Es hora de un “reinicio” del DRM: Conclusiones del Informe de Comunicaciones de Contenidos Sensibles de Kiteworks 2023
La Digitalización Aumenta el Riesgo
Las organizaciones privadas y públicas de todo el mundo dependen cada vez más de las comunicaciones digitales, lo que hace que la necesidad de medidas de ciberseguridad robustas sea cada vez más vital. El crecimiento de la comunicación digital coincide con un aumento de las amenazas cibernéticas, con estados-nación deshonestos, ciberdelincuentes y proveedores de servicios gestionados en el mercado negro centrando su atención en la rica recompensa que ofrece el contenido confidencial.
Según Harvard Business Review, el impacto financiero, legal y de cumplimiento de los ciberataques en los datos puede ser dramático. Por ejemplo, las tarifas de auditoría para las organizaciones son aproximadamente un 13.5% más altas para las empresas que han experimentado una violación de datos en comparación con aquellas que no lo han hecho. Y hay un impacto a largo plazo: el 60% de las organizaciones que experimentan una violación de datos han aumentado sus precios. Para las empresas que cotizan en bolsa, hay un impacto medible: aquellas con una violación de datos tienen un rendimiento inferior al NASDAQ en un 8.6% después de un año y un 11.9% después de dos años.
La sofisticación en los ciberataques hace que sea cada vez más difícil combatir las amenazas cibernéticas. Por ejemplo, un estudio encontró que el 80% de los grupos de amenazas y el 40% del malware en 2021 no se habían observado antes. Como resultado, se está volviendo cada vez más difícil bloquear estos ataques.
Las Violaciones de Datos Sensibles en Aumento
Montando esta ola maliciosa, el robo de contenido sensible está escalando a un ritmo alarmante. El Informe de Tendencias M de Mandiant 2023 destaca un sorprendente aumento del 37% en los incidentes de robo de datos en un año, pasando del 29% al 40%. Además, más de 3,500 grupos de amenazas, incluidos 900 nuevos en 2022, forman parte de estos ataques, que implican decodificación y eliminación de archivos en más de una cuarta parte de los incidentes. El último Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible de Kiteworks identificó ataques de contraseñas y credenciales, manipulación de URL y denegación de servicio como los vectores de ataque más frecuentes en las comunicaciones de contenido sensible.
El Informe de Investigaciones de Violaciones de Datos de Verizon 2023 subraya la prominencia de los datos personales en estos ataques, con más de la mitad de las violaciones involucrando información personal identificable (PII) e información de salud protegida (PHI). En términos de vectores de ataque, el correo electrónico, seguido de cerca por las aplicaciones web y las soluciones de compartición de escritorio, sigue siendo un problema de seguridad importante para las organizaciones, con casi el 60% de los ataques de ingeniería social siendo pretextos y relacionados con el compromiso de correo electrónico empresarial (BEC).
Algunas Violaciones de Datos Son Involuntarias
El creciente panorama de amenazas cibernéticas no solo está moldeado por las acciones de estos actores maliciosos. El error humano juega un papel sustancial en la exposición de contenido sensible. El informe de Verizon sugiere que el 43% de las violaciones de datos involucran entrega incorrecta de datos, mientras que el 23% ocurren debido a errores de publicación, transmitiendo inadvertidamente datos a la audiencia equivocada. Estos resultan de casos donde correos electrónicos y archivos se envían o comparten con el destinatario o destinatarios incorrectos, y usuarios no autorizados reciben acceso a carpetas, archivos y datos de formularios web sensibles.
Aumento de las Regulaciones de Privacidad de Datos
Conjuntamente con el costo creciente de los ataques a datos sensibles, hay un énfasis en las regulaciones de privacidad de datos a nivel mundial. Estas van desde estándares de privacidad de datos hasta puntos de referencia de ciberseguridad, imponiendo requisitos de cumplimiento estrictos a las empresas que operan en diversas jurisdicciones.
