domingo, octubre 1, 2023
Ciberseguridadtic
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestructuras
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Debates
    • Debate seguridad del email 2023
    • Debate cadena de suministro 2023
    • Debate indentidades 2023
    • Debate seguridad banca 2023
    • Debate Administraciones públicas 2023
    • Debate Zero Trust 2023
    • Debate Ransomware 2023
  • Reportajes

    Los hackers no creen que una IA Generativa pueda reemplazar su creatividad

    Knox Matrix. Cuantos más dispositivos tengas, más seguro estarás

    Secure&IT anuncia una propuesta de CISO Virtual y SecureGRC

    Arranca Women4Cyber Startup School #2

  • Revista Online
    • Mayo 2023
    • Abril 2023
    • Marzo 2023
    • Febrero 2023
  • FORO TAI
  • Suscripciones
No Result
Ver todos los resultados
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestructuras
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Debates
    • Debate seguridad del email 2023
    • Debate cadena de suministro 2023
    • Debate indentidades 2023
    • Debate seguridad banca 2023
    • Debate Administraciones públicas 2023
    • Debate Zero Trust 2023
    • Debate Ransomware 2023
  • Reportajes

    Los hackers no creen que una IA Generativa pueda reemplazar su creatividad

    Knox Matrix. Cuantos más dispositivos tengas, más seguro estarás

    Secure&IT anuncia una propuesta de CISO Virtual y SecureGRC

    Arranca Women4Cyber Startup School #2

  • Revista Online
    • Mayo 2023
    • Abril 2023
    • Marzo 2023
    • Febrero 2023
  • FORO TAI
  • Suscripciones
No Result
Ver todos los resultados
Ciberseguridadtic
No Result
Ver todos los resultados
Inicio Opinión

Data Security Posture Management (DSPM), una evolución de la estrategia de protección de información corporativa

En esta tribuna Juan Carlos de Miguel Pérez-Herce, Cibersecurity Services de IBM Consulting, habla de Data Security Posture Management (DSPM), unas capacidades que buscan acelerar el análisis de cómo se puede reforzar y hacer cumplir la postura de seguridad de los datos a través de controles de seguridad complementarios.

Rosalía ArroyoPor: Rosalía Arroyo
julio 20, 2023
159
Visualizaciones
TwitterLinkedin

 El contexto actual: entornos de datos hiperdistribuidos

Hoy día, la velocidad de creación y consumo de datos por parte de las organizaciones está creciendo de forma muy significativa con la digitalización de sus negocios y transformación de sus aplicativos, la adopción de técnicas de Inteligencia Artificial generativa  para la creación de contenido original a partir de datos ya existentes, y la explosión del cloud como su habilitador principal. Esta tendencia está provocando además un cambio en el valor que los datos tienen para una organización y la percepción que éstas tenían al respecto.

Pero esta agilidad en el uso y el valor de los datos está incrementando la superficie de ataque y complejidad para las organizaciones. Esto se debe a que los datos ya no se crean, consumen ni residen en perímetros (ubicaciones) más o menos predefinidos, sino en entornos hiperdistribuidos: múltiples CSPs, aplicativos SaaS, servicios de data lake, etc. En este contexto, las estrategias de protección de datos –que todavía en muchos casos se centran mayoritariamente en la protección de los aplicativos, la red e infraestructuras donde estos se alojan y procesan– dejan de ser válidas precisamente por esa dilución del concepto de perímetro, así como esa necesidad de una mayor agilidad de adecuación y adaptación al cambio.

Esta nueva realidad demanda una redefinición y evolución de nuestra estrategia para potenciar y poner un mayor foco en la protección del dato en sí, poniéndolo en primer lugar y en una posición central de la estrategia (data-centric protection), en lugar de únicamente en la infraestructura donde está alojado.

Pero, una vez revisitada la estrategia, pueden surgir dudas respecto a cómo implementarla.

Las aproximaciones y tecnologías existentes, ¿una sopa de letras?

