El concepto de datos en la sombra
Supón que un empleado, por comodidad, copia datos confidenciales de la empresa en una hoja de cálculo personal menos segura y basada en la nube. O que los datos de los clientes se copian en un entorno de desarrollo desde el de producción para utilizarlos como datos de prueba, pero el equipo olvida que ha duplicado esos datos y nunca se borran o se guardan en una ubicación menos segura.
En ambos supuestos, los datos estaban más seguros en su ubicación original y no se había previsto en ningún momento que se copiasen, y mucho menos que se copiaran y se olvidaran. Aunque estas acciones pueden parecer inofensivas, introducen riesgos muy importantes para la seguridad, ya que hacen que estos datos se conviertan en los llamados "datos en la sombra".
El concepto de datos en la sombra (datos gestionados fuera de los controles seguros de la organización) es una fuente de preocupación para la ciberseguridad. En esta publicación, analizaremos más de cerca qué son los datos en la sombra, los riesgos que plantean y qué puede hacer tu organización para controlarlos.
¿Qué son los datos en la sombra?
En pocas palabras, los datos en la sombra son todos los datos que se crean, almacenan o comparten y existen fuera del marco centralizado y seguro de gestión de datos.
Los datos en la sombra pueden alojarse en dispositivos personales, a menudo debido a que los empleados transfieren información por comodidad. En otros casos, los datos en la sombra pueden acabar en el almacenamiento en la nube, en plataformas como Amazon S3, sin las medidas de seguridad adecuadas, o en tablas de datos descuidadas dentro de una base de datos.
¿Dónde se originan los datos en la sombra?
Los datos en la sombra pueden originarse de forma involuntaria o intencionada:
- Aplicaciones tradicionales desmanteladas: cuando los datos históricos de los clientes se migran a una nueva aplicación, con frecuencia se dejan inactivos en la ubicación de almacenamiento original, donde permanecen hasta que se toma la decisión de eliminarlos o no. Estos datos inactivos pueden seguir alojados durante mucho tiempo, lo que los hace cada vez más invisibles y vulnerables a exploits.
- Análisis e inteligencia empresarial: los científicos de datos y los analistas de negocios hacen copias de los datos de producción para extraer tendencias y nuevas oportunidades de ingresos. Realizan pruebas sobre datos históricos, a menudo almacenados en copias de seguridad o almacenes de datos, para validar nuevos conceptos de negocio y desarrollar oportunidades específicas. Estos datos en la sombra podrían no eliminarse ni protegerse adecuadamente una vez que se completa el análisis, por lo que se vuelven vulnerables al uso indebido o a la filtración.
- Migración de los datos a SaaS: los empleados suelen adoptar el software como servicio (SaaS) sin obtener la aprobación formal de los departamentos de TI, lo que genera una implementación descentralizada y no monitorizada de aplicaciones.
- Error humano: la conservación de datos de clientes en entornos de desarrollo es el ejemplo clásico de error humano que crea datos en la sombra debido a que acaban siendo olvidados o no se hacen copias de seguridad correctamente. Esto también incluye a los empleados que almacenan documentos o datos de trabajo confidenciales en dispositivos personales no seguros.
Datos en la sombra como análogo de shadow IT
Los conceptos de datos en la sombra y shadow IT (TI en la sombra) están estrechamente relacionados en el ámbito de la seguridad de la información, ya que ambos se derivan del uso de tecnología no autorizada dentro de una organización. La shadow IT se produce cuando los empleados utilizan software, dispositivos o servicios no aprobados para llevar a cabo tareas relacionadas con su trabajo. A menudo, esto ocasiona que se almacenen o traten datos de formas no autorizadas ni supervisadas por el departamento de TI de la organización; de ahí la conexión entre la TI en la sombra y los datos en la sombra. Sin embargo, los datos en la sombra pueden crearse incluso sin el uso de hardware, software o servicios en la nube no autorizados.
La relación entre la shadow IT y los datos en la sombra pone de manifiesto las complejidades de los entornos de TI modernos. La facilidad de acceso a la tecnología de la que disfrutamos en la actualidad puede poner en peligro la seguridad y agravar los riesgos de filtración de datos e incumplimiento normativo.
Más información
Las soluciones de gestión de la posición de seguridad de los datos son un componente esencial de las soluciones unificadas de la nube, ayudan a evitar la proliferación de datos en la sombra y reducen el riesgo de exposición involuntaria de datos. Descubre cuáles son las preguntas esenciales que debes formularte a la hora de elegir una solución de DSPM para tu organización.
Los riesgos de los datos en la sombra
Los datos en la sombra pueden suponer un riesgo importante para tu organización. La gestión de estos riesgos es crucial para proteger la información confidencial y mantener la integridad de la organización.