Por ejemplo, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, desde su implementación en 2018, ha surgido como una de las regulaciones más estrictas del mundo para datos personales. Se extiende a través de 27 estados miembros de la UE y conlleva sanciones significativas por incumplimiento. Sin embargo, el RGPD no está solo. Actualmente, 157 países tienen regulaciones nacionales de protección de datos sustanciales, marcando un aumento significativo desde 145 países hace solo 15 meses.
Los EE. UU., aunque carecen de una regulación nacional similar al RGPD, imponen requisitos estrictos de protección de PHI bajo la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA). Además, varios estados de EE. UU. han introducido sus propias regulaciones tras la aprobación de la Ley de Privacidad del Consumidor de California (CCPA) en 2018. Todo esto se suma al complejo tapiz de regulaciones con las que las empresas deben cumplir.
Las empresas contratistas del gobierno, especialmente aquellas en los EE. UU., están sujetas a regulaciones adicionales. El Programa de Gestión de Riesgos y Autorización Federal (FedRAMP) ha estandarizado las prácticas de ciberseguridad para servicios en la nube para todas las agencias gubernamentales y contratistas de EE. UU. La Certificación del Modelo de Madurez de Ciberseguridad (CMMC) 2.0 ahora requiere que más de 300,000 miembros de la Base Industrial de Defensa (DIB) cumplan con uno de los tres niveles de madurez según sus contratos con el Departamento de Defensa (DoD), con el objetivo de proteger la información no clasificada controlada (CUI) e información sobre contratos federales (FCI).
Alcance del Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2023
Con esto como telón de fondo, Kiteworks lanzó un informe anual en 2022: su Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible. El informe del año pasado presentó numerosos conocimientos útiles de la industria. Por ejemplo, más de la mitad de las organizaciones están inadecuadamente protegidas contra riesgos de seguridad y cumplimiento de terceros relacionados con las comunicaciones de contenido sensible. Las razones de estos fallos pueden estar vinculadas a la falta de cifrado y controles de gobernanza, y a informes de cumplimiento inexactos e insuficientes. El informe de 2022 también encontró que dos tercios de las organizaciones utilizan más de cuatro herramientas diferentes de comunicación de contenido sensible. La lista de hallazgos podría continuar.
El informe del año pasado encuestó a más de 400 profesionales de TI, seguridad, riesgo y cumplimiento en siete sectores industriales. Para 2023, ampliamos el número de participantes de la encuesta a más de 781 individuos en 13 industrias en 15 países y cuatro continentes. Como se discutió anteriormente, la divulgación de PII, PHI, datos de transacciones, finanzas de la empresa, propiedad intelectual (IP), información no pública sobre fusiones y adquisiciones, y asuntos legales puede ser desastrosa para la mayoría de las organizaciones. Para gestionar la exposición intencional e involuntaria de datos y el incumplimiento de regulaciones, las organizaciones están recurriendo a la gestión de derechos digitales (DRM). Estos y otros aspectos se exploran en detalle a continuación.
Desentrañando la Complejidad del Paisaje de Comunicación Actual
El aumento exponencial en las interacciones con terceros es una preocupación de seguridad significativa para las organizaciones. El informe revela que el 90% de las organizaciones compartieron contenido con más de 1,000 entidades externas en 2023, un salto significativo desde el 63% del año anterior. Además, el 44% ahora comparte contenido con más de 2,500 terceros. Esta extensa red de interacciones con terceros abarca organizaciones de diversos tamaños y sectores industriales, subrayando la universalidad del problema.
Complicando aún más el problema, el uso de canales de comunicación para transmitir contenido sensible está en aumento. Con el 50% de las organizaciones implementando seis o más herramientas para comunicaciones de contenido sensible, la tarea de rastrear y asegurar el intercambio de contenido se está volviendo cada vez más compleja. Esta complejidad requiere la asignación de recursos sustanciales, lo que lleva a costos más altos y un panorama de cumplimiento más desafiante.