Para poder dar respuesta a las necesidades de protección del dato existen numerosas soluciones disponibles en el mercado, que continuamente escuchamos por sus siglas en inglés: bDSP y DSP, DSaaS, CASB, DLP, EKM, KMaaS, FHE, DAG, DSG, confidential computing (en TEEs/enclaves), etc.

Esta sopa de letras de soluciones supone un problema para muchas empresas que no son capaces de determinar qué es lo que necesitan y cómo priorizarlo, no sólo por su elevado número (por ejemplo, Gartner enumera más de 30 en Hype Cycle for Data Security 2022) sino por la necesidad de disponer de conocimientos avanzados y especialistas en la materia.

Ante esta encrucijada, lo fundamental es saber posicionar dicha tecnología en el contexto de nuestra estrategia de protección y cómo contribuye a ella, es decir:

  • Qué casos de uso resuelve (funcionalidad proporcionada) para entender qué tecnologías o soluciones son análogas, pues sirven para implementar el mismo control de seguridad.
  • Sobre qué fases de nuestra estrategia actúa (conocimiento de los datos, protección, monitorización, respuesta/remediación, visibilidad/gobierno, etc.)
  • Sobre qué tipo de datos/información y de activos actúa (ej: estructurada, no estructurada, cloud vs. onprem, etc.)
  • Por último, y a partir de todo lo anterior, qué riesgos realmente mitiga/elimina de los que específicamente he identificado sobre mis datos.

Pero, aunque estas soluciones resuelven bien (o muy bien) el objetivo que persiguen, el principal problema que presentan es que generalmente se centran en el plano operativo resolviendo sólo casos de uso de protección concretos. Además, funcionan como silos independientes, son eminentemente estáticas y no tienen en cuenta aspectos fundamentales para la protección como la sensibilidad, el linaje y residencia de los datos (ubicación, formato…), la configuración de la infraestructura o la agilidad de gestión y adaptación que requiere el cloud.

En definitiva, no son capaces de proporcionar una visión holística, completa y dinámica de todos los aspectos relativos a la postura de seguridad de los datos, incluyendo una vista común del mapa de riesgos, y su priorización a partir del contexto, la sensibilidad, el linaje, la exposición y el uso de estos.

Los controles nativos proporcionados por los CSPs

También es frecuente encontrar que muchas organizaciones directamente abogan por el uso de las capacidades y controles nativos que proporcionan los CSPs para la protección de sus datos. En realidad, no dejan de ser implementaciones de alguna de las categorías descritas anteriormente y, por ello, a priori no añaden nada nuevo.

La decisión de utilizarlos como opción preferente se debe por lo general a su agilidad para poder ser consumidos de forma directa. Y, a su vez, presentan modelos de pago por uso inicialmente atractivos, y sin tener que realizar un desembolso inicial, por ejemplo, en concepto de licencias.

Sin embargo, aunque en general estos controles pueden ser efectivos en la nube del CSP que los proporciona, en la práctica tienen poca o nula interoperabilidad e integración con el resto de clouds y/o con herramientas de protección de datos de terceros. Esto supone un inconveniente adicional, pues obliga a que la organización realice una gestión de los riesgos y gobierno de la estrategia de protección de forma aislada para cada uno de los hyperscalers.

La revolución del Data Security Posture Management (DSPM)

Para dar respuesta a esta necesidad de mayor visibilidad y poder monitorizar en tiempo real todo lo que afecta a la postura de seguridad de los datos, incluyendo el gobierno consistente de los riesgos a través de diferentes CSPs, y de la forma más automatizada posible, en los últimos años ha surgido una nueva categoría de soluciones denominada Data Security Posture Management (DSPM).

Este concepto fue introducido por Gartner por primera vez en su informe Hype Cycle for Data Security 2022 como una de las principales tecnologías emergentes que “proporciona visibilidad sobre dónde residen los datos sensibles, quién tiene acceso a esos datos, cómo se han utilizado y cuál es la postura de seguridad del repositorio o el aplicativo que los usa”.

