Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Riesgo de Terceros > Informe de Kiteworks Evalúa los Riesgos de Privacidad y Cumplimiento Relacionados con las Comunicaciones de Contenido Sensible

Informe de Kiteworks Evalúa los Riesgos de Privacidad y Cumplimiento Relacionados con las Comunicaciones de Contenido Sensible

by Patrick Spencer updated diciembre 12, 2024 Riesgo de Terceros
Reading Time: 8 minutes

Proteger tus datos y demostrar el cumplimiento con las regulaciones y estándares que gobiernan cómo se comparten y almacenan nunca ha sido más difícil. Estados extranjeros que patrocinan actividades cibercriminales, sindicatos del crimen organizado y actores malintencionados solitarios entienden el valor de los datos, y por lo tanto, el volumen y la complejidad de los ciberataques a los datos continúan creciendo. En el último Informe de Investigaciones de Brechas de Datos de Verizon, las brechas de datos aumentaron un 33% año tras año.

Ciertos tipos de ciberataques experimentaron picos exponenciales. Por ejemplo, el Informe Global de Amenazas 2022 de CrowdStrike revela que las filtraciones de datos relacionadas con ransomware aumentaron un 82% el año pasado. La cantidad promedio de rescate exigida por los actores maliciosos también creció, un 36% más que en 2020. La multiplicación de ciberataques dentro de la cadena de suministro este último año también fue impactante, sirviendo como una llamada de atención para muchas organizaciones.

Mientras que los sectores de manufactura y transporte siguen siendo los principales objetivos de los ataques a la cadena de suministro, la mayoría de los sectores son susceptibles a ataques a la cadena de suministro. De hecho, los ataques a la cadena de suministro apuntan a más que solo la logística. Más bien, abarcan las diferentes tecnologías que una organización utiliza, el código—tanto de código abierto como personalizado—utilizado en aplicaciones, contratistas y proveedores, socios, clientes y numerosos terceros.

Examinando los Riesgos de las Comunicaciones de Contenido Sensible

En el recién publicado Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2022 de Kiteworks, encontramos que casi dos tercios de las organizaciones admiten que regularmente comparten contenido sensible con más de 1,000 organizaciones externas—y un tercio de los encuestados comparte contenido sensible con más de 2,500 terceros. Las comunicaciones digitales ponen en riesgo los datos confidenciales, tanto cuando se comparten (es decir, datos en movimiento) como cuando se almacenan (es decir, datos en reposo).

Las organizaciones aprovechan diferentes canales de comunicación digital al enviar, compartir y recibir contenido sensible: correo electrónico, intercambio de archivos, transferencia de archivos, transferencia de archivos administrada, protocolos de interfaz de programación de aplicaciones (API) y formularios web. Los cibercriminales explotan estos canales de diferentes maneras. Los correos electrónicos no cifrados, los intercambios de archivos y las transferencias de archivos son fácilmente interceptados y accedidos. Además, la tecnología y las políticas de cifrado inadecuadas pueden ser explotadas.

Los actores maliciosos también incrustan malware y virus en mensajes y archivos adjuntos que, al abrirse, permiten el acceso a sistemas que contienen datos críticos. Cuando esos virus facilitan la apropiación de cuentas, los correos electrónicos, los intercambios de archivos y las transferencias de archivos pueden ser interceptados y accedidos. Finalmente, las amenazas internas, ya sea de manera no intencionada por un empleado descuidado o intencionadamente por un infiltrado malicioso, también aumentan el riesgo de una brecha de datos sensibles.

Lograr y Demostrar Cumplimiento en Gobernanza y Seguridad

Existen numerosas regulaciones y estándares gubernamentales e industriales para minimizar estos riesgos. Algunos se refieren a la información personal identificable (PII) y la información de salud protegida (PHI), como la Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA), el Reglamento General de Protección de Datos (GDPR), la Ley de Privacidad del Consumidor de California (CCPA), la Ley de Protección de Información Personal y Documentos Electrónicos (PIPEDA) y el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS). Algunos se relacionan con la protección de las comunicaciones de contenido sensible con el sector gubernamental como la Certificación de Modelo de Madurez de Ciberseguridad (CMMC), el Programa de Gestión de Riesgos y Autorización Federal (FedRAMP), el Estándar Federal de Procesamiento de Información (FIPS) 140-2, y el Programa de Evaluadores Registrados de Infosec (IRAP). Otros como el Instituto Nacional de Estándares y Tecnología (NIST) 800-171 y SOC 2 proporcionan a las entidades del sector privado y público estándares rigurosos para proteger la privacidad de los datos.

