proprio la cultura e le pratiche adottate dall’azienda sostengano la collaborazione in ambito DevSecOps (sviluppo, sicurezza e gestione operativa). In questo contesto, lo State of Software Security Report 2017 di CA Veracode ha rivelato che le vulnerabilità nel software non ancora testato continuano ad affiorare a un ritmo allarmante: secondo le organizzazioni interpellate in tutto il mondo, il 77% delle app ha rivelato almeno una vulnerabilità durante la scansione iniziale.
“La sicurezza è un principio cardine per qualsiasi azienda che adotti il modello di una Modern Software Factory. Se da una parte la nostra ricerca conferma come le imprese oggi comprendano l’importanza di costruire e aggiornare in modo sicuro le applicazioni, la cultura interna alle organizzazioni italiane deve ancora evolversi per poter migliorare la collaborazione tra i team IT e ricevere dal mondo reale feedback più rapidi sulle vulnerabilità e sul modo migliore per correggerle in tempi brevi,” ha dichiarato Domenico Maracci, Technical Sales Consultant and Solution Architect di CA Technologies. “Incorporare la sicurezza in ogni fase del rilascio delle applicazioni, seguendo i principi dell’approccio DevSecOps e utilizzando tecnologie avanzate basate su machine learning e behavioural analytics, può garantire risultati di business decisamente superiori e, in ultima analisi, cambiare il modo di operare dell’azienda”.
La sicurezza va incorporata nell’intero ciclo di sviluppo del software
L’indagine rivela che la maggior parte delle organizzazioni italiane si rende conto che il rapido evolversi delle esigenze del mercato e delle normative impone alle imprese di cambiare il modo in cui gestiscono la sicurezza nei processi di sviluppo del software.
In particolare, i dati evidenziano che il tradizionale approccio di testing della sicurezza al termine del processo di sviluppo non basta più: il 91% delle organizzazioni italiane ritiene infatti essenziale o importante che la sicurezza diventi parte integrante del processo di sviluppo del software anziché essere aggiunta – spesso frettolosamente – alla fine. Il 64%, inoltre, è convinto/assolutamente certo che sia cruciale integrare le pratiche di security nelle fasi più precoci del ciclo di sviluppo del software – in altre parole, adottare l’approccio DevSecOps. In questo caso, però, il dato italiano è il più basso registrato in Europa, contrapposto all’88% della Francia e al 79% della Spagna.
In realtà, ad oggi solo il 31% delle organizzazioni italiane ha già reso la sicurezza parte integrante del processo di sviluppo e messa in esercizio del software attraverso l’implementazione dell’approccio DevSecOps, ma il 38% degli intervistati – con il dato più alto in Europa (ben 10 punti percentuali al di sopra della media europea) — ha già implementato il testing in fase iniziale e continuo delle app allo scopo di individuare fin da subito eventuali falle nella sicurezza.
La mancanza di competenze adeguate e di tempo frenano la sicurezza – l’automazione viene in aiuto
Oltre ad aver identificato nella cultura organizzativa un potenziale ostacolo allo sviluppo sicuro del software, circa il 47% delle organizzazioni italiane ha sottolineato come la mancanza di competenze impedisca loro di rendere la sicurezza parte integrante dell’intero processo di sviluppo del software – a partire dalla valutazione dei requisiti delle applicazioni, passando per la progettazione, fino alla delivery – e il 68% ha indicato quale ostacolo anche le pressioni legate alla mancanza di tempo.
Le sfide associate a questi processi rendono essenziale il ricorso a strumenti d’automazione, nel momento in cui poche organizzazioni possiedono risorse qualificate o tempo sufficiente a disposizione per affrontare sfide così urgenti e complesse.