Dicho de forma sencilla y como la propia Gartner refleja en informes posteriores, la soluciones DSPM brindan «descubrimiento de datos avanzado», es decir, descubrimiento en profundidad junto con características de “observabilidad” de los datos. Estas funcionalidades pueden incluir visibilidad en tiempo real de los flujos de datos, y el nivel de riesgo y cumplimiento a partir de los controles de seguridad aplicados. El objetivo es identificar gaps de seguridad y exposiciones indebidas. DSPM acelera el análisis de cómo se puede reforzar y hacer cumplir la postura de seguridad de los datos a través de controles de seguridad complementarios.

Aunque el DSPM surgió inicialmente de la mano de nuevas empresas, lo cierto es que existe una tendencia a que fabricantes ya consolidados comiencen a integrar en su portfolio este conjunto de funcionalidades Por ello quizás es más preciso hablar de capacidades de DSPM que de tecnologías/productos en sí mismos como una solución independiente.

Principales beneficios y características de un DSPM

Los principales casos de uso y beneficios de un DSPM se pueden clasificar en:

  • Descubrimiento de datos críticos (estructurados y no estructurados): incluyendo repositorios y bases de datos no utilizadas o desconocidas (shadow data) y  clasificación de dichos datos en función de su tipología, sensibilidad, contexto, flujos, y relación/mapeo con normativas aplicables.
  • Detección de riesgos y amenazas sobre los datos en función de su sensibilidad y nivel de exposición, así como su priorización para determinar cuáles deben ser mitigados antes. Para ello, se deben entender los flujos de creación, uso y consumo de los datos (linaje), qué/quién tiene acceso o accedió a los mismos, e incluso sus configuraciones/vulnerabilidades. Algunos ejemplos de riesgos habituales que un DSPM ayuda a descubrir son, por ejemplo, los relativos a:
    • Un inadecuado gobierno de los accesos a los datos. Por ejemplo, eliminando aquellos que están accesibles públicamente en CSPs y aplicativos SaaS, o que tienen una excesiva exposición a terceros (subcontratista, proveedores, etc.)
    • Movimientos indeseados o desconocidos de los datos, por ejemplo, entre entornos y/o cuentas de la organización (puede suponer cambios en su nivel de protección, exposición o acceso por terceros), entre regiones/países (modifican la residencia de los datos, lo cual suele ser relevante para el cumplimiento), hacia componentes y/o aplicativos no permitidos, etc.
    • La pérdida o fuga de datos desde mis entornos cloud, aplicativos SaaS y/o servicios de data lake.
  • Soporte para la respuesta y remediación de las vulnerabilidades y riesgos identificados, además de proponiendo medidas para que no vuelvan a ocurrir.

Por otra parte, los DSPM presentan las siguientes características:

  • Una alta automatización de los procesos DSPM descritos anteriormente: evaluación de la postura de seguridad de los datos, descubrimiento y priorización de riesgos/vulnerabilidades y su remediación. De hecho, si la solución no es capaz de hacerlo lo más automáticamente posible, impide su objetivo de implementar protección en los CSPs a escala masiva. Los diferentes fabricantes son conscientes y están poniendo mucho foco en el desarrollo de capacidades que habiliten esta automatización; por ejemplo, aumentando los “clasificadores automáticos” de datos out-of-the-box, incorporando y mejorando los algoritmos de proximidad y el uso de AI/ML para aumentar la precisión del análisis contextual, etc.
  • Son agent-less, es decir, no requiere el despliegue de agentes y trabajan a nivel de CSP, aplicativo SaaS o servicio de data lake (no de base de datos o repositorio de ficheros), utilizando las APIs nativas que éstos proporcionan para su implantación, lo que hace que sea muy poco intrusivo y agiliza considerablemente su despliegue. Igualmente, un DSPM proporciona 100% acceso vía API para integrarse fácilmente con otras herramientas de protección de datos existentes en la organización.

