Los 15 Principales Riesgos de Exposición de Datos Privados para 2023

El impulso por adoptar la transformación digital sigue exponiendo a las organizaciones a riesgos significativos de seguridad y cumplimiento. Para establecer límites en las iniciativas de transformación digital, los gobiernos y las organizaciones de estándares internacionales han aprobado diversas regulaciones para proteger la privacidad de datos. Las empresas, a su vez, sienten la presión de cumplir. Un estudio realizado por PwC a principios de este año encontró que las regulaciones de protección de datos y privacidad pesan más en la mente de los ejecutivos que cualquier otro problema derivado de su adopción de la transformación digital. De hecho, el mismo estudio identificó el riesgo de cumplimiento y regulatorio y el riesgo cibernético (empatados al 35%) como su principal preocupación sobre varios otros problemas relacionados con el riesgo.

La dispersión de datos es un factor clave detrás de la preocupación de los ejecutivos sobre el riesgo de cumplimiento y regulatorio. El volumen de datos sigue aumentando vertiginosamente y está conectado a modelos de negocio basados en datos que están presentes en prácticamente todas las industrias y funciones departamentales. Los datos, y más importante aún, los datos de contenido confidencial, tradicionalmente se almacenaban en las instalaciones y se compartían a través de procesos manuales. Hoy en día, el contenido confidencial ha migrado a la nube, haciéndolo más accesible y fácilmente compartido desde cualquier dispositivo o ubicación. Como resultado, el contenido confidencial es, lamentablemente, más susceptible al acceso no autorizado, ya sea malicioso o accidental, que nunca.

Riesgos de Seguridad y Cumplimiento de la Privacidad de Datos

Los riesgos de exposición a la privacidad de datos están impulsando una evolución en el cumplimiento normativo y la ciberseguridad. Los gobiernos están respondiendo a estos riesgos regulando cómo las organizaciones envían, comparten, reciben y almacenan datos privados. Las organizaciones, en respuesta, están recurriendo a tecnologías para agilizar y automatizar la gobernanza de la seguridad y el cumplimiento. 

A medida que las organizaciones reevalúan y evolucionan sus estrategias y programas de administración de riesgos de ciberseguridad para este próximo año, nuestro equipo ha elaborado el Informe de Pronóstico 2023 sobre la Gestión de Riesgos de Exposición de Contenidos Sensibles. Hablamos con miles de organizaciones cada año, y recopilamos de esas discusiones diferentes áreas de predicción que los líderes de TI, seguridad, riesgo y cumplimiento pueden aprovechar para identificar brechas y prioridades en su riesgo de exposición a la privacidad de datos. A continuación, se presenta un breve resumen de los riesgos y pronósticos destacados en el informe.

Crecimiento en las Comunicaciones de Contenidos Sensibles

La cantidad de datos privados que se envían y comparten sigue creciendo exponencialmente. Se espera que el mercado de uso compartido de archivos aumente a una tasa de crecimiento anual compuesta (CAGR) del 28,1% hasta 2027, mientras que se proyecta que el mercado de transferencia de archivos administrada (MFT) se expanda aún más rápido durante el mismo período con un CAGR del 28,3%. También seguiremos viendo un mayor volumen de correos electrónicos, con una expansión anticipada del 12% entre 2020 y 2023, a pesar del aumento en la adopción de plataformas de mensajería instantánea y colaboración. 

A medida que se intercambia más datos privados, tanto dentro de las organizaciones como con terceros, más de esos datos serán interceptados y comprometidos. La interceptación es solo un factor de riesgo. Cómo se reciben y almacenan los datos privados son otras áreas de riesgo. Como resultado, las organizaciones requieren una plataforma de comunicaciones de contenido sensible que utilice un enfoque de seguridad en profundidad, empleando capas de seguridad para proteger la información privada de cibercriminales maliciosos y estados nacionales deshonestos. Esto incluye la capacidad de retractar correos electrónicos enviados y contenido compartido que se entrega accidentalmente al destinatario equivocado. 

Estos factores de riesgo se pueden dividir en dos áreas de pronóstico para 2023:

1. El intercambio de datos sensibles, aunque arriesgado, es un requisito empresarial

2. El envío inseguro de correos electrónicos con contenido sensible sigue siendo un riesgo significativo

El Riesgo de Ciberataques Aumenta

El objetivo de muchos ciberataques es adquirir contenido privado, información sensible que incluye información personal identificable (PII) e información de salud protegida (PHI), propiedad intelectual (IP), documentos financieros, asesoría legal y horarios de fabricación. Los ciberatacantes que roban este contenido privado pueden monetizarlo de varias maneras: mantenerlo como rehén, usarlo para extorsión, venderlo en la web oscura o ofrecerlo a competidores. Las empresas que sufren la exposición de datos privados enfrentan humillación pública y erosión de marca. 

Nuestro Informe de Pronóstico identifica cuatro áreas diferentes para 2023: 

3. El alojamiento en la nube multitenant proporciona un terreno fértil para los ciberatacantes. Por unos pocos miles de dólares, los actores maliciosos pueden adquirir una instancia en la nube para Microsoft y otros proveedores de software. Luego, en un entorno de pruebas, pueden identificar vulnerabilidades y desarrollar exploits complejos utilizados para interceptar contenido sensible a medida que se mueve a través de la cadena de suministro de software. En respuesta, el uso de soluciones de alojamiento de tenencia única, como aquellas con Autorización FedRAMP, con servidores dedicados aislados de otros inquilinos será un enfoque creciente en 2023.

4. Los terceros en la cadena de suministro aumentan el riesgo. Según nuestra investigación, las organizaciones tienen miles de proveedores externos, contratistas, asesores legales y otras entidades externas que acceden, envían, comparten, reciben y almacenan contenido privado. La mayoría de las organizaciones han sido lentas en adoptar prácticas de gestión de riesgos para proteger la información privada que se envía y comparte con terceros. Las organizaciones sensibles al presupuesto buscarán cada vez más a los socios de la cadena de suministro en 2023, a pesar del riesgo inherente.

5. El eje de los estados nacionales deshonestos sigue expandiéndose. Debido a la guerra entre Rusia y Ucrania y otros factores del año pasado, hemos escuchado mucho sobre ciberataques de estados nacionales deshonestos. Investigaciones recientes de Mandiant predicen una trayectoria ascendente de ataques a infraestructuras críticas que seguirá siendo un problema en 2023, y la mayoría de los ataques provendrán de un eje de estados nacionales deshonestos: Corea del Norte, Rusia, China e Irán. El contenido privado es un objetivo principal para ellos, y las organizaciones deben permanecer diligentes en su protección.

6. Los ciberatacantes se vuelven más sofisticados y más peligrosos. El cibercrimen es ahora una industria multimillonaria. Las organizaciones criminales bien financiadas y los estados nacionales deshonestos emplean tecnologías avanzadas como inteligencia artificial (IA) y aprendizaje automático (ML) para ocultar su presencia durante meses o incluso años y cubrir sus huellas después de robar terabytes de contenido sensible.

La Administración de Riesgos de Ciberseguridad Evoluciona para Abordar los Riesgos de Exposición de Datos Privados

Las organizaciones están evolucionando sus estrategias de administración de riesgos de ciberseguridad para enfrentar los avances tecnológicos, monetarios y de procesos de los ciberatacantes. Hemos visto esto con el gobierno federal de EE. UU. con nuevos estándares y mandatos como la Orden Ejecutiva 14028 de la Casa Blanca y memorandos subsecuentes sobre confianza cero y Certificación del Modelo de Madurez de Ciberseguridad (CMMC) para proveedores del Departamento de Defensa (DoD). 

Nuestro Informe de Pronóstico 2023 identifica seis áreas de ciberseguridad que las organizaciones adoptarán para gobernar el contenido sensible en 2023: 

7. Confianza cero definida por contenido y la red de contenido privado. La mayoría de las organizaciones han adoptado la confianza cero para su perímetro de red y gestión de identidad y acceso de eventos. Como se señaló anteriormente, el contenido es el objetivo de muchos ciberataques, y las organizaciones están despertando al hecho de que los mismos principios de confianza cero deben aplicarse al contenido. Esto da lugar a la red de contenido privado, una plataforma dedicada que asegura las comunicaciones digitales de contenido sensible utilizando políticas de contenido de confianza cero.
   

8. Acceso y autenticación de menor privilegio. El 11% de los vectores de infección iniciales son el resultado de credenciales robadas, según el último Informe M-Trends de Mandiant. En respuesta, muchas organizaciones emplean autenticación multifactor para contrarrestar el robo de credenciales para el acceso a redes y aplicaciones. Esto debe extenderse también al acceso al contenido.

9. Más empresas elegirán la propiedad exclusiva de sus claves de cifrado. Muchos clientes finales solo coadministran sus claves de cifrado, lo que permite a las agencias de aplicación de la ley y seguridad, abogados y otras entidades eludir al cliente final y citar a los proveedores de la nube para obtener sus claves de cifrado. En respuesta, las organizaciones buscarán proveedores que ofrezcan la propiedad exclusiva de las claves de cifrado, asegurando que solo el cliente final pueda acceder a sus datos.

10. Minimizar las vulnerabilidades en bibliotecas y software de terceros. El número de Vulnerabilidades y Exposiciones Comunes (CVE) publicadas en 2022 ya es un 35% más alto que el número publicado en 2021. Dado que una cantidad significativa de software consiste en código abierto, las organizaciones deben evaluar constantemente su cadena de suministro de software. Por lo tanto, las organizaciones buscarán proveedores de soluciones que utilicen endurecimiento de seguridad y múltiples capas de seguridad para reducir los niveles de severidad CVSS de las vulnerabilidades de código abierto.

11. La IA se adopta más ampliamente para detectar anomalías en el intercambio y transferencia de datos. La IA tiene un potencial casi infinito en el panorama de la ciberseguridad, incluida la detección avanzada y protección de contenido sensible. Las organizaciones pueden usar capacidades de IA dentro de las comunicaciones de contenido sensible y herramientas del centro de operaciones de seguridad (SOC) para detectar comportamientos anómalos relacionados con contenido privado (por ejemplo, picos en el acceso, envíos, comparticiones, etc.) y enviar alertas en tiempo real a los equipos de seguridad.

12. Las organizaciones enfocarán más recursos en el endurecimiento de la seguridad e integración de inversiones en seguridad. Los equipos de TI, seguridad, riesgo y cumplimiento operan de manera más efectiva y eficiente cuando pueden consolidar la inteligencia de amenazas y los datos de cumplimiento en una sola vista. Las organizaciones disminuyen dramáticamente el riesgo cibernético cuando pueden integrar capacidades de antivirus, desarmado y reconstrucción de contenido (CDR), prevención de pérdida de datos (DLP) y protección avanzada contra amenazas (ATP) en la plataforma o herramientas utilizadas para gestionar las comunicaciones de contenido sensible.

Regulación del Intercambio Digital de Datos Privados

La gobernanza ahora se ve como un fundamento esencial de la gestión de riesgos. Las organizaciones deben tener el seguimiento y los controles adecuados para proteger el contenido privado de las amenazas cibernéticas y demostrar cumplimiento con una lista creciente de regulaciones y estándares. Las siguientes tres áreas de pronóstico cierran nuestra lista para 2023: 

13. Mantener el ritmo con las nuevas y ampliadas regulaciones de privacidad de datos. En el último recuento, más de 80 países en todo el mundo tienen alguna forma de ley de privacidad de datos en vigor. La Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA) regula la privacidad de datos en relación con PHI. FISMA, GLBA, PCI DSS (Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago), entre otros, estipulan la protección de la información financiera y PII. El GDPR de la UE fue uno de los primeros en regular la privacidad de datos a nivel regional. En EE. UU., la CCPA (Ley de Privacidad del Consumidor de California) fue la primera legislación en hacerlo. Cuatro estados adicionales han aprobado legislación similar que entrará en vigor en 2023. Como resultado de estas y otras leyes de privacidad de datos, las organizaciones deben buscar soluciones que tengan controles de seguridad integrales, así como capacidades de seguimiento y reporte de cumplimiento.

14. El geofencing del intercambio de datos privados aumentará. Los datos privados compartidos dentro de jurisdicciones específicas y entre jurisdicciones deben ser protegidos y gobernados. Se debe emplear geofencing para prevenir el envío y compartición no autorizados de contenido privado como PII y PHI entre jurisdicciones. Esto incluye bloquear envíos, comparticiones y recepciones y el uso de controles de soberanía de datos que restrinjan archivos y carpetas individuales al almacenamiento en el país de origen del propietario de los datos.

15. Adopción de controles y marcos de ciberseguridad de mejores prácticas. La influencia de marcos de ciberseguridad como ISO 27001, NIST CSF y SOC 2 continuará expandiéndose en alcance, y su adopción seguirá en consecuencia. A medida que las organizaciones evalúan el riesgo de exposición de contenido sensible, recurrirán cada vez más a marcos de ciberseguridad para hacerlo.

Minimizar los Riesgos de Exposición de Contenidos Sensibles con Kiteworks

El riesgo planteado por el cibercrimen y las regulaciones de cumplimiento nunca ha sido mayor. La rápida maduración de la analítica de datos y la ciencia y la proliferación de cadenas de suministro están llevando el intercambio y la transferencia de datos al frente de muchas iniciativas de transformación digital. Estas son empresas críticas para el negocio que proporcionan ventajas competitivas, desde ganancias en eficiencia operativa hasta oportunidades de crecimiento de ingresos. 

Pero con la mayoría de los ciberataques enfocados en interceptar datos privados, seguidos a su vez por entidades gubernamentales e industriales que regulan cómo las organizaciones protegen esos datos privados, el riesgo seguirá creciendo. Creemos que un enfoque de confianza cero definido por contenido que emplea políticas de contenido a través de comunicaciones de contenido sensible en forma de una red de contenido privado (PCN) es la respuesta a estos desafíos. Kiteworks PCN unifica tus comunicaciones de contenido sensible en una plataforma para mantener ese contenido privado mientras te permite demostrar cumplimiento a través de un seguimiento y controles robustos. 

Consulta nuestro Informe de Pronóstico 2023 completo, asiste a nuestro panel de discusión en el seminario web con tres invitados estrella y más visitando nuestra página del Informe de Pronóstico 2023.

Recursos Adicionales

• Artículo del Blog Obtén las 115 Principales Estadísticas de Ciberseguridad en 2022
• Artículo del Blog Descubre los 7 Sectores Industriales que Necesitan Cifrado de Datos
• Artículo del Blog Aprende los 8 Tipos de Datos que Debes Cifrar