Esistono due tecnologie emergenti incentrate sull’automazione – behavioural analytics e machine learning – che possono essere d’aiuto per ovviare al deficit di competenze e alla mancanza di tempo, oltre a migliorare la sicurezza. In questo ambito, il 92% delle organizzazioni italiane (percentuale più alta in Europa seconda solo alla Spagna – 94%) ritiene che entrambe queste tecnologie avanzate svolgano un ruolo chiave per poter offrire una migliore user experience e tutelare allo stesso tempo i dati degli utenti. Si tratta, inoltre, di un approccio fondamentale con cui intraprendere un’azione preventiva per evitare violazioni dei dati e/o mitigarne l’eventuale impatto, ed essenziale per controllare l’autenticazione basandosi sulle azioni compiute dall’utente e sulle conoscenze disponibili sul soggetto. In effetti, il 67% delle organizzazioni dichiara di sfruttare già oggi analytics, machine learning e intelligenza artificiale per ottenere un’analisi estremamente dettagliata delle necessità e dei comportamenti dei clienti, mentre il 79% sta incrementando l’automazione presente in tutto il ciclo di sviluppo del software.
I Software Security Master fanno da apripista in Europa
Lo studio mette in luce, inoltre, le caratteristiche dei “Software Security Master” (il 32% degli intervistati in Europa), organizzazioni che sono riuscite a integrare pienamente la sicurezza nel ciclo di sviluppo del software conducendo test in fase iniziale e continui sulle applicazioni per individuare eventuali falle nella sicurezza attraverso un approccio DevSecOps.
A livello pan-europeo, rispetto alla media, i Software Security Master (1,7 volte più degli altri) sono assolutamente convinti che, oltre a proteggere i dati e i sistemi aziendali, la sicurezza sia un fattore abilitante per cogliere nuove opportunità di business, e citano i seguenti vantaggi:
maggiore incremento del tasso di crescita degli utili (+50%)
maggiore incremento del tasso di crescita dei ricavi (+40%)
probabilità 2,4 volte maggiore che i test sulla sicurezza tengano il passo con i frequenti aggiornamenti delle app
probabilità 1,9 volte maggiore di battere sul tempo la concorrenza
“Le organizzazioni classificate Software Security Master dalla ricerca non solo mostrano la forte correlazione fra l’integrazione della sicurezza nel DNA dello sviluppo software e il raggiungimento di risultati eccellenti sul fronte di costi e ricavi, ma possiedono anche l’atteggiamento mentale e le competenze necessarie per avere successo nell’economia digitale. Inoltre, sono veri e propri agenti del cambiamento, in quanto influenzano la cultura organizzativa che svolge un ruolo chiave per creare il luogo di lavoro del futuro,” ha concluso Maracci. “Non tutte le organizzazioni hanno già raggiunto lo stadio di Software Security Master, ma l’impegno nello sviluppare una strategia di continuous security potrà accelerare la loro evoluzione a Master, permettendo di migliorare così il time-to-market e incrementare la capacità di competere e di crescere”.
Metodologia di ricerca
Il sondaggio è stato condotto per conto di CA Technologies nella seconda metà del 2017 dalla società di analisi di settore Freeform Dynamics, che ha intervistato online 1.279 business executive e responsabili IT, dei quali 466 in sei Paesi europei: Francia, Germania, Italia, Spagna, Svizzera e Regno Unito. Lo studio è stato inoltre integrato con interviste telefoniche di approfondimento rivolte ai top manager del settore. Per maggiori informazioni sulla metodologia di ricerca è possibile consultare il report “Integrating Security into the DNA of Your Software Lifecycle.”
5 brevi domande a Domenico Maracci Principal Consultant, Technical Sales CA Technologies, sulla ricerca.
Ci può illustrare brevemente la ricerca?
Il sondaggio è stato condotto per conto di CA Technologies nella seconda metà del 2017 dalla società di analisi di settore Freeform Dynamics, che ha intervistato online 1.279 business executive e responsabili IT, dei quali 466 in sei Paesi europei: Francia, Germania, Italia, Spagna, Svizzera e Regno Unito. Lo studio è stato inoltre integrato con interviste telefoniche di approfondimento rivolte ai top manager del settore.
