De bases de datos ocultas y permisos mal configurados a contraseñas no seguras y canales de entrenamiento de IA, la nube presenta numerosas rutas de ataque y exposición.
No sorprende, entonces, que más del 80 % de las vulneraciones en 2023 incluyeran datos de la nube.
La gestión de la postura de seguridad de datos (DSPM) se ha convertido en un estándar para proteger los datos confidenciales en la nube y otros entornos con datos confidenciales, prevenir brecha de datos y satisfacer los requisitos de cumplimiento. Sin embargo, hay confusión sobre lo que realmente es la DSPM (y no es), por qué es importante, cómo funciona y cómo se debe evaluar una solución de DSPM con éxito.
Elaboramos esta publicación de blog para ayudarlo a comprender mejor la DSPM y lo que significa proteger los datos confidenciales en entornos de nube complejos. Siga leyendo para conocer todos los detalles.
¿Qué es DSPM?
Según Gartner, la “gestión de la postura de seguridad de datos (DSPM) proporciona visibilidad sobre dónde están los datos confidenciales, quién tiene acceso a esos datos, cómo se han utilizado y cuál es la postura de seguridad del repositorio de datos o la aplicación”.
Aunque el acrónimo DSPM es nuevo, el concepto no lo es.
La DSPM toma los principios de la seguridad de los datos y los aplica principalmente a los entornos de nube. Muchos de los conceptos que se usan para proteger los datos locales y en las aplicaciones son los mismos: detección de datos, control de acceso a datos y monitoreo de datos.
Una DSPM eficaz descubre dónde residen los datos confidenciales en todo su entorno de nube, lo que incluye IaaS, bases de datos, aplicaciones SaaS y almacenamiento de archivos en la nube, y analiza los riesgos y las exposiciones, y permite a los equipos de nube, TI y seguridad detectar amenazas de manera eficiente y reducir las deficiencias de seguridad.
La gestión de la postura de seguridad en la nube (CSPM) se centra en proteger la infraestructura, y la prevención de pérdida de datos (DLP) se centra en la pérdida de datos confidenciales en movimiento en los puntos de salida. La DSPM está orientada a proteger los datos en sí y a fortalecer la postura de seguridad para evitar brechas de datos.
¿Por qué es importante la DSPM?
Las organizaciones continúan almacenando datos valiosos en entornos de nube cada vez más complejos.
Según Gartner, el 80 % de las empresas habrán adoptado múltiples ofertas de IaaS en la nube pública para 2025. La flexibilidad y la escala que ofrecen estos entornos de nube también dificultan la seguridad de los datos que contienen, lo que conlleva un mayor riesgo de que se produzca una brecha de datos.
Las principales brechas de datos son cada vez más comunes en SaaS e IaaS.
En enero de 2022, un bucket de AWS S3 no seguro expuso más de un millón de archivos en Internet, incluidos los registros de empleados del aeropuerto. En otro ejemplo, cientos de organizaciones filtraron información privada y confidencial debido a páginas de Salesforce mal configuradas. Por otro lado, la reciente brecha de datos de Sisense expuso terabytes de datos debido a un token codificado que otorgó a los atacantes acceso a los buckets de Amazon S3.
Las brechas de datos como estas son difíciles de evitar en entornos de nube en continuo crecimiento. DSPM tiene como objetivo proteger los datos y evitar brecha de datos en IaaS, PaaS y SaaS. Cuando cuentan con las funcionalidades adecuadas de DSPM, las organizaciones están mejor preparadas para prevenir brechas de datos y cumplir con los requisitos de cumplimiento, como HIPAA, GDPR, CCPA, NIST e ITAR.
¿Cómo funciona la DSPM?
El objetivo final de la DSPM es evitar brechas de datos y cumplir con las normas. Para ello, una solución de DSPM eficaz incluye dos tipos de capacidades: capacidades pasivas y capacidades activas.
Las capacidades pasivas están siempre activas, y trabajan en segundo plano para proporcionar visibilidad en tiempo real de los datos y su postura de seguridad. Abarcan el descubrimiento y la clasificación de datos, además del análisis de exposición y la postura.
Descubrimiento y clasificación de datos
Para proteger los datos confidenciales, primero debe comprender qué datos confidenciales existen y dónde residen. La DSPM escanea y descubre automáticamente datos confidenciales en su entorno y los clasifica en función de su confidencialidad y tipo, por ejemplo, si se trata de credenciales, PHI, PII, HIPAA, etc.
Sin embargo, no todas las soluciones de descubrimiento y clasificación de datos son iguales. Debido a que los entornos de nube cambian todo el tiempo, se deben escanear los datos continuamente y en tiempo real.
