Por qué asegurar las comunicaciones de contenido confidencial es crítico en 2024

La tarea de gestionar los riesgos de privacidad de datos y cumplimiento se está volviendo cada vez más compleja, reflejando la sofisticación de aquellos que buscan explotar estas vulnerabilidades. Este artículo del blog profundiza en los desafíos y predicciones presentados en el Pronóstico de Comunicaciones de Contenido Sensible de Kiteworks para 2024, ofreciendo perspectivas y estrategias para quienes están al frente de esta batalla crítica.

Escalando el Panorama de Amenazas

La era digital ha traído consigo un nivel sin precedentes de conectividad y conveniencia, pero esta interconexión también abre puertas para los ciberdelincuentes. Estos actores nefastos están constantemente refinando sus métodos, haciendo más desafiante detectar y frustrar sus ataques. Una tendencia preocupante, destacada en el informe de Kiteworks, es el cambio hacia el objetivo de las cadenas de suministro. Este enfoque permite a los atacantes comprometer una amplia gama de organizaciones a través de un solo punto de falla, magnificando el impacto de sus acciones. Solo el año pasado, los proveedores de terceros, incluidos los proveedores de tecnología, representaron un significativo 15% de las violaciones de datos exitosas.

La aparición de la inteligencia artificial generativa y los modelos de lenguaje grande (GenAI LLMs) ha complicado aún más el panorama de la ciberseguridad. Estas tecnologías, aunque innovadoras, presentan nuevas vías para la explotación y manipulación de datos, haciendo que la tarea de proteger contenido sensible sea cada vez más ardua.

Respuesta Regulatoria y Desafíos Organizacionales

En respuesta a estas crecientes amenazas, los organismos reguladores de todo el mundo no solo están fortaleciendo los marcos de privacidad de datos existentes, sino que también están introduciendo nuevas regulaciones. La creciente severidad de las multas y sanciones por incumplimiento subraya la seriedad con la que se están llevando a cabo estos cambios. Para las organizaciones, esto se traduce en una mayor necesidad de seguimiento y control vigilante del acceso al contenido, junto con registros de auditoría integrales para demostrar la adherencia a estos mandatos de cumplimiento en evolución.

Perspectiva de Kiteworks para 2024

El Pronóstico de Comunicaciones de Contenido Sensible de Kiteworks para 2024 proporciona un análisis exhaustivo de las tendencias del año pasado y ofrece predicciones para el próximo año. Un desafío clave identificado en el informe es la gestión de la privacidad y el cumplimiento en las comunicaciones de contenido sensible. Esto incluye una variedad de herramientas de comunicación como correo electrónico, intercambio de archivos, transferencia de archivos administrada (MFT), SFTP y formularios web. Muchas de estas herramientas, desarrolladas hace más de una década, están aisladas en silos y carecen de las características de seguridad avanzadas necesarias para combatir las amenazas cibernéticas modernas.

Esta brecha en las capacidades de seguridad ha llevado a violaciones de datos significativas, lo que ha llevado a las organizaciones a reevaluar sus herramientas actuales de comunicación de datos. El informe anticipa un cambio en la estrategia para 2024, con un número creciente de organizaciones que buscan centralizar sus herramientas de comunicación en una sola plataforma. Tal consolidación podría ofrecer numerosas ventajas, incluyendo procesos de auditoría simplificados y gestión de políticas unificada, proporcionando una defensa más robusta contra las amenazas cibernéticas.

Pronóstico 2024 para Gestionar el Riesgo de Exposición de Contenido Privado

12 Predicciones de Comunicación de Contenido Sensible para 2024

A continuación se presenta un resumen rápido de las 12 predicciones contenidas en el Informe de Pronóstico 2024 de Kiteworks. Desde abrazar los avances tecnológicos hasta fomentar una cultura de conciencia de ciberseguridad, el camino por delante requiere un enfoque multifacético.