Brechas en la Madurez de la Seguridad
El informe pone de manifiesto una marcada brecha entre los esfuerzos de seguridad actuales de las organizaciones y lo que se requiere para una gestión efectiva del contenido sensible. Un poco más de una cuarta parte de los encuestados considera que sus medidas de seguridad y prácticas de gestión son adecuadas. Las organizaciones reconocen los riesgos inherentes asociados con varios canales, incluidos el correo electrónico, el intercambio de archivos, las aplicaciones móviles y las API.
El número de incidentes que apuntan específicamente a la comunicación de contenido sensible es preocupantemente alto, con más del 80% de las organizaciones reportando cuatro o más intrusiones en el último año. El impacto financiero y de cumplimiento de estos ataques ha sido severo, con más del 60% reportando repercusiones financieras, el 44% reportando impacto en la marca y el 42% experimentando costos de cumplimiento y legales.
Luchando con los Requisitos de Cumplimiento
El cumplimiento sigue siendo un obstáculo significativo, con las organizaciones dedicando recursos sustanciales para cumplir con estándares regulatorios como el RGPD, PIPEDA, PCI DSS y HIPAA, entre otros. Si bien los encuestados muestran una comprensión de las mejores prácticas, hay una brecha significativa en la aplicación de estas prácticas.
Solo una pequeña fracción de las organizaciones ha logrado extender el seguimiento, registro y control de acceso de contenido sensible a todos los usuarios, departamentos, tipos de contenido y terceros. En consecuencia, solo el 27% de los encuestados siente que su gestión de riesgos de cumplimiento está bajo control. El 73% restante cree que hay una necesidad de una revisión completa de su enfoque o mejoras significativas.
Realizando la Promesa de la Gestión de Derechos Digitales
En medio de los desafíos, el informe identifica un rayo de esperanza en forma de gestión de derechos digitales (DRM). El DRM se ve como una solución prometedora para estos problemas, enfatizando la clasificación del contenido sensible, segmentándolo según el riesgo y controlando el acceso de acuerdo con roles y geografías.
Aunque la adopción ha sido lenta, la mayoría de las organizaciones entienden la importancia del DRM y están alineando gradualmente sus estrategias en consecuencia. Creemos que se necesita un “reinicio”. A pesar de los desafíos en la implementación, como la necesidad de intervención de agentes para archivos no cifrados con terceros y controles personalizables para diferentes usuarios y tipos de contenido, el DRM está ganando terreno como una metodología preferida.
El informe también subraya el valor de adherirse a estándares de la industria como el Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST CSF). Cumplir con estos estándares puede agilizar la adopción del DRM, asegurando una protección más robusta contra las amenazas cibernéticas.
Papel Crucial de los Socios Tecnológicos en la Protección de las Comunicaciones de Contenido Sensible
Las organizaciones públicas y del sector que buscan combatir las amenazas cibernéticas deben encontrar los socios tecnológicos adecuados. Para las comunicaciones de contenido sensible, los encuestados buscan características de seguridad robustas, como cifrado automático de extremo a extremo, DRM y seguimiento e informes de cumplimiento. También buscan soluciones que les permitan consolidar sus herramientas y sistemas de comunicación dispares para reducir CapEx y OpEx. Esto les ahorra tiempo y recursos significativos al compilar grupos de datos dispares capturados a través de múltiples herramientas de comunicación, asumiendo que esas herramientas incluso capturan los datos necesarios para demostrar la adherencia a la regulación de cumplimiento asociada.
Cuando las organizaciones unifican sus herramientas de comunicación en una sola plataforma, pueden establecer políticas uniformes para rastrear y controlar las comunicaciones de contenido sensible en cumplimiento con las regulaciones de la industria y gubernamentales mientras aplican un enfoque de seguridad unificador. Esto reduce tanto sus riesgos de seguridad como de cumplimiento.