La ricerca si sviluppa su tre temi fondamentali:
L’importanza crescente della sicurezza nel ciclo di sviluppo del software: su questo punto i risultati sono piuttosto omogeni, sia a livello worldwide che europeo. Per tutti i partecipanti, con percentuali intorno al 90%, il software è fondamentale per lo sviluppo di nuovi canali di business, per l’incremento delle revenues e del vantaggio competitivo. Allo stesso tempo, però, il 71% degli intervistati dichiara che le maggiori vulnerabilità di sicurezza sono insite nel codice sorgente delle applicazioni; ciò rischia di compromettere la user experience, con danni sia economici che di brand reputation.
DevSecOps e l’integrazione della sicurezza nel ciclo di sviluppo del codice è un nuovo “imperativo”: l’integrazione della sicurezza fin dalle fasi embrionali dello sviluppo del codice, tramite una metodologia DevSecOps, diventa un aspetto critico per la totalità degli intervistati. Anticipare l’individuazione di bachi di sicurezza nelle prime fasi dello sviluppo aiuta a rispettare le pianificazioni ed il time to market, nonché ottimizzare i costi di bugfixing. Nell’attuazione della metodologia DevSecOps, spesso ostacolata da problemi organizzativo/culturali, piuttosto che dalla mancanza di competenze, l’utilizzo di strumenti di automazione e machine learning risulta essere fondamentale.
Software Security Masters: la ricerca si sofferma sui vantaggi registrati da quelle aziende che hanno implementato la metodologia DevSecOps; queste registrano sia aumenti dei recavi, tramite l’introduzione di nuovi canali di business, che dei profitti, tramite l’ottimizzazione dei costi di sviluppo e bugfixing
Come si può cambiare la mentalità delle aziende italiane?
Il principale strumento per guidare un cambiamento è partire con l’implementazione. L’approccio a metodologie DevSecOps non deve essere visto come un big bang, che chiaramente può spaventare, ma come uno sviluppo iterativo, che prevede un quick start con una fase prototipale per poi espandere l’approccio a livello enterprise. In linea con la metodologia Agile, ad ogni iterazione è importante valutarne i KPI derivanti, in modo da poter sostenere sia dal punto di vista tenologico che finanziaro l’adozione del cambiamento su larga scala
Su cosa si deve puntare per migliorare lo sviluppo del software e per favorire la Digital Economy?
Sulla User Experience! La Digital Transformation sta portando l’IT delle aziende a diretto contatto con gli utenti finali, tramite app mobile piuttosto che applicazioni web o devices IoT. L’utilizzo dei nuovi canali digitali da parte dei clienti deve essere immediato e sicuro, dovendo tante volte gestire informazioni personali. Un software di non eccellente qualità rischia seriamente di compromettere la capacità di un’azienda di produrre utili, oltre ad influenzare in modo talvolta irrecuperabile la brand reputation dell’azienda stessa
Come si può limitare la vulnerabilità del software?
La migliore soluzione è rendere l’analisi delle vulnerabilità una parte integrante del ciclo di vita del software, tramite un approccio DevSecOps. Risulta fondamentale dotarsi di strumenti di analisi statica/dinamica del codice in grado di verificarne, tramite di AI o machine learning, le possibili vulnerabilità ad ogni build applicativo, in modo da poter intervenire repentinamente senza impatti sulla user experience ed il time to market.
Nella vostra ricerca avete riscontrato una differenza tra l’Italia e gli altri paesi? Per caso siamo indietro anche in questo campo rispetto ai livelli medi?
L’Italia registra la percentuale più bassa (64%) rispetto all’idea che il DevSecOps possa essere la giusta cura per indirizzare le vulnerabilità del codice; ciò ha origine da caratteristiche culturali di noi italiani, che spesso abbiamo un approccio più conservativo rispetto al cambiamento. Allo stesso tempo, però, analizzando le statistiche dei Software Security Masters, siamo al primo posto in Europa ed al quarto a livello worldwide tra le aziende che sono riuscite con success ad implementare la metodologia DevSecOps, a dimostrazione del fatto che, seppur partendo a volte in ritardo rispetto alle altre country, la nostra eccellente capacità di adoption ci consente di colmare se non superare il gap iniziale.