1. Riesgo de Privacidad de Datos y Cumplimiento de AI LLMs

Se espera que el uso de modelos de lenguaje grande de inteligencia artificial generativa (GenAI LLMs) por parte de empleados y terceros se duplique a pesar de las prohibiciones, ya que la ventaja competitiva que proporcionan es demasiado significativa para ignorar. Aproximadamente el 15% de los empleados ya están ingresando datos de la empresa en estos modelos, y una cuarta parte de estos datos es sensible, aumentando el riesgo de exposición para la propiedad intelectual, la información personal y de salud, los documentos financieros y las comunicaciones sensibles. Esta tendencia probablemente aumentará las violaciones de datos y atraerá la atención regulatoria en 2024, lo que podría resultar en daños a la marca, multas, costos legales y pérdida de confianza del cliente.

Las organizaciones se están moviendo hacia modelos de confianza cero que limitan el acceso y la colaboración según la sensibilidad de los datos, asegurando el acceso de menor privilegio y un monitoreo y registro exhaustivo del acceso y movimiento del contenido. Habrá un aumento notable en el uso de la gestión de derechos digitales (DRM) para contenido de alto riesgo para facilitar la colaboración segura mientras se previene la extracción no autorizada de datos. Además, las inversiones en capacitación sobre conciencia de seguridad de datos están aumentando para promover el uso responsable de GenAI LLMs entre los empleados. Al asegurar datos no estructurados e implementar una gobernanza estricta, las organizaciones apuntan a reducir significativamente sus riesgos de seguridad y cumplimiento.

2. Privacidad de Datos y Regulaciones y Estándares de AI LLM

La aparición de GenAI LLMs ha llevado a los organismos reguladores a actuar rápidamente en el establecimiento de regulaciones y estándares de AI. Un paso notable es la Orden Ejecutiva (EO) de la Casa Blanca del 30 de octubre, que busca equilibrar los riesgos y beneficios de la AI. Esta EO dirige a las agencias federales a desarrollar estándares de AI y alienta al Congreso a participar en los esfuerzos de regulación. Establece nuevos estándares de seguridad y protección, salvaguarda la privacidad de los datos de los ciudadanos estadounidenses y fomenta un mercado de AI equitativo. La EO, con orientación del NIST, ordena al gobierno de EE. UU. examinar el uso y adquisición de AI y requiere que los desarrolladores de AI se sometan a evaluaciones de seguridad federales.

En EE. UU., el impulso legislativo está creciendo, con estados considerando activamente o aprobando leyes relacionadas con AI. A nivel internacional, la próxima Ley de AI de la UE para 2026 establece requisitos claros para el uso de AI, enfocándose en la mitigación de riesgos mientras se alivia la carga administrativa sobre las empresas, especialmente las PYMES.

El Manual de Juego de AI RMF del NIST está dando forma a estándares que abordan los riesgos de terceros, las pruebas de estrés, la gobernanza de datos y la transparencia. En 2024, las organizaciones que se adhieran a estos estándares deberán gestionar los riesgos de contenido sensible con controles técnicos sólidos y prácticas de AI responsables. A medida que evolucionan los requisitos de seguridad de AI, demostrar el cumplimiento a través del seguimiento de la gobernanza y registros de auditoría detallados será crucial. Los expertos predicen que la segunda mitad de 2024 probablemente verá la implementación de estándares de AI, con las estructuras de gobernanza necesarias tomando tiempo para establecerse y operacionalizarse.

3. Necesidad de un Enfoque Moderno de MFT

Muchas soluciones de Transferencia de Archivos Administrada (MFT) están desactualizadas y carecen de medidas de seguridad esenciales, con implementaciones en las instalaciones sufriendo de una falta de refuerzo por parte del proveedor y un enfoque en silos que sobrecarga a los clientes con la gestión de vulnerabilidades. Esto incluye la implementación de estrategias como cortafuegos, detección de intrusiones y tecnologías antivirus. Estos sistemas heredados a menudo carecen de características de seguridad cruciales como la Prevención de Pérdida de Datos (DLP), la Prevención Avanzada de Amenazas (ATP) y el Desarmado y Reconstrucción de Contenido (CDR).