El muestreo de los datos, especialmente en almacenes de objetos como Amazon S3 y Azure Blob, es insuficiente. A diferencia de una base de datos, no puede suponer que solo porque hayan escaneado 2 TB de una cuenta S3 y no haya encontrado contenido confidencial, los otros 500 TB de datos no lo son. Si una organización no cuenta con un proceso de descubrimiento y clasificación de datos exhaustivo y en tiempo real, está expuesta a riesgos.
Análisis de exposición y postura.
Una vez que entienda qué datos confidenciales existen y dónde residen, el siguiente paso es comprender las brechas de seguridad y los riesgos de exposición. La DSPM analiza los datos y detecta vulnerabilidades como configuraciones incorrectas, permisos sobreexpuestos y responsabilidad de aplicaciones de terceros.
Para obtener una comprensión profunda de los riesgos y las exposiciones, los datos confidenciales deben asignarse a los permisos y la actividad de acceso en todas las plataformas, aplicaciones y hasta el nivel de objeto. Sin este profundo conocimiento, su postura de seguridad puede verse fácilmente comprometida.
Las exposiciones y la postura también deben asignarse a los marcos de cumplimiento relevantes, como CMMC, GDPR, HIPAA, ISO, NIST, PCI y SOX. Esto lo ayuda a cumplir con las normas y proporciona un punto de referencia para la seguridad general de sus datos.
Las capacidades activas de DSPM permiten a los equipos de TI y seguridad remediar las brechas de seguridad y mitigar la exposición para mejorar la postura de seguridad. Si bien algunas soluciones de DSPM no ofrecen remediación, este es el paso final crucial entre simplemente saber que sus datos están en riesgo y asegurarlos.
Remediación
Una vez que se identifican las brechas de seguridad y las exposiciones, la DSPM permite que los equipos de nube, TI y seguridad solucionen de manera conveniente los problemas de causa raíz.
Cuanto más tiempo se tarde en solucionar los problemas (eliminar permisos riesgosos, configuraciones erróneas, usuarios fantasma, enlaces compartidos, etc.), mayor será el riesgo de una brecha de datos. Solo se necesitan ocho horas para vulnerar una base de datos no segura o mal configurada.
La reparación manual de un solo archivo mal configurado puede llevar horas y los problemas se pueden multiplicar rápidamente. Para la mayoría de las organizaciones, la remediación automatizada es necesaria para cerrar las brechas de seguridad, cumplir con la normativa y crear un entorno que se vuelva más resistente con el tiempo.
Una solución de DSPM eficaz combina capacidades pasivas y activas.
¿La solución de DSPM es autónoma?
Una solución de DSPM debe ser una parte importante de su estrategia de seguridad de datos si su organización está principalmente en la nube. Pero incluso para las organizaciones que priorizan la nube, esta solución es solo una parte de una estrategia de datos integral.
Una solución de DSPM es una parte de un enfoque integral con respecto a la seguridad de los datos.
Además de mejorar la postura de seguridad de los datos con DSPM, es importante detectar ataques activos. La detección y respuesta a amenazas es especialmente crítica en industrias muy vulnerables a los ataques, como el sector de la salud, gubernamental, fabricación o financiero.
Las capacidades de monitoreo de eventos e investigaciones también son cruciales y van más allá de la simple clasificación de datos. Permiten una comprensión profunda del flujo de datos confidenciales, detallando cómo se crean, actualizan, eliminan, cargan, descargan y comparten. En muchos casos, como las amenazas internas, el ransomware y las amenazas persistentes avanzadas (APT), comprender lo que se está haciendo con los datos es clave para detectar y prevenir una brecha de datos.
Para la mayoría de las organizaciones, es importante proteger los datos dondequiera que residan, incluso si se encuentra principalmente en la nube, incluidos los entornos locales, los copilotos de IA, el correo electrónico y más. Todo lugar donde residan datos confidenciales puede convertirse en un vector de ataque, incluso si esos datos se encuentran principalmente en la nube. Los copilotos de IA generativa, por ejemplo, son una forma cada vez más fácil para que los agentes malintencionados obtengan credenciales.
DSPM vs. CSPM
A primera vista, la DSPM y CSPM pueden parecer similares. Si bien ambas soluciones están diseñadas para proteger a su organización de las amenazas cibernéticas, cada una adopta un enfoque único para lograr ese objetivo.
La DSPM garantiza la protección de los datos confidenciales donde sea que residan, mientras que la CSPM se centra en proteger la infraestructura en la nube de las aplicaciones empresariales críticas y adopta un enfoque centrado en las vulnerabilidades. La CSPM escanea y analiza la infraestructura en la nube para identificar errores de configuración y otras brechas de seguridad.
La CSPM se destaca en la búsqueda de vulnerabilidades y errores de configuración en la infraestructura y red, como la identificación de una instancia EC2 vulnerable que ejecuta Windows sin parches con Log4j. La DSPM, por otro lado, proporciona una comprensión detallada de los datos y su exposición. Por ejemplo, una instantánea de la base de datos que contiene datos confidenciales de pacientes se expone a una cuenta de servicio con una contraseña débil, lo que la convierte en un objetivo principal para los atacantes.
CSPM no proporciona visibilidad de los datos que contiene. Ataques como un atacante que encuentra una clave de API en una instantánea huérfana, o que usa ingeniería social para obtener acceso con credenciales legítimas, o un empleado interno que copia datos confidenciales a una cuenta personal: todas estas exposiciones pasarían desapercibidas si solo se usara CSPM. Si bien CSPM es una solución valiosa, la única manera segura de prevenir una brecha de datos es saber qué está sucediendo con los datos en sí.
La plataforma de seguridad de datos de Varonis cierra la brecha entre los dos conceptos. Nuestro conector de bases de datos universal puede integrarse con cualquier base de datos conectada a la red para descubrir y clasificar datos estructurados y confidenciales a escala, sin importar dónde se encuentren.
DSPM vs. DLP
Las soluciones de DLP emplean una amplia variedad de técnicas para proteger los datos, como la clasificación, el cifrado, la supervisión y la aplicación de políticas, y se centran en los puntos finales o en el perímetro de la nube a través de puntos de salida controlados.
Si bien DLP se centra en evitar que los datos salgan del entorno, la solución de DSPM se centra en mejorar la postura de seguridad de los datos: comprender qué datos confidenciales hay, analizar la exposición y los riesgos, y cerrar las brechas de seguridad.
Nuestra plataforma de seguridad de datos usa los marcos de DSPM y DLP en conjunto para mejorar la visibilidad de los datos, el cumplimiento, la postura y la detección de amenazas.
Cómo evaluar las soluciones de DSPM
Hay mucho alboroto en el ámbito de las soluciones de DSPM, y puede ser difícil distinguir una solución legítima de una que finalmente no producirá resultados para su organización.
Nuestra Guía para comprar una solución de DSPM lo ayuda a comprender mejor los diferentes tipos de soluciones de DSPM, evitar trampas comunes. Además, incluye preguntas para hacerles a los proveedores para asegurarse de que compre una solución de seguridad de datos que cumpla con sus requisitos únicos.
Dentro de la guía, los principales CISO recomiendan tres pasos de evaluación que representan las mejores prácticas para evaluar una solución de DSPM:
1. Ejecute una prueba de concepto (POC)
“Mi regla de oro al evaluar cualquier tecnología nueva es validar las reclamaciones con una POC. Los vendedores que se nieguen a hacer una POC deben emitir señales de alerta. Intente hacer una POC en sistemas de producción o entornos aislados que imiten la escala de su entorno de producción. Para la DSPM, pruebe los resultados de clasificación de datos en busca de falsos positivos”.
2. Solicite una evaluación de riesgos de muestra
“Solicite ver un informe de riesgos anónimo de un cliente real, no un folleto de marketing. Esto puede ayudarlo a entender si el proveedor ofrece el nivel de detalle y profundidad que busca. Los informes de muestra pueden ayudarlo a determinar
si vale la pena hacer una POC”.
3. Lea opiniones de clientes reales
“Tenga cuidado al juzgar a los proveedores en función de los premios y la prensa que tienen, muchos de ellos se consiguen a cambio de dinero. Busque revisiones validadas de DSPM de fuentes confiables como Gartner y Forrester. Solicite hablar directamente con clientes de referencia. Asegúrese de que tengan estudios de casos de clientes en su sitio web. No querrá ser su primer gran cliente”.
No espere a que se produzca una vulneración
La solución de DSPM debe estar en el radar de cualquier organización que priorice la seguridad de los datos y es una parte importante de un enfoque integral con respecto a la seguridad de los datos.
Al comprender cómo el descubrimiento y la clasificación de datos, el análisis de exposición y postura, y la remediación ayudan a prevenir las brechas de datos y cumplir con las regulaciones cada vez más estrictas, tendrá una buena idea de qué capacidades de DSPM se adaptan mejor a su empresa.
Varonis lidera el mercado de DSPM en Gartner Peer Insights y es la única solución que corrige automáticamente los riesgos, aplica políticas y detecta amenazas en tiempo real.
Explore más sobre nuestra plataforma y programe una demostración de 30 minutos para obtener más información.
