Datos Ocultos en Todas Partes: Por Qué Es Importante Tener Visibilidad Completa para la Seguridad de los Datos

El descubrimiento de datos efectivo es esencial para una seguridad de datos eficaz, y una parte crucial del descubrimiento es tener visibilidad. Incluso si tienes excelentes métodos de descubrimiento implementados, corres riesgo en la medida en que no los apliques a todas las partes de tu organización. 

Los datos ocultos están en todas partes, y depende de ti como líder de seguridad asegurarte de estar al tanto de toda la huella digital de tu empresa. Es la única forma de garantizar realmente la seguridad de los datos y los activos.

Shadow IT, aún más importante en la era de la IA

Cada nuevo empleado representa un riesgo adicional si no se le integra adecuadamente en los protocolos de la organización para tareas relacionadas con TI. La falta de capacitación acerca de lo que el empleado puede y no puede compartir abre la puerta a riesgos. Esto resulta en Shadow IT, lo cual puede ser un factor de riesgo importante para las organizaciones.

El Shadow IT puede ser tan inocuo como agregar una aplicación de terceros para ayudar con redes sociales, o ejecutar grabaciones de voz a través de un servicio en la nube de transcripción que conserva los datos—un campo minado para empresas en sectores altamente regulados.

Este riesgo es mucho más urgente con la IA. Ya sea una conversación puntual con un chatbot de IA o una integración más avanzada, existe un enorme riesgo de datos cuando se trata de IA. Simplemente usar ChatGPT podría llevar a las empresas a incumplir normativas de datos, especialmente mientras siga vigente una orden judicial que obliga a OpenAI a retener cada conversación con clientes. En lo que respecta a asociaciones más integradas, las empresas que utilizan agentes de codificación con IA corren el riesgo de que código confidencial y propietario sea compartido con terceros. 

Los empleados podrían no saber qué se debe o no se debe divulgar a la IA, especialmente si el uso incluye subir documentos clave o integrar bases de datos como parte de iniciativas más complejas. Implementar salvaguardas técnicas es esencial para que los empleados no caigan en la trampa de pensar que compartir con la IA está bien “solo esta vez” o “solo por esta pequeña pieza de información inocua”. 

Gestionar el Shadow IT, especialmente con el auge de la IA, puede ser un desafío. No es realista eliminarlo por completo y, como dice Zbynek Sopuch, CTO de Safetica, “el shadow IT surge de la necesidad de los empleados por conveniencia, agilidad y herramientas modernas.”

Casi todas las grandes empresas han añadido funcionalidades de IA a sus productos, lo que significa que la IA ahora está disponible en muchos servicios que los empleados necesitan usar legítimamente. Las compañías también pueden liderar iniciativas organizacionales para incorporar IA en múltiples departamentos.

Todos estos escenarios, grandes o pequeños, agregan un nuevo nivel de riesgo para los datos de una empresa, por lo que establecer una política y marco de IA organizacional es aún más importante que incorporar salvaguardas. 

El marco de IA de una empresa debe definir qué uso es aceptable y cuál no. También debe ayudar a los usuarios a comprender los riesgos completos asociados incluso con usos aparentemente inocuos, así como qué servicios podrían tener IA integrada. 

Sopuch recomienda que, cuando se trata de IA, “las organizaciones deben centrarse en la habilitación segura, proporcionando entornos de prueba ‘seguros para intentar’ y límites claros de datos que permitan a los equipos explorar nuevas tecnologías sin exponer sistemas críticos.” Al garantizar que la visibilidad, la confianza y los caminos de escalación estén definidos, las organizaciones pueden aprovechar el shadow IT a su favor, convirtiéndolo “de un riesgo de seguridad en un camino estructurado hacia la innovación, uno que equilibra creatividad con control.”

Las realidades de los entornos laborales modernos

Las personas ya no trabajan en un solo lugar como antes. En un solo día, los empleados saltan entre dispositivos, ubicaciones y redes. 

Los datos sensibles los acompañan a todas partes. 

Esto incluye el uso de dispositivos propios (BYOD), pero va más allá, ya que los entornos laborales dispersos se han convertido en la norma. El desafío aquí es si tu empresa tiene suficiente visibilidad de datos para monitorear el uso de múltiples dispositivos, sin importar si pertenecen al empleado o a la empresa. 

Las políticas BYOD se volvieron populares con la proliferación de smartphones en entornos laborales y el cambio hacia la nube. La pandemia global de COVID aceleró este proceso porque el trabajo remoto se convirtió en la norma en muchos lugares, y el BYOD pasó a ser una práctica de facto. 

Las soluciones, herramientas y procesos que facilitan visibilidad, gestión y prácticas seguras de datos generalmente no pueden instalarse en dispositivos personales. Incluso si se instalan, herramientas como la gestión de dispositivos móviles (MDM) y soluciones similares son muy invasivas y típicamente trasladan los controles de propiedad del empleado al empleador. Naturalmente, los empleados se resisten. 

Tampoco es realista esperar que los empleados accedan a recursos laborales solo desde dispositivos corporativos, mientras también se espera que estén “siempre disponibles”, como suele ocurrir en nuestra era conectada. Peticiones como “revisa rápidamente este correo” pueden volverse imposibles si un empleado no puede iniciar sesión desde cualquier dispositivo que no sea uno aprobado y correctamente configurado. 

Como líder de seguridad, es imposible controlar dispositivos que no pertenecen a la empresa, ya sean de empleados, computadoras públicas en bibliotecas o dispositivos corporativos conectados a redes Wi-Fi públicas. En su lugar, los líderes deben centrarse en obtener visibilidad sobre cuándo y cómo los empleados se conectan a cualquier cosa relacionada con la organización, así como visibilidad sobre los propios datos. De esta manera, puedes monitorear y proteger tus datos sin importar el dispositivo utilizado. 

Riesgo de terceros

El riesgo de terceros es una realidad constante y debe ser parte de tu estrategia de visibilidad y gestión. Dichos riesgos pueden venir en forma de proveedores SaaS, proveedores de servicios en la nube, dependencias de desarrollo de software o externalización de negocios. 

La visibilidad sobre terceros se refiere a cómo estos interactúan y se conectan con los activos, datos, integraciones y más de tu organización. En cierto sentido, podría considerarse una forma de Shadow IT, pero lo suficientemente significativa como para destacarla por separado.

Las historias de brechas de datos relacionadas con terceros son numerosas, como el ataque a la cadena de suministro de SolarWinds de 2019/2020, que llevó a la instalación de software malicioso en 18,000 organizaciones, incluidos departamentos federales y múltiples empresas Fortune 500. La brecha resultante fue descrita como “la intrusión cibernética más grave en la historia de [Estados Unidos]”. 

La brecha en Capital One de 2019, que resultó en el robo de 100 millones de solicitudes de crédito, ocurrió debido a un servidor AWS mal configurado. 

Una vulnerabilidad en una herramienta de registro de terceros llamada Log4j resultó en cientos de millones de computadoras comprometidas en 2019, lo que llevó al Ministro Federal de Seguridad Informática de Alemania a designar la amenaza con su nivel de amenaza más alto. 

Para abordar el riesgo de terceros, las empresas necesitan obtener visibilidad sobre cómo estos terceros interactúan con sus sistemas y datos. Aunque en un estado ideal los líderes de seguridad trabajarían solo con empresas reputadas que no representen riesgos, la realidad es que las vulnerabilidades siempre existirán y no hay tal cosa como un software a prueba de hackers. Al tener visibilidad sobre terceros y sus aplicaciones, puedes determinar rápidamente si tienen acceso a más información de la que realmente necesitan. 

Por ejemplo, el notorio ataque MoveIt podría haberse mitigado en gran medida si las organizaciones hubieran cifrado sus datos antes de transferirlos. Una simple estrategia de cifrado con clave pública y privada habría dejado los datos robados inútiles para los atacantes. La visibilidad sobre datos no cifrados en reposo habría dado a los líderes de seguridad información sobre esta exposición antes de que se convirtiera en un problema. 

Los servicios de soporte de terceros, como soporte técnico externalizado, también podrían tener privilegios elevados en tu red. Por lo tanto, es vital auditar qué entidades tienen privilegios elevados y acceso excesivo a datos, y cuáles realmente lo necesitan. 

La visibilidad es crucial para una protección integral de datos

Saber dónde buscar es tan importante como saber cómo buscar cuando se trata de seguridad y descubrimiento de datos. Los puntos anteriores son extremadamente comunes pero también completamente abordables.

“Mejorar la visibilidad sobre canales no controlados requiere la combinación adecuada de tecnología, políticas y capacitación continua de los empleados”, dice Sopuch. “Soluciones como la Prevención de Pérdida de Datos (DLP) y espacios de trabajo basados en la nube o virtuales ayudan a separar los entornos personales y laborales, manteniendo los datos corporativos protegidos incluso en sistemas de empleados o terceros. Combinadas con la concienciación del usuario, la monitorización continua y una gobernanza clara, estas medidas proporcionan seguridad y conveniencia, garantizando visibilidad sin limitar la productividad.”

Zbynek Sopuch, CTO en Safetica

Al asegurarte de tener un plan para obtener visibilidad sobre el Shadow IT, múltiples dispositivos y riesgos de terceros, puedes avanzar hacia hacer tu estrategia de seguridad y prevención de pérdida de datos (DLP) más infalible.

Cómo obtener esa visibilidad es otra cuestión. Podrías optar por múltiples herramientas que agregan complejidad, o una sola herramienta como la solución integral de descubrimiento y clasificación de datos de Safetica. Sin embargo, Sopuch recomienda considerar la visibilidad sobre canales no controlados de manera más estratégica, en lugar de algo que deba evitarse tanto como sea posible.

“En lugar de resistirse a esta tendencia, las organizaciones deberían enfocarse en hacer que las operaciones seguras sean igual de convenientes”, afirma. “Los servicios en la nube, las aplicaciones web y los clientes ligeros o virtuales permiten a los usuarios trabajar de forma segura desde cualquier dispositivo, manteniendo los datos corporativos dentro de entornos gestionados y controlados.”

Zbynek Sopuch, CTO en Safetica

Hagas lo que hagas, es importante comprender que la seguridad total va más allá de la detección activa de amenazas y se extiende a obtener visibilidad sobre tus datos, donde sea que estos se encuentren.