Evaluaciones Pesimistas y Optimistas de las Comunicaciones de Contenido Sensible en el Informe
El informe de este año pinta un panorama tanto preocupante como prometedor. Por un lado, las comunicaciones de contenido sensible siguen siendo un desafío. Las organizaciones enfrentan un mayor riesgo debido al crecimiento en el número de herramientas de comunicación que utilizan y la diversidad de terceros con los que envían y comparten información. No es sorprendente que más de tres cuartas partes aún no rastrean y controlan las comunicaciones de contenido sensible tanto en las instalaciones como en la nube, así como en todos los departamentos y usuarios. Estos problemas, junto con una creciente sofisticación en los ciberataques, hacen que las intrusiones sean inevitables, y se está sintiendo un impacto significativo. Ante las restricciones financieras y la escasez de habilidades en ciberseguridad, es imposible destinar más recursos y presupuesto a los problemas asignados, asumiendo que tal cosa incluso funcionaría.
Por otro lado, el informe revela que los líderes y practicantes están priorizando soluciones para abordar estos problemas. Estos se agrupan en torno a cuatro elementos de acción diferentes:
1. Enfoque Holístico al Cumplimiento
A medida que diferentes jurisdicciones, incluidos varios estados dentro de los EE. UU., introducen un mosaico de nuevas regulaciones, las organizaciones deben cambiar su atención. En esta emergente Era del Cumplimiento, el enfoque ya no debe estar en marcar las casillas de cada regla individual. En su lugar, las organizaciones deben adoptar mejores prácticas universales, que aseguren la adherencia a todas las regulaciones. Proponemos adoptar un marco integral como el NIST CSF, trabajando hacia el cumplimiento absoluto de todos sus aspectos. Tal enfoque culmina naturalmente en el DRM.
2. Resurgimiento del DRM
Las organizaciones deben adoptar un método integral para categorizar meticulosamente los datos, asegurando que cada categoría esté fácilmente accesible para aquellos que lo requieran para sus deberes específicos de rol mientras se restringe el acceso a todos los demás. Este enfoque es crucial para una gestión adecuada de datos.
3. Protección contra Amenazas Internas
Casi una de cada cinco violaciones de datos son causadas por empleados u otras personas con acceso a sistemas internos. Al clasificar y segmentar meticulosamente los datos, y limitar el acceso basado en roles específicos, las organizaciones pueden protegerse contra la exposición de datos tanto intencional como no intencional desde dentro.
4. Protecciones de Seguridad
Los ciberdelincuentes y los estados-nación ilícitos son muy conscientes del valor de la información sensible y buscan explotar cualquier debilidad o brecha en las medidas de seguridad de las herramientas de comunicación utilizadas para distribuir esta información. Por lo tanto, es crucial comprender y examinar las características de seguridad de tus herramientas de comunicación. Usar las prioridades clave destacadas en este informe como referencia para estas revisiones podría servir como un punto de partida efectivo.
Enfoque en DRM, NIST CSF y Más en 2023
El informe de Kiteworks 2023 proporciona una visión detallada de los desafíos y oportunidades en el entorno de seguridad actual intrincado. Con un número creciente de terceros involucrados en el intercambio de contenido sensible, las organizaciones deben intensificar sus esfuerzos de seguridad para proteger sus recursos digitales.
A pesar de la tarea desalentadora de lograr una seguridad óptima, hay optimismo con el advenimiento de tecnologías como el DRM y el NIST CSF. Al aprovechar estas herramientas y alinearse con el proveedor de tecnología adecuado, las organizaciones pueden asegurar la seguridad de sus comunicaciones sensibles, mantener el cumplimiento y, en última instancia, prosperar en un mundo cada vez más interconectado.
Los hallazgos del informe enfatizan la importancia crítica de asegurar la comunicación de contenido sensible en nuestra era digital. Considerando la naturaleza del contenido compartido y su amplia distribución, las organizaciones deben implementar medidas sólidas para protegerse contra las amenazas cibernéticas en constante evolución.
Asegurar la comunicación de contenido sensible está indudablemente cargado de obstáculos. Sin embargo, con la tecnología adecuada, la planificación estratégica, el marco de seguridad y la gobernanza, las organizaciones pueden superar estos desafíos. El informe actúa en última instancia como una guía para las empresas a nivel mundial, instándolas a tomar pasos distintos para proteger sus comunicaciones sensibles en medio de un panorama digital en constante evolución.
Lee el informe completo de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2023 descargando una copia hoy. Haz clic aquí.