VMware ha commissionato un sondaggio, condotto da un'organizzazione di ricerca indipendente, Forrester Consulting, nell'aprile 2021. Sono stati intervistati 1.475 manager IT e di sicurezza e oltre (compresi CIO e CISO) con responsabilità per la strategia e il processo decisionale in materia di sicurezza, con ulteriori 5 interviste qualitative con VP IT e di sicurezza e sviluppo e oltre (compresi CIO e CISO) con responsabilità per lo sviluppo o il processo decisionale in materia di strategia di sicurezza.
Gli intervistati provenivano da una serie di settori tra cui servizi tecnologici, produzione, servizi finanziari, vendita al dettaglio e sanità. La ricerca è stata condotta in 26 Paesi del mondo, tra cui: Australia, Belgio, Canada, Cina, Francia, Finlandia, Germania, India, Italia, Israele, Giappone, Norvegia, Nuova Zelanda, Paesi Bassi, Polonia, Russia, Arabia Saudita, Sud Africa, Spagna, Singapore, Corea del Sud, Turchia, Regno Unito, Stati Uniti, UAE.
Lo studio, dal titolo "Bridging the Developer and Security Divide" ha evidenziato che solo il 22% degli sviluppatori dichiara di capire quali policy di sicurezza l’azienda si aspetta che rispetti. In modo allarmante, più di un quarto (27%) degli intervistati non è affatto coinvolto nelle decisioni sulle policy di sicurezza, nonostante molte di queste abbiano un forte impatto sul loro ruolo.
Le organizzazioni in cui i team di sicurezza e sviluppo hanno un rapporto positivo possono accelerare il ciclo di vita dello sviluppo del software, arrivando a cinque giorni lavorativi più velocemente di quelle che non lo hanno, dimostrando come a essere in gioco siano i tempi di accesso al mercato e il vantaggio competitivo.
I risultati riflettono che le priorità non sono sempre allineate a quelle dei clienti, con i team IT e di sicurezza che vedono nella efficienza operativa la priorità numero uno (52%) contro gli sviluppatori la cui priorità è il miglioramento dell'esperienza utente (50%). Più della metà (51%) dei team di sicurezza cita la prevenzione delle violazioni della sicurezza come seconda priorità.
Il miglioramento dell'esperienza utente è solo al quarto posto per l'IT (43%) e per il team sicurezza (40%). I responsabili della sicurezza hanno a che fare con un aumento dei silos e una diminuzione della collaborazione tra i team (60%), un aumento del rischio di violazioni della sicurezza (57%) e un rilascio più lento di nuove applicazioni (40%).
"La ricerca dimostra che la sicurezza ha bisogno di un cambiamento di percezione" ha detto Rick McElroy, principal cybersecurity strategist, VMware. "Piuttosto che essere vista come qualcosa a cui si ricorre solo per risolvere le violazioni o che 'intralcia' l'innovazione, la sicurezza dovrebbe essere incorporata nei processi, nelle persone e nelle tecnologie".
"La sicurezza deve essere uno sport di squadra che lavora insieme all'IT e agli sviluppatori per garantire la protezione attraverso i cloud, le app e tutte le infrastrutture digitali. Dobbiamo sviluppare una cultura in cui tutti i team hanno interessi condivisi e obiettivi o metriche comuni, e in cui parlano una sola lingua. C'è un valore evidente per il business quando IT, sicurezza e sviluppatori fanno tutti parte del processo decisionale, del design e dell'esecuzione".
La buona notizia è che c’è consapevolezza sul fatto che le priorità e l'impegno condivisi dei team siano la strada da seguire. Più della metà (53%) degli intervistati si aspetta che i team di sicurezza e sviluppo siano unificati tra due-tre anni.
Il 42% si aspetta che la sicurezza diventi più integrata nel processo di sviluppo tra due-tre anni e c'è un riconoscimento più ampio del fatto che l'allineamento tra i team permette alle aziende di ridurre i diversi silos (71%), creare applicazioni più sicure (70%) e aumentare l'agilità per adottare nuovi flussi di lavoro e tecnologie (66%).