Brechas de datos
Por lo general, los datos en la sombra pasan desapercibidos y no son detectados, lo que los deja sin la protección adecuada y, por tanto, los convierte en un objetivo fácil para las ciberamenazas. Y recordemos que cualquier acceso no autorizado a datos (incluso datos en la sombra) puede derivar en una brecha de datos. Como resultado, podría exponerse información confidencial de los clientes, secretos comerciales o comunicaciones internas.
Cumplimiento e implicaciones legales
Almacenar datos en entornos no autorizados puede suponer el incumplimiento de normativas como el RGPD o la HIPAA o de otras leyes aplicables en materia de protección de datos. Si tu empresa no cumple con las disposiciones de estas normativas, podría tener que hacer frente a graves sanciones, conflictos legales y daños importantes a la reputación.
Riesgos operativos
Como los datos en la sombra son datos no gestionados, los análisis de datos podrían no ser precisos, lo que afectaría a las decisiones empresariales. Además, la proliferación de datos no monitorizados y no controlados eleva la complejidad y los costes de la gestión de TI, ya que agota recursos y puede mermar la eficiencia operativa.
Gestión de los datos en la sombra
Para minimizar los riesgos y garantizar la integridad de los datos en toda la organización, es fundamental que gestiones los datos en la sombra de manera efectiva. Si quieres gestionar los datos de manera estructurada, debes combinar las siguientes estrategias.
Técnicas de detección
El primer paso para gestionar los datos en la sombra es detectarlos. Las capacidades en tiempo de ejecución permitirán a tu equipo saber en tiempo real qué datos se mueven y hacia dónde.
Además, mediante herramientas de auditoría y monitorización, podrás automatizar el descubrimiento de todos los datos utilizados en la organización. En este proceso deberías incluir la clasificación de datos estructurados y no estructurados para determinar la confidencialidad de los datos y el impacto que tendría en la organización su exposición. Una vez hayas identificado los datos en la sombra, podrás empezar a gestionarlos y controlarlos.
Estrategias de prevención
Evitar la creación y propagación de datos en la sombra empieza por establecer directivas de seguridad que dictaminen cómo deben utilizarse los datos en la organización. A continuación, podrás recurrir a herramientas con capacidades de tiempo de ejecución para monitorizar continuamente los flujos de datos e implementar esas directivas. Mediante el uso de herramientas que te ayuden a elaborar e implementar directivas dinámicas, podrás adaptarte con facilidad a nuevas amenazas y cambios en los patrones de acceso a datos.
Por otro lado, con los sistema de detección de anomalías, identificarás proactivamente patrones o comportamientos irregulares que podrían ser indicativos de una brecha de datos o de un incumplimiento de la directiva.
Enfoques para la mitigación
Los marcos de gobernanza de datos de tu organización deben tener en cuenta los datos en la sombra para abordar y mitigar riesgos. Para ello, se debe contemplar el uso de herramientas de prevención de pérdida de datos (DLP), y mejorar las medidas de seguridad aplicadas a los datos en la nube. Céntrate en ver la trayectoria completa de los datos entre aplicaciones, repositorios de datos y endpoints. Con esa información, podrás implementar medidas de prevención automatizadas y proactivas que protejan las operaciones de datos.
Conclusión
Gestionar los datos en la sombra de manera eficaz es esencial para preservar la seguridad y la integridad de la infraestructura de datos de tu organización. En esta publicación, hemos analizado dónde se originan los datos en la sombra y qué riesgo generan, así como las mejores prácticas para gestionarlos. Si tu organización tiene en cuenta estos conceptos, podrá mejorar sus medidas de ciberseguridad y garantizar el cumplimiento de la normativa. A la hora de proteger tus datos en entornos de nube contar con una DSPM es fundamental, ya que proporciona un marco integral para clasificar, analizar y proteger dichos datos en entornos de nube dinámicos. CrowdStrike Falcon® Cloud Security integra capacidades en tiempo de ejecución en la DSPM, lo que ofrece una capa adicional de contexto que facilita la priorización de riesgos y reduce la fatiga de alertas. Gracias a esta solución podrás proteger tus datos en todas las implementaciones, ya que tendrás la capacidad de responder a las amenazas en tiempo real.
Dana Raveh ocupa el puesto de Director of Product Marketing para la seguridad de datos y de la nube en CrowdStrike. Antes de unirse a CrowdStrike, Dana lideró equipos de marketing en startups de ciberseguridad como Seemplicity Security y Flow Security (adquirida por CrowdStrike), donde ocupó el cargo de vicepresidenta de marketing. También ha ocupado diversos puestos de marketing y gestión de productos en diferentes organizaciones globales, como Checkmarx. Obtuvo un doctorado en neurociencia cognitiva en el University College de Londres.