En 2024, las organizaciones preferirán dispositivos virtuales modernos para MFT que permitan actualizaciones con un solo clic de los proveedores e incluyan seguridad avanzada integrada para combatir las crecientes amenazas cibernéticas. Las herramientas de MFT son vitales para la transferencia segura y automatizada de datos y son esenciales para el cumplimiento en la cadena de suministro de software, que está siendo cada vez más atacada por ciberataques. El informe de IBM mostró que el 12% de las violaciones involucran la cadena de suministro de software, con terceros representando el 15% de las violaciones de datos.

Las recientes explotaciones de día cero en herramientas MFT importantes por parte de ciberdelincuentes indican que tales vulnerabilidades seguirán siendo un foco para los ataques en 2024, con implicaciones significativas para la cadena de suministro, multas regulatorias, costos legales y reputación de la marca.

Descubre la Anatomía de una Violación de MFT

4. Necesidad de una Puerta de Enlace de Protección de Correo Electrónico Moderna

El correo electrónico sigue siendo el vector de ataque principal para las amenazas cibernéticas, con ataques de malware y phishing aumentando un 29% y el compromiso de correo electrónico empresarial (BEC) un 66%. La cantidad media robada por ataque BEC ha alcanzado los $50,000. La seguridad de correo electrónico tradicional lucha contra estos sofisticados ataques de ingeniería social, que a menudo apuntan al error humano. Más del 80% de las violaciones de datos explotan vulnerabilidades humanas, eludiendo las medidas de seguridad de correo electrónico obsoletas.

Aunque el cifrado de correo electrónico ha mejorado, con el 90% de los ejecutivos de TI priorizándolo para la comunicación externa, las prácticas internas están rezagadas, con el 79% de las empresas compartiendo datos sensibles no cifrados por correo electrónico. Además, solo el 35% de las empresas tienen medidas de cifrado extensas implementadas. Las complejidades y dificultades con los métodos de cifrado e intercambios de claves públicas contribuyen a estas deficiencias.

Los desafíos de seguridad de correo electrónico persisten, incluyendo la falta de DRM, DLP, detección avanzada de amenazas, almacenamiento seguro en la nube y gestión robusta de identidades. Hasta que las organizaciones adopten la gestión de políticas de confianza cero para enviar, recibir y almacenar correos electrónicos, la seguridad del correo electrónico seguirá siendo un riesgo significativo para la privacidad de datos y el cumplimiento en 2024.

5. Crecimiento en Regulaciones y Estándares de Privacidad de Datos

En 2023, las regulaciones de privacidad de datos continuaron proliferando, con Gartner pronosticando que para finales de 2024, los datos personales del 75% de la población mundial estarán bajo tales regulaciones, aumentando el presupuesto promedio de privacidad de las empresas a más de $2.5 millones. EE. UU. vio a cinco estados promulgar leyes de privacidad en 2023, con otros 10 listos para seguir en los próximos dos años.

A nivel mundial, el enfoque en la privacidad de datos se está intensificando, con la UE avanzando en múltiples legislaciones, incluyendo el GDPR, la Ley de Mercados Digitales, la Ley de Servicios Digitales y la Regulación de AI. El nuevo Marco de Privacidad de Datos de la UE, que facilita las transferencias de datos transatlánticas, requiere que las empresas estadounidenses se autocertifiquen en cumplimiento con el Departamento de Comercio.

El Marco de Privacidad del NIST, lanzado inicialmente en 2020, se espera que se expanda en 2024 para cubrir aspectos más amplios de la gestión de riesgos empresariales, alineándose con las emergentes leyes federales de privacidad. Se anticipan actualizaciones al Marco de Ciberseguridad del NIST (CSF) que también enfatizarán evaluaciones de riesgos continuas y gestión de riesgos de la cadena de suministro. Las organizaciones enfrentan desafíos para demostrar el cumplimiento debido a enfoques en silos para la comunicación de contenido sensible, pero se espera que se muevan hacia una gobernanza centralizada y registros de auditoría para un mejor seguimiento e informes.