Por último, cabe mencionar que los DSPM no pretenden reemplazar otras herramientas existentes de seguridad de los datos o para la gestión y mejora de la postura de seguridad en otros ámbitos (ej: de las aplicaciones o ASPM, del cloud o CSPM, etc.). El objetivo es que se complementen y trabajen conjuntamente. De hecho, los DSPM deberían incorporar datos contextuales, alertas y otras métricas de la infraestructura, herramientas de seguridad, operaciones TIC y DevSecOps existentes.

Conclusión

Para mantener los datos críticos de nuestra organización adecuadamente protegidos se requiere gestionar los riesgos a los que se ven sometidos, así como reducir su nivel de exposición aplicando los principios de “necesidad de conocer” y de “necesidad de compartir”. Para ello, es importante “entender” qué datos se utilizan (tipología, sensibilidad, contexto…), dónde residen (repositorios estructurados y no estructurados, residencia…) y quién los utiliza (accesos, exposición, flujos…). Y esta visibilidad sobre la postura de seguridad de los datos y su gestión debe ser estática y en tiempo real.

Las capacidades de Data Security Posture Management (DSPM) suponen un nuevo paradigma que ponen al dato en primer lugar y en una posición central, para proporcionar una visión holística e integrada de todo lo que afecta a la postura de seguridad de los datos. Los DSPM combinan funciones de descubrimiento, monitorización y análisis de la información en tiempo real, una vista común del mapa de riesgos, y su priorización a partir del contexto, sensibilidad, linaje, exposición y uso de los datos. Aunque son tecnologías relativamente novedosas, sus características poco intrusivas y facilidad de despliegue hacen que tengan unos tiempos de despliegue y time-to-value relativamente cortos y una dependencia baja del fabricante seleccionado, lo que las hace relativamente atractivas para cualquier organización.

Juan Carlos de Miguel Pérez-Herce, Cibersecurity Services, IBM Consulting

Tags: DatosDSPMIBM Consulting

DESTACADO

Entrevistas

“La empresa que no utilice las herramientas de la manera más eficiente está condenada”

septiembre 26, 2023

El CISO es “la única persona en la empresa que tiene la capacidad de hablar el lenguaje técnico y el...

Leer más
Contenido Premium

Microsoft, seguridad completa y confiable a la velocidad de IA

septiembre 25, 2023 - Actualizado en septiembre 28, 2023

En el estudio Cyber Signals, publicado por la Unidad de Delitos Digitales de Microsoft en mayo de este año, se...

Leer más
ciberseguridad - Ciberseguridad TIC - Tai Editorial - España
Destacado

“La ciberseguridad tiene que formar parte de la agenda política”

septiembre 19, 2023 - Actualizado en septiembre 20, 2023

El reciente nombramiento de Begoña Villacís como directora global de Relaciones Institucionales de BeDisruptive, concede al sector tecnológico, y especialmente...

Leer más
Entrevistas

“Acronis está trabajando en el lanzamiento de su servicio MDR”

septiembre 13, 2023 - Actualizado en septiembre 20, 2023

Este año Acronis cumple 20 como empresa independiente. Su oferta inicial de software de copia de seguridad y recuperación ante...

Leer más

SOBRE NOSOTROS

CiberseguridadTIC es una publicación de T.a.i. Editorial con información y análisis para las empresas y profesionales de seguridad

Contáctanos: correo@taieditorial.es

SÍGUENOS EN:

T.a.i. Editorial S.A. ®, marca registrada 2023 | Aviso Legal | Política de Privacidad | Política de Cookies | Anúnciese aquí

No Result
Ver todos los resultados
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestructuras
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Debates
    • Debate seguridad del email 2023
    • Debate cadena de suministro 2023
    • Debate indentidades 2023
    • Debate seguridad banca 2023
    • Debate Administraciones públicas 2023
    • Debate Zero Trust 2023
    • Debate Ransomware 2023
  • Reportajes
  • Revista Online
    • Mayo 2023
    • Abril 2023
    • Marzo 2023
    • Febrero 2023
  • FORO TAI
  • Suscripciones

© 2023 JNews - Premium WordPress news & magazine theme by Jegtheme.