Los tipos de contenido sensible cubiertos por las diferentes regulaciones y estándares varían. Casi todas las organizaciones envían, comparten, reciben y almacenan PII relacionada con sus empleados, contratistas, socios y clientes. Las empresas financieras—bancos, inversores y aseguradoras—proporcionan servicios confiables a empresas y consumidores y envían, comparten y transfieren estados de cuenta, solicitudes de préstamos, reclamaciones de seguros y otros documentos financieros sensibles. Los diseños de productos, listas de clientes, horarios de producción y diversa información relacionada con la propiedad intelectual (IP) entran en la categoría de contenido sensible para los fabricantes. Las organizaciones de salud comparten información de salud protegida (PHI) como registros de pacientes, radiografías y recetas, no solo relacionadas con HIPAA sino también con GDPR y PCI DSS, entre otras regulaciones. Otros sectores industriales como el gubernamental, legal y otros tienen sus propios tipos de datos respectivos. Finalmente, nuestra encuesta indica que los departamentos de finanzas, recursos humanos y legales son típicamente los más activos en enviar, compartir, recibir y almacenar contenido sensible.

Cuatro Perspectivas de Comunicación de Contenido Sensible en el Informe

El Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2022 de Kiteworks busca identificar tendencias clave y perspectivas en los sectores industriales en las regiones de América del Norte, Europa y Asia Pacífico. Encuestando a 400 profesionales de TI, seguridad, privacidad y cumplimiento en 15 países diferentes, el informe proporciona a las organizaciones un punto de referencia para evaluar la madurez de sus comunicaciones de contenido sensible. El informe divide sus perspectivas en cuatro categorías.

Perspectiva #1: Silos e Ineficiencias

Los encuestados indicaron que emplean diferentes canales de comunicación para enviar y recibir contenido sensible. Nueve de cada 10 encuestados, por ejemplo, usan el correo electrónico para una cuarta parte de sus comunicaciones de contenido sensible, y un poco más de un tercio lo usa para el 35% o más (Figura 1). El intercambio de archivos ocupa el segundo lugar con el 45% de los encuestados usándolo para una cuarta parte o más de sus comunicaciones. Otros canales de comunicación se utilizan regularmente, aunque en números y frecuencia pequeños. Se utilizan diferentes sistemas para rastrear, controlar y asegurar las comunicaciones de contenido sensible; cuatro o más en dos tercios de los casos. La necesidad de gestionar cada uno de ellos y sus consolas y flujos de datos separados crea complejidad y riesgo. Esto también dificulta la gobernanza de los datos sensibles y demostrar el cumplimiento con los reguladores y auditores.

Canales de comunicación utilizados por los empleados para compartir y transferir contenido sensible

Figura 1. Canales de comunicación utilizados por los empleados para compartir y transferir contenido sensible.

Los protocolos de cifrado de correo electrónico son incompatibles entre sí y complican las comunicaciones de contenido con terceros que utilizan otro protocolo internamente. Si un correo electrónico cifrado no puede ser descifrado en el sitio, el 60% de los encuestados indicó que piden a los remitentes que vuelvan a enviar archivos no cifrados a través de un enlace de unidad compartida no publicada mediante Box, Dropbox, Google Drive y otros repositorios de contenido basados en la nube; el 40% restante pide a los remitentes que utilicen un archivo zip cifrado con contraseña. Todo este ir y venir se traduce no solo en ineficiencias sino también en riesgo (Figura 2).

Cómo las organizaciones manejan el correo electrónico cifrado que no puede ser descifrado

Figura 2. Cómo las organizaciones manejan el correo electrónico cifrado que no puede ser descifrado.

 

Perspectiva #2: Brechas de Seguridad

Las amenazas internas implican el intercambio de contenido sensible internamente con terceros fuera de una organización, donde el contenido sensible se envía o comparte con la persona equivocada. Esto puede ser intencional (robo o sabotaje) o no intencional (phishing, spear-phishing). Más encuestados enumeraron las amenazas internas como una preocupación de seguridad principal que cualquier otra área de seguridad (26% la clasificó como #1). Las amenazas externas también estaban en la mente de los encuestados, con casi 6 de cada 10 clasificándola como #1 o #2. La gobernanza de las comunicaciones de contenido sensible también fue una preocupación de seguridad que a menudo fue mencionada por los encuestados, con el 29% de los encuestados clasificándola como #1, #2 o #3 (Figura 3).

Principales preocupaciones de seguridad en la gestión de comunicaciones de contenido sensible

Figura 3. Principales preocupaciones de seguridad en la gestión de comunicaciones de contenido sensible. 