6. Importancia Creciente de la Soberanía de Datos

En 2024, las tendencias de localización de datos amplifican los desafíos de la soberanía de datos para las organizaciones, ya que los organismos reguladores a nivel mundial, incluyendo el 70% de los países, imponen controles estrictos sobre la recopilación, almacenamiento y uso de datos. Este entorno regulatorio obliga a las empresas, especialmente a las multinacionales, a gestionar las jurisdicciones en las que residen los datos, equilibrándolo con la tendencia de democratización de datos, haciendo que los datos sean ampliamente accesibles dentro de una organización. La soberanía de datos, que abarca todos los tipos de datos como la información personal identificable, se vuelve crítica para mantener el cumplimiento y minimizar los riesgos legales, lo que a su vez fomenta la confianza y protege las reputaciones.

El despliegue de aplicaciones está cada vez más dictado por las leyes de soberanía, con países como Alemania y China imponiendo controles estrictos, y la Ley CLOUD de EE. UU. presentando más complicaciones para el manejo internacional de datos. Las empresas a menudo prefieren proveedores que ofrezcan alojamiento doméstico para cumplir con estas leyes. Sin embargo, leyes como la Ley CLOUD pueden influir en las decisiones de alojamiento, llevando a una preferencia por soluciones de alojamiento de tenencia única que simplifican el cumplimiento con la soberanía de datos, a pesar de los posibles desafíos de auditoría. Se espera que las empresas se adapten adoptando características de soberanía de datos dentro de las aplicaciones o eligiendo alojamiento de tenencia única para gestionar despliegues en múltiples países de manera más efectiva.

7. Aumento de Multas por Violaciones de Privacidad de Datos

Las multas por violaciones de privacidad de datos han aumentado en los últimos dos años, alcanzando niveles récord por violaciones del GDPR, con expectativas de que esta tendencia continúe en 2024. Las multas notables de 2023 incluyen la penalización de $1.3 mil millones de Meta por parte de la Comisión de Protección de Datos de Irlanda, el acuerdo de $391.5 millones de Google con 40 estados de EE. UU., la multa de $61.7 millones de Amazon por parte de la FTC y la penalización de $2.1 millones de Uber, también por parte de la FTC.

Los organismos reguladores están intensificando la aplicación de las leyes de privacidad e imponiendo fuertes multas por incumplimiento. Estas sanciones a menudo resultan de una gobernanza y seguridad de datos inadecuadas, como se vio en las multas sustanciales contra Marriott y British Airways bajo el GDPR. Esta tendencia sugiere una postura regulatoria estricta contra las empresas que manejan negligentemente los datos personales. Con la promulgación de más leyes de privacidad de datos en EE. UU. e internacionalmente, se espera que las consecuencias financieras por violaciones aumenten.

A medida que la aplicación sigue siendo estricta en 2024, con la mayoría de la población mundial bajo regulaciones de privacidad de datos, es probable que las organizaciones establezcan operaciones dedicadas a la privacidad de datos. Para aquellos que operan internacionalmente, esto requerirá adaptar los diseños y adquisiciones de servicios en la nube para alinearse con los requisitos de localización de datos variables en 2024.

8. Adopción de Soluciones de Comunicación de Contenido Sensible Autorizadas por FedRAMP

La Ley de Autorización de Defensa Nacional James M. Inhofe para 2023, promulgada por el Presidente Biden, formaliza el programa FedRAMP dentro de la Administración de Servicios Generales e inicia mejoras para agilizar la adopción gubernamental de servicios en la nube. Paralelamente, la OMB ha propuesto actualizaciones para modernizar FedRAMP, con el objetivo de expandir el programa, mejorar las revisiones de seguridad y acelerar la adopción segura de la nube por parte del gobierno federal.

Para 2024, se espera que la Autorización FedRAMP, mandatada a través de una auditoría anual estricta, sea un requisito previo para los proveedores de servicios en la nube que busquen colaborar con el gobierno federal de EE. UU. Para los contratistas de defensa dentro de la DIB, el CMMC 2.0 incorpora estipulaciones de FedRAMP, y poseer comunicaciones de datos de archivos y correos electrónicos autorizadas por FedRAMP facilitará el cumplimiento para estos contratistas. Con un número creciente de contratistas de la DIB esforzándose por la certificación de Nivel 2 de CMMC en 2024, habrá un enfoque mayor en emplear soluciones tecnológicas compatibles para transferencias de datos de archivos y correos electrónicos.

9. Emergencia de la Gestión de Derechos Digitales para Proteger Contenido Sensible

La gestión de derechos digitales (DRM) está destinada a volverse más prevalente a medida que las organizaciones se esfuerzan por asegurar contenido sensible en medio de crecientes demandas regulatorias, con proyecciones de mercado que sugieren un aumento a más de $5 mil millones para 2024. Según Gartner, integrar DRM con tendencias tecnológicas más amplias será esencial. Las organizaciones dependerán cada vez más de estándares como el Marco de Ciberseguridad del NIST y el NIST 800-53 para la gestión de políticas definidas por contenido.

La urgencia por DRM es impulsada por crecientes amenazas cibernéticas, regulaciones estrictas de privacidad de datos y la necesidad de gestionar el intercambio de contenido tanto dentro como fuera de los límites organizacionales. El DRM de última generación ofrecerá protección esencial para datos sensibles más allá del perímetro de la organización, enfocándose en la seguridad persistente. La implementación efectiva de DRM requiere un seguimiento, control y visibilidad cohesivos en todos los entornos digitales, adhiriéndose a las mejores prácticas de gobernanza, flujo de trabajo y control de acceso.

En 2024, la clasificación de datos y la gestión de políticas de DRM serán vitales, con niveles de protección variables alineados con las categorías de riesgo de datos. Los sectores altamente regulados, especialmente el de la salud con sus vastas cantidades de datos personales, junto con las instituciones financieras, de fabricación, legales, gubernamentales y educativas, están preparados para liderar la adopción de soluciones avanzadas de DRM para gestionar sus riesgos de privacidad de datos y cumplimiento.

10. Integración de Seguridad Avanzada en las Comunicaciones de Contenido Sensible

En 2024, las organizaciones están preparadas para adoptar ampliamente tecnologías avanzadas de ciberseguridad como la prevención de pérdida de datos en la nube (DLP), la prevención avanzada de amenazas (ATP) y el desarmado y reconstrucción de contenido (CDR) dentro de sus flujos de trabajo de gestión de contenido sensible. Estas herramientas serán integrales para asegurar los datos tanto en tránsito como en reposo. DLP escaneará las comunicaciones salientes para prevenir divulgaciones no intencionadas, mientras que CDR eliminará activamente elementos potencialmente dañinos de los documentos entrantes. Se espera que las plataformas de Transferencia de Archivos Administrada (MFT) incorporen de manera nativa estas características, mejorando la seguridad y previniendo violaciones de políticas.

El enfoque estará en lograr una supervisión integral sobre los movimientos de contenido, junto con un monitoreo robusto y registros de auditoría detallados. Las plataformas centralizadas, especialmente MFT, simplificarán la aplicación de políticas de seguridad a través de varias herramientas de comunicación, incluyendo correo electrónico, intercambio de archivos y formularios web. La integración de ATP asegurará que todo el contenido transferido sea escaneado a fondo y se minimicen los riesgos. Se proyecta que el mercado de DLP se expanda significativamente, impulsado por la creciente necesidad de descubrimiento de datos, aplicación de políticas, clasificación y respuesta a incidentes, con una tasa de crecimiento anual compuesta esperada del 22.3% hasta 2030.

11. Centralización de las Comunicaciones de Contenido Sensible y la PCN

El concepto de Redes de Contenido Privado (PCNs) está destinado a redefinir los modelos tradicionales de seguridad de confianza cero al enfocarse en la sensibilidad del contenido en lugar de la defensa del perímetro de la red. Las PCNs operan en principios de confianza definidos por contenido, asignando etiquetas de sensibilidad a los datos y aplicando medidas de seguridad como cifrado y control de acceso adaptadas al nivel de sensibilidad clasificado del contenido. Este enfoque asegura que la seguridad esté alineada con la importancia de los datos, no solo con su ubicación en la red.

En 2024, las organizaciones adoptarán cada vez más las PCNs, integrando la gestión dinámica de políticas que resuena con la sensibilidad de los datos. Este sistema aplica políticas de riesgo matizadas basadas en roles de usuario, clasificación de contenido y acciones destinadas a los datos, incluyendo verificación adicional para información altamente sensible. Además, las PCNs mejoran la visibilidad y el cumplimiento a través de registros detallados de interacciones de contenido, encarnando el máximo de confianza cero de “nunca confíes, siempre verifica”, y allanando el camino para la gestión unificada de las comunicaciones de contenido sensible.

12. Crecimiento en las Comunicaciones de Archivos Muy Grandes que Contienen Contenido Sensible

A medida que los tamaños de archivo se expanden significativamente, las organizaciones enfrentan crecientes desafíos en la gestión de contenido de archivos grandes y sensibles. Campos como la biotecnología están generando enormes archivos de datos de secuenciación de ADN debido a los avances en la investigación genética y la medicina personalizada. En diseño e ingeniería, la complejidad de los archivos CAD está aumentando. La dependencia de las fuerzas del orden en evidencia de video, el uso de medios de alta definición en marketing y los archivos de análisis en expansión en economía e investigación científica exigen soluciones robustas de almacenamiento y transferencia segura.

El floreciente sector de modelos de lenguaje grande privados (LLMs) es otra área de preocupación, con conjuntos de datos de entrenamiento aumentando rápidamente en tamaño y confidencialidad. La gestión de estos grandes conjuntos de datos sensibles se está convirtiendo en un problema operativo crucial.

La necesidad del servicio al cliente de manejar extensos archivos de registro y HAR, que contienen datos sensibles como lo demostró la violación de Okta, destaca las vulnerabilidades de seguridad. La tendencia de los empleados a usar métodos de transferencia no aprobados exacerba aún más estos riesgos. Aunque los servicios de almacenamiento en la nube como Microsoft 365 y Box han ampliado sus límites, todavía no cumplen con los requisitos de las industrias intensivas en datos, lo que requiere avances en capacidades de transferencia y almacenamiento seguro de archivos grandes.

Abordando las Predicciones de 2024 con una PCN

Las crecientes amenazas cibernéticas como los ataques a la cadena de suministro y los riesgos de GenAI LLMs aumentarán el riesgo cibernético en 2024. Haciendo esto más difícil están las regulaciones de privacidad de datos globales en expansión y evolución, que incluyen aumentos sustanciales en multas y sanciones. Para abordar estos, veremos un aumento en DRM y PCNs en seguridad centrada en datos. Las organizaciones se moverán hacia plataformas centralizadas para unificar correo electrónico, transferencia de archivos y colaboración, MFT y formularios web bajo políticas consistentes que cumplan con los principios de confianza cero.

La ventaja es que Kiteworks ofrece una PCN que aborda muchas predicciones como protección avanzada contra amenazas, controles de acceso robustos, registros de auditoría detallados y transferencias seguras de archivos grandes para ayudar a gestionar los riesgos de contenido sensible. Para ver la PCN habilitada por Kiteworks en acción, programa una demostración personalizada hoy mismo.

Recursos Adicionales

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks