Es un hecho que las aplicaciones en la nube están impulsando el crecimiento de las empresas modernas. De acuerdo con McKinsey Global Institute, la economía actual de las aplicaciones, impulsada por el desarrollo impulsado por la IA, para 2030, podría añadir 13 billones de dólares a la producción económica mundial.
Por otro lado, en la última década, las organizaciones han comenzado a crear e implementar aplicaciones en la nube a un ritmo sin precedentes. Y no hay señales de desaceleración. Según Gartner, el 65% de las cargas de trabajo de aplicaciones estarán optimizadas o listas para su entrega en la nube para 2027. Esto frente al 45% en 2022.
Sin embargo, dichas aplicaciones no están exentas de riesgos, considerando que están creadas a partir de una combinación compleja de paquetes de software ensamblados en diversos canales de entrega. Éstos también presentan fuentes de riesgo como configuraciones erróneas de código; API (interfaz de programación de aplicaciones) inseguras; vulnerabilidades sin parches y secretos expuestos, entre otros.
Cada riesgo en el código aumenta exponencialmente en la nube. Eso lleva a los equipos de seguridad a reaccionar continuamente con parches en tiempo de ejecución. Este enfoque no escalaría considerando que los piratas informáticos pueden explotar nuevas vulnerabilidades dentro de los primeros 15 minutos posteriores a su anuncio.
Inteligencia para mitigar riesgos
Si bien la nube ofrece una agilidad y eficiencia excepcionales, también presenta importantes riesgos de seguridad que se han vuelto cada vez más generalizados. El 80% de las exposiciones de seguridad se encuentran en entornos en la nube, de acuerdo con el equipo de Inteligencia de Amenazas Unit 42 de Palo Alto Networks. Ello puede resultar en violaciones a gran escala. Esos ataques y la velocidad del desarrollo de aplicaciones en la nube superan la rapidez con la que pueden responder los equipos de seguridad.
Lo anterior se debe a que los enfoques actuales para la seguridad del código a la nube están aislados. Por otra parte, las organizaciones promedio dependen de seis a 10 herramientas únicamente para proteger la infraestructura de la nube. Tener herramientas de seguridad dispares conduce a una postura de seguridad incompleta y crea una carga operativa masiva para los equipos de seguridad.
En la era digital dominada por las aplicaciones nativas de la nube, las organizaciones necesitan un enfoque inteligente de código. Debe actuar como una única fuente de verdad sobre el riesgo de las aplicaciones para los desarrolladores, las operaciones y los equipos de seguridad. Gartner enfatiza el desafío y señala: «Es increíblemente complejo proteger las cadenas de suministro de software porque generalmente se extienden más allá de los límites de una sola organización. Abarcan una red de proveedores, socios y ecosistemas de código abierto».
Una plataforma de protección de aplicaciones nativas de la nube (CNAPP) aborda esta complejidad de frente. Sin embargo, ésta debe ser integral para asegurar el ciclo de vida de las aplicaciones desde el código hasta la nube. Eso permite a las organizaciones reducir de manera fácil e intuitiva los riesgos de las aplicaciones en la nube y prevenir infracciones.
Hacia dónde ir con las aplicaciones en la nube
Muchos proveedores ofrecen soluciones aisladas que sólo abordan fragmentos del ciclo de vida de las aplicaciones en la nube. En este sentido, se debe cambiar a un enfoque de plataforma para protegerlas desde la creación del código hasta su implementación en la nube. También se deben proteger los entornos de ejecución activos, donde identifica, conecta y soluciona los riesgos en cada paso.
El punto de inflexión está en la inteligencia Code-to-Cloud. Éste profundiza en patrones, comportamientos y anomalías en el código, la infraestructura y el tiempo de ejecución de la nube. Los problemas de seguridad no sólo se identifican: se rastrean hasta su fuente en el código y viceversa, lo cual permite una reparación eficaz en el origen del riesgo. Para evitar que los problemas se multipliquen a medida que se crean e implementan las aplicaciones en la nube, los desarrolladores tienen un contexto profundo sobre lo que debe solucionarse.
En muchas organizaciones, la proporción entre desarrolladores y profesionales de seguridad puede ser de 100 a uno. Eso da como resultado equipos con poco personal. El enfoque actual de trabajar en silos no garantiza un código integral para la seguridad de la nube. Esta brecha se ampliará a medida que los desarrolladores utilicen cada vez más la inteligencia artificial para escribir e implementar códigos rápidamente. Con inteligencia Code to Cloud se fomenta la colaboración entre desarrolladores y profesionales de seguridad al vincular los problemas de seguridad de producción con recomendaciones de solución específicas en el código.