Sorprendentemente, la proporción de prevención de pérdida de datos (DLP) para el intercambio de contenido sensible saliente fue menor de lo que uno esperaría. Por ejemplo, el 54% de los encuestados no utiliza DLP o solo lo utiliza para algunos correos electrónicos enviados a terceros. Casi 6 de cada 10 encuestados no utilizan DLP o solo lo utilizan en algunos casos para el intercambio de archivos y la transferencia de archivos y automatización. Para las comunicaciones entrantes, el 7% de los encuestados no utiliza tecnologías antivirus o antispam para todas las comunicaciones de contenido entrante con terceros, y casi la mitad solo las utiliza para algunas. Y a pesar de que la seguridad de confianza cero recibe una atención significativa, incluida su importancia crucial en la Orden Ejecutiva 14028, la confianza cero se aplica de manera inconsistente a través de los diferentes canales de comunicación.

Perspectiva #3: Gestión de Riesgos

Con una multitud de herramientas que se utilizan para las comunicaciones de contenido sensible y una infraestructura aislada, la gestión de riesgos fue citada por muchos encuestados como un desafío. Más de la mitad indicó que sus organizaciones están inadecuadamente protegidas contra los riesgos de comunicación de contenido sensible de terceros. Los profesionales de privacidad y cumplimiento expresaron la mayor preocupación, con más de 7 de cada 10 indicando que sus organizaciones no están protegidas de los riesgos de contenido sensible de terceros.

Solo el 16% de los encuestados dijo que su estrategia de gestión de riesgos de terceros está por encima de toda crítica, mientras que el 41% quiere ver una mejora significativa o incluso un enfoque completamente nuevo. Los encuestados señalaron que unificar, rastrear y controlar las comunicaciones de contenido sensible es una prioridad principal para el liderazgo ejecutivo (Figura 4).

Nivel de confianza en la gestión de riesgos y protección de las comunicaciones de contenido sensible de terceros

Figura 4. Nivel de confianza en la gestión de riesgos y protección de las comunicaciones de contenido sensible de terceros.

Perspectiva #4: Cumplimiento

Los encuestados citaron numerosas regulaciones de cumplimiento que impactan sus organizaciones. HIPAA, PCI DSS, CCPA, GDPR y la Ley de Protección de Datos (DPA) fueron enumeradas por más del 50% como estándares con los que deben cumplir anualmente. Más de la mitad de los encuestados (56%) produce más de siete informes de cumplimiento anualmente. Esto suma muchas horas, con el 77% dedicando más de 20 horas por informe. Y a pesar de todo el tiempo dedicado al cumplimiento, un sorprendente 79% indicó que sus informes de cumplimiento no son completamente precisos.

¿Por qué es tan alto este número? Una razón es que el 69% de los encuestados dijo que se necesita mejorar la gobernanza de sus comunicaciones de contenido sensible. De estos, el 35% cree que se requiere una mejora significativa o un enfoque completamente nuevo para la gobernanza.

Obteniendo Conclusiones Clave de las Comunicaciones de Contenido Sensible

La amenaza de que el contenido sensible sea accedido por usuarios no autorizados, ya sea intencional o accidentalmente, mientras está en tránsito o en reposo, es real. A medida que más PII, PHI e IP se conectan en línea, los cibercriminales encuentran formas de robarlos, venderlos o exigir un rescate por ellos. Históricamente, las organizaciones empleaban mecanismos de seguridad en el borde de la computación para asegurar contenido sensible no estructurado. Este informe revela una seria brecha de seguridad y cumplimiento, que cuando no se aborda, puede ser costosa; IBM y el Instituto Ponemon en su último Informe de Costos de una Brecha de Datos señalan que el costo promedio de una brecha de datos es de $4.24 millones.

A medida que las regulaciones y estándares evolucionan y se introducen otros adicionales, el cumplimiento seguirá siendo cada vez más importante. Pero sin el seguimiento y los controles de gobernanza adecuados, las organizaciones seguirán estando en riesgo de incumplimiento o lucharán por demostrar el cumplimiento debido a un conjunto de herramientas desagregado y aislado. La cruda realidad es que los enfoques actuales para las comunicaciones de contenido sensible simplemente no pueden escalar para satisfacer las demandas de las empresas modernas.

Visita nuestra página web del Informe de Privacidad y Cumplimiento de Comunicaciones de Contenido Sensible 2022 que consolida todos los recursos disponibles en una sola página.

Recursos Adicionales

  • Artículo del BlogCumplimiento de Soberanía de Datos
  • Artículo del Blog¿Cómo Impacta el Cumplimiento de Datos?
  • Artículo del BlogSoberanía de Datos y GDPR
  • Artículo del BlogCómo Cumplir con GDPR
  • Artículo del BlogProtegiendo Tu Contenido Más Sensible

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks