Una de las tecnologías que han emergido recientemente en el ámbito de la seguridad de los datos es la denominada “Gestión de la Postura de la Seguridad de los Datos” o más conocida en inglés como “Data Security Posture Management” (DSPM). A través de técnicas de IA/ML estas tecnologías nos permite identificar y clasificar nuestros datos más sensibles, así como evaluar y remediar riesgos sobre estos.

Dentro de las herramientas y procesos del DSPM, aparecen otras ya presentes en el ámbito de la Seguridad Centrada en los Datos (descubrimiento de datos, clasificación, DLP, etc.).

En este artículo veremos cómo se relacionan y más concretamente describiremos:

¿Qué es Data Security Posture Management (DSPM)?

“Data Security Posture Management” hace referencia al proceso de descubrir e identificar dónde está la información más sensible de una organización, evaluar el riesgo de seguridad asociado a los mismos, monitorizar la actividad de los usuarios sobre estos y protegerlos o reducir el riesgo de fuga o pérdida de información.

En agosto de 2022, Gartner identificó la Gestión de la Política de Seguridad de los Datos como una tecnología emergente y transformacional en el Hype Cycle for Data Security. Según Gartner la Gestión de la Postura de Seguridad de los Datos proporciona visibilidad sobre dónde se encuentran los datos sensibles, quién tiene acceso a estos, cómo son utilizados y cuál es la postura de seguridad de la aplicación o sistema donde se encuentran almacenados. Requiere un análisis del flujo de datos para determinar su sensibilidad, y supone la base de un análisis de riesgos sobre la información (Data Risk Assessment – DRA) para evaluar la implementación de políticas de gobernanza de seguridad de datos (Data Security Governance – DSG).

Retos, Objetivos y Beneficios de la Gestión de la Postura de Seguridad de los Datos

El rápido crecimiento de los datos, la migración a la nube, y el cumplimiento regulatorio

En la actualidad los datos se encuentran en múltiples plataformas y sistemas de almacenamiento. Guardamos datos sensibles en formato no estructurado en plataformas como Microsoft 365, Box, SharePoint, o cualquier tipo de gestión documental sea en Cloud u On-Premise. Por otro lado, disponemos de datos sensibles en CRMs como Salesforce y otro tipo de aplicaciones SaaS, y existen cada vez más recursos en plataformas de Infraestructura como Servicio (IaaS), Plataforma como Servicio (PaaS), Base de Datos como Servicio (DBaaS), etc. que almacenan información sensible tanto en formato estructurado como no estructurado.

Las empresas se enfrentan al reto del rápido crecimiento de la información almacenada en estos sistemas, y cómo evaluar y priorizar los riesgos de seguridad y privacidad a los que estos datos pueden estar sujetos. Entre los datos puede haber información personal, datos financieros, o información confidencial sujeta a determinadas regulaciones (GDPR, HIPAA, PCI, etc.).

Las herramientas de identificación, clasificación y gestión de fugas de información se han centrado de forma tradicional en el control de los datos dentro del perímetro de la organización, pero la migración a la nube y la amplia variedad de sistemas existentes hacen que estos sistemas hayan quedado limitados.

Objetivos de la Gestión de la Postura de Seguridad de los Datos

Los objetivos del conjunto de herramientas y prácticas que conforman la Gestión de la Postura de Seguridad de los Datos son:

1. Mitigar el riesgo de sufrir una fuga de información. Todos los pasos que mostramos a continuación de identificación de información, clasificación, etc. tienen el objetivo final de proporcionar la forma de evitar fugas de datos o brechas de seguridad de la información más sensible de la organización.

2. Mejorar el cumplimiento normativo de regulaciones específicas de un determinado sector (ej. PCI, Defensa-NIST), territorio o tipo de datos (ej. GDPR).

3. Automatizar y mejorar la eficiencia de los equipos de seguridad a la hora de facilitar la mitigación del riesgo de fuga de datos y el cumplimiento normativo, intentando llegar a los datos de los que disponga una organización en cualquier ubicación o plataforma.

Beneficios de la Gestión de la Postura de Seguridad de los Datos

Los beneficios que ofrece la Gestión de la Postura de Seguridad de los Datos están lógicamente en línea con los objetivos antes comentados:

1. Priorizar aquellos puntos del entorno corporativo que debemos securizar por las debilidades encontradas y el riesgo de fuga de datos críticos.

2. Simplificar el cumplimiento normativo y la identificación de debilidades de forma eficiente y automatizada a través de los diferentes equipos, sistemas de almacenamiento, plataformas IaaS, PaaS, DBaaS, etc. utilizadas por la organización.

¿Cómo funciona el DSPM?

Para alcanzar los objetivos y beneficios arriba comentados, un software de Gestión de la Postura de Seguridad de los Datos proporciona las siguientes capacidades:

1. Descubrimiento e identificación de datos: Las herramientas de DSPM ofrecen visibilidad en tiempo real de dónde está la información crítica en los diferentes sistemas de almacenamiento y sistemas de la organización.

Además de sistemas NAS, PCs, etc. y equipos on-premises, ofrece visibilidad sobre los almacenes de datos en la nube tanto a nivel de gestión documental, como bases de datos, o sistemas tipo Amazon S3 o similares en Azure, Google Cloud u otras nubes.

En sistemas IaaS, PaaS o DBaaS, las organizaciones tienen sus datos distribuidos en máquinas virtuales, instancias, y sistemas que son redundados, se pueden copiar entre diferentes zonas de disponibilidad en la nube o se realiza backup de los mismos en sistemas paralelos.

El reto de poder escanear todos estos repositorios y disponer de visibilidad en tiempo real de los datos sensibles en los mismos es realmente complejo.

2. Clasificación de los datos sensibles: El objetivo de la clasificación de datos es la priorización de qué información es más importante y debemos proteger primero o tomar medidas de seguridad especiales sobre la misma.

Entre todos los sistemas y plataformas que hay en una organización, es necesario enfocarse a nivel de seguridad en aquello que es más crítico (ej. Propiedad intelectual clave de una compañía) o sujeto a regulaciones de las cuáles depende la operación de la compañía y cuyo incumplimiento podría impactar en el negocio.

El software de DSPM permite clasificar estos datos realizando esta priorización para que podamos centrarnos después en proteger aquellos que sean más críticos.

3. Evaluación de los riesgos de seguridad: Una vez están identificados y clasificados los datos es necesario identificar el riesgo de seguridad al que están sujetos, especialmente aquellos datos más críticos para la organización.

La información se mueve constantemente, y en este proceso, no vale con identificar los datos en reposo sino qué posibles riesgos de seguridad están apareciendo debido al movimiento de estos, tanto por la descarga de un fichero de la nube, como, por ejemplo, por la copia de datos a una copia de seguridad en otra plataforma.

Dentro de los datos críticos gestionados por una organización, esta identificación de riesgos acota aún más el espectro de aquellos en los que debemos centrarnos para evitar un riesgo de pérdida o incumplimiento normativo.

4. Remediación y Gestión de Políticas de Seguridad sobre los Datos: Podemos tener visibilidad sobre dónde están nuestros datos más valiosos, tenerlos clasificados y recibir alertas de riesgo de fuga elevado sobre un determinado fichero, pero si no somos capaces de remediarlo aplicando políticas de seguridad adecuadas sobre el mismo, todos los esfuerzos previos habrán servido para muy poco.

Si hay enlaces públicos en una determinada aplicación de nube que no deberían serlo, es necesario remediar esta situación, si hay datos críticos que están siendo descargados de un repositorio y llegando a partners fuera de la organización debemos protegerlos, si hay datos duplicados, en desuso en sistemas en riesgo deberíamos poder eliminarlos, etc.

Por otro lado, siguiendo el modelo de seguridad Zero-Trust debería ser capaz de mantener un esquema de mínimo-privilegio de acceso sobre los datos.

Una herramienta de DSPM permite gestionar políticas de seguridad de diferentes plataformas o conectarse con plataformas de seguridad de terceros para remediar los posibles riesgos de seguridad sobre los datos detectados en la organización.

¿Qué relación tiene DSPM con otras tecnologías de Seguridad Centrada en los Datos?

En el siguiente artículo evaluamos las diferentes herramientas de seguridad centrada en los datos, pero ¿en qué sentido compiten o se complementan con DSPM? Veamos algunas de las más relevantes:

1. Descubrimiento de datos: Estas herramientas se han centrado tradicionalmente en el descubrimiento de datos dentro de repositorios on-premise. No sólo identifican tipos de datos sensibles (ej. personales, financieros, etc.) sino que identifican acciones sobre determinados ficheros (copia, eliminación, modificación, etc.) dentro de una carpeta de red. Estos sistemas están intentando abarcar nuevos repositorios de ficheros en la nube.

Como se ha comentado anteriormente el descubrimiento de datos es parte de las herramientas de un DSPM, que además intenta abarcar plataformas tipo IaaS, PaaS o DBaaS.

2. Clasificación de Datos: Existen sistemas de clasificación de información en uso, donde el usuario indica el nivel de clasificación de un fichero y sistemas de clasificación de información en reposo, donde en un escaneo de una carpeta de red, etc. se identifican datos confidenciales (realmente nos referimos a ellos como sistemas de descubrimiento de información).

Esta clasificación es parte importante de un DSPM como se ha visto más arriba. Cara a aumentar la eficiencia y la automatización de tareas, la clasificación proporcionada por un DSPM es automática como en los sistemas de descubrimiento, pero no debemos olvidar la importancia de la clasificación de datos en uso donde el usuario que gestiona la información la cataloga como Confidencial, Uso Interno, etc.

3. Prevención frente a fugas de Datos (DLP): Son herramientas centradas en la prevención de exfiltraciones de datos fuera del perímetro de seguridad de la organización: endpoints, sistemas de email, copias por USB, subidas a sistemas web, etc.

Se centran en infraestructura on-premise y no son aplicables a sistemas cloud, sin embargo, pueden ser un componente importante en el proceso de remediación: Una vez se han identificado riesgos sobre la información es necesario establecer políticas de remediación y seguridad sobre los datos para minimizar la posibilidad de sufrir una brecha de seguridad.

Una variante son los CSP-Native DLP (Cloud Security Platforms DLP) que está a medio camino entre un DLP en la nube y un CASB. Realmente son funcionalidades de DLP ofrecidas por plataformas de nube como M365, Google Workspace, etc. También hay soluciones de DLP nativas o funcionalidades de DLP específicas en fabricantes de nube pública como AWS, Azure o Google Cloud.

4. Cloud Access Security Broker: Los CASB realizan tareas de identificación de información sensible en aplicaciones SaaS (ej. M365, Google Workspace, Salesforce, etc.), y permiten establecer políticas de seguridad sobre estos datos en reposo y tránsito: bloquear descargas, copias, etc.

Se centran en aplicaciones SaaS y no en datos on-premise lógicamente o máquinas virtuales almacenadas en un IaaS, PaaS o datos estructurados en DBaaS. Al igual que el DLP para On-Premise, en el ámbito de DPSM, pueden cubrir el paso de remediación estableciendo políticas de seguridad en SaaS allí donde más riesgos se han detectado sobre los datos.

5. Cifrado: Como mostramos en este artículo, una de las formas más comunes de proteger los datos en reposo es el cifrado. Esto puede aplicar a datos no estructurados como ficheros en una NAS, datos en bases de datos on-premise o en sistemas PaaS. También permite proteger la información en tránsito como por ejemplo en cifrado en el email y, por otro lado, el cifrado es también la base de técnicas de preservación de la privacidad que permiten mitigar fugas de información sobre los datos en uso.

Como se ha visto anteriormente, el DSPM sin la parte de remediación y gestión de políticas de seguridad vale de muy poco. Es por ello por lo que el cifrado es una herramienta importante a la hora de proteger los datos en cualquier ubicación.

6. Gestión de Derechos Digitales (IRM/DRM): También en los anteriores artículos referenciados se recoge la importancia de proteger los documentos, ficheros o datos no estructurados en cualquier ubicación a través de IRM/E-DRM. A diferencia del cifrado de ficheros, una solución de IRM/E-DRM permite proteger la documentación en uso.

Un usuario puede abrir un documento protegido por IRM sólo si tiene permisos y con los permisos que el dueño de la documentación le ha otorgado (ej. sólo ver y editar, pero no imprimir o copiar y pegar, etc.) Además, es posible tener trazabilidad sobre los datos en cualquier ubicación y posibilidad de revocar o bloquear accesos esté el fichero donde esté.

Un sistema DSPM puede controlar datos estructurados en repositorios o plataformas controladas por la organización, pero ¿qué sucede cuando los datos han sido descargados de la nube por terceros, enviados por email a un proveedor, etc.? Para mantener el control sobre estos y tener una estrategia de acceso por mínimo-privilegio estas tecnologías son clave en el apartado de remediación de una plataforma DSPM.

Existen también otras herramientas y procesos denominados CSPM (Cloud Security Posture Management), pero que se centran realmente en la protección de la infraestructura y no los datos a diferencia de un DSPM. En el caso de los DSPM todos los riesgos están centrados en la gestión de la infraestructura y de las comunicaciones sin llegar al contenido y sensibilidad de los datos.

Por último, los sistemas Software-as-a-Service (SaaS) Security Posture Management (SSPM) hacen relación a un conjunto de herramientas para mantener la seguridad en las aplicaciones y servicios SaaS indicando la exposición a diferentes tipos de ataques (ej. riesgos en el ámbito de la gestión de identidad, vulnerabilidades, etc.). A diferencia del DSPM no se centran en el contenido y la sensibilidad de los datos sino en el resto de las amenazas que afecta al acceso a una aplicación SaaS.

Inteligencia Artificial, Machine Learning e innovaciones en el ámbito de la DSPM

El crecimiento del volumen de datos gestionado por las organizaciones hace necesario disponer de sistemas más eficientes a la hora de detectar dónde está la información más valiosa y discernir los riesgos más apremiantes sobre nuestros datos.

Es en estos puntos donde las técnicas de Inteligencia Artificial y Machine Learning pueden ofrecer un valor diferencial sobre soluciones “legacy”:

  • Gracias a algoritmos de IA/ML se puede identificar con mayor precisión dónde se encuentra la información más sensible de la organización.
  • A través del entrenamiento con modelos de datos de diferentes tipos de información se pueden identificar rápidamente datos que afecten en concreto a determinadas regulaciones.
  • Por último, entre todas las alertas que aparecen en una organización sobre los datos, las técnicas de aprendizaje automático pueden ayudar a discernir las más críticas para la organización.
    1. Un sistema de DSPM debe contar con técnicas de IA/ML en el ámbito de la identificación, clasificación de datos (como la utilizada por SealPath Data Classification), e identificación de riesgos sobre la información.Por otro lado, la automatización es un proceso clave para disponer de un sistema eficiente a la hora de establecer políticas de protección y remediaciones. Esta automatización permite escalar las medidas de seguridad a la misma velocidad que crecen los datos y repositorios gestionados por la organización.Cara a facilitar la automatización es importante contar con sistemas de descubrimiento de información que no estén basados en agentes y puedan acceder a diferentes sistemas Cloud sin necesidad de instalar plugins, etc.
    2. Conclusiones

      Las herramientas y tecnologías de Gestión de la Postura de Seguridad sobre los Datos están como indica Gartner en un estadio aún embrionario, pero es un área en la que se prevé un rápido crecimiento debido al mayor volumen de datos y plataformas gestionadas por las organizaciones.

      Como hemos visto, DSPM tiene relación con otras tecnologías de seguridad centrada en los datos, pero intenta abarcar más e ir hacia el control de datos también en plataformas PaaS, DBaaS, IaaS, etc. Realmente el foco principal es hacia la nube.

      Sin embargo, una organización debe evaluar dónde tiene hoy en día sus datos más sensibles: ¿En repositorios en on-premise? ¿En ficheros en una plataforma como Box u M365? Si es así, los esfuerzos en el ámbito de DSPM deberían centrarse en la identificación, clasificación, mitigación de y remediación de riesgos sobre los datos en estos repositorios, apoyándose en mejoras técnicas que la DSPM proporciona como la IA/ML.

      Por último, es importante destacar que la parte de identificación y clasificación de datos o la identificación de riesgos no protege de por sí a la información. El proceso de protección de los datos en reposo, tránsito y uso es crítico si queremos tenerlos a salvo de posibles brechas de seguridad.

      Si quieres saber cómo SealPath puede ayudarte en el ámbito de la clasificación y protección de documentación sensible impulsada por IA/ML contacta con